已阅读5页,还剩4页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CISCO NAT 配置命令21.1.在路由器上启用基本的NAT功能Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 55Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overloadRouter(config)#interface FastEthernet0/2Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet0/0Router(config-if)#ip address 52Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter# 注释 例子中的配置实现了对地址段/16访问外部网络重写为的功能,基本的地址翻译功能21.2. 动态分配外部地址 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 55Router(config)#ip nat pool NATPOOL 00 50 netmask Router(config)#ip nat inside source list 15 pool NATPOOLRouter(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet 0/1Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet1/0Router(config-if)#ip address Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释 ip nat inside source list 15 pool NATPOOL 定义了翻译出去的地址池,如果地址池可以地址用完新的翻译将不成功,如果加上了overload参数将会从第一个地址开始翻译进行复用。另外这里的地址池并不一定要和outside端口的地址在同一网段,只要有相应的路由就可以。21.3. 静态分配外部地址 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat inside source static 5 0Router(config)#ip nat inside source static 6 1Router(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet 0/1Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet1/0Router(config-if)#ip address Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#21.4. 地址静态和动态翻译结合 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 deny 5 Router(config)#access-list 15 deny 6 Router(config)#access-list 15 permit 55Router(config)#ip nat inside source static 5 0Router(config)#ip nat inside source static 6 1Router(config)#ip nat pool NATPOOL 00 50 netmask Router(config)#ip nat inside source list 15 pool NATPOOL overloadRouter(config)#interface FastEthernet0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet0/0Router(config-if)#ip address Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释 这里的控制列表把所要静态内部地址排除了,当然这一步也不是必须的,因为静态翻译的优先级要高于动态翻译的,不过静态翻译的外部地址必须要从动态翻译的地址池中排除。21.5. 使用Route Maps来进行翻译规则控制 Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface FastEthernet0/0Router(config-if)#ip address 52Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address 52Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#interface FastEthernet0/2Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#ip nat inside source route-map ISP-1 interface FastEthernet0/0 overloadRouter(config)#ip nat inside source route-map ISP-2 interface FastEthernet0/1 overloadRouter(config)#route-map ISP-1 permit 10Router(config-route-map)#match interface FastEthernet0/0Router(config-route-map)#exitRouter(config)#route-map ISP-2 permit 10Router(config-route-map)#match interface FastEthernet0/1Router(config-route-map)#exitRouter(config)#endRouter#注释 适用于多个outside端口的情况21.6. 同时两个方向地址翻译 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 deny 5Router(config)#access-list 15 permit 55Router(config)#access-list 16 deny 5Router(config)#access-list 16 permit 55Router(config)#ip nat pool NATPOOL 00 50 netmask Router(config)#ip nat pool INBOUNDNAT 00 00 netmask Router(config)#ip nat inside source list 15 pool NATPOOL overloadRouter(config)#ip nat inside source list 16 pool INBOUNDNAT overloadRouter(config)#ip nat inside source static 5 0Router(config)#ip nat outside source static 5 Router(config)#ip route Ethernet0/0Router(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet 0/1Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#interface Ethernet0/0Router(config-if)#ip address Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#21.7. 网络前缀重写 简单的改变某个网络段的前缀 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat outside source static network /16 no-aliasRouter(config)#ip route Ethernet1/0Router(config)#ip route Ethernet1/0Router(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet1/0Router(config-if)#ip address 52Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释 适用于两个网络互访而地址段冲突的情况21.8. 使用NAT来进行服务器负荷分担 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface FastEthernet0/0Router(config-if)#ip address Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#ip nat pool WEBSERVERS 01 05 netmask type rotaryRouter(config)#access-list 20 permit host 00Router(config)#ip nat inside destination list 20 pool WEBSERVERSRouter(config)#endRouter#注释 这里不同点在于使用了rotary的参数和使用了destination而不是source在翻译规则中,当然这种是穷人的负载均衡解决方案21.9. 基于状态的NAT切换RouterA Router-A#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router-A(config)#access-list 11 permit anyRouter-A(config)#ip nat pool NATPOOL 00 50 netmask Router-A(config)#ip nat inside source list 11 pool NATPOOL mapping-id 1Router-A(config)#interface FastEthernet0/0Router-A(config-if)#ip address Router-A(config-if)#ip nat insideRouter-A(config-if)#standby 1 ip Router-A(config-if)#standby 1 preemptRouter-A(config-if)#standby 1 name SNATGROUPRouter-A(config-if)#exitRouter-A(config)#interface Serial0/0Router-A(config-if)#ip address 52Router-A(config-if)#ip nat outsideRouter-A(config-if)#exitRouter-A(config)#ip nat Stateful id 1Router-A(config-ipnat-snat)#redundancy SNATGROUPRouter(config-ipnat-snat-red)#mapping-id 1Router(config-ipnat-snat-red)#exitRouter-A(config)#endRouter-A#RouterB Router-B#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router-B(config)#access-list 11 permit anyRouter-B(config)#ip nat pool NATPOOL 00 50 netmask Router-B(config)#ip nat inside source list 11 pool NATPOOL mapping-id 1Router-B(config)#interface FastEthernet0/0Router-B(config-if)#ip address Router-B(config-if)#ip nat insideRouter-B(config-if)#standby 1 ip Router-B(config-if)#standby 1 priority 90Router-B(config-if)#standby 1 preemptRouter-B(config-if)#standby 1 name SNATGROUPRouter-B(config-if)#exitRouter-B(config)#interface Serial0/0Router-B(config-if)#ip address 52Router-B(config-if)#ip nat outsideRouter-B(config-if)#exitRouter-B(config)#ip nat Stateful id 1Router-B(config-ipnat-snat)#redundancy SNATGROUPRouter(config-ipnat-snat-red)#mapping-id 1Router(config-ipnat-snat-red)#exitRouter-B(config)#endRouter-B#注释 虽然说通过使用HSRP可以解决可用性的问题,但是不能同步NAT翻译表,从12.2(13)T以后思科引入了基于状态的NAT(SNAT),这样可以保持两台设备的翻译表同步,其关键命令为ip nat Stateful 要注意的是这里的Stateful是大写开头的,这里是区分大小写的。另外SNAT只和HSRP连用,不能跟VRRP或者GLBP一起作用。同时也可以使用多组HSRP的形式来保持负载均衡。21.10. 调整NAT 时长 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat translation tcp-timeout 500Router(config)#ip nat translation udp-timeout 30Router(config)#ip nat translation dns-timeout 30Router(config)#ip nat translation icmp-timeout 30Router(config)#ip nat translation finrst-timeout 30Router(config)#ip nat translation syn-timeout 30Router(config)#endRouter#也可以限制翻译表的最大条目数 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat translation max-entries 1000Router(config)#endRouter#注释 缺省TCP为24小时,UDP为5分钟,DNS为1分钟21.11. 修改FTP的TCP端口 Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 19 permit Router(config)#ip nat service list 19 ftp tcp port 8021Router(config)#ip nat service list 19 ftp tcp port 21Router(config)#endRou
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026届福建省莆田市七中化学高一第一学期期中调研模拟试题含解析
- 智慧灌溉优化-洞察及研究
- 艺术机构运营-洞察及研究
- 2026届云南省曲靖市富源县二中高一化学第一学期期末综合测试模拟试题含解析
- 碳中和纤维制备-洞察及研究
- 农业新型合作模式实施方案协议书
- 福建省师范大学附属中学2026届化学高二第一学期期中质量跟踪监视试题含解析
- 2026届吉林市第一中学化学高三第一学期期中预测试题含解析
- 2026届湘赣粤名校化学高二上期中综合测试模拟试题含解析
- 河南省名校联考2026届化学高三上期末考试模拟试题含解析
- 2025年中国铂金属制品市场现状分析及前景预测报告
- TSG 23-2021气瓶安全技术规程
- 2025年渠道管理及维护工技能资格知识考试题与答案
- 登高车施工作业方案
- 急救药品知识课件
- 设备搬迁调试协议合同书
- 中证信息技术笔试题库
- 监护学徒协议书范本
- 办公楼维修改造施工方案
- 集团海外业务管理手册(专业完整格式模板)
- 高危儿培训计划和方案
评论
0/150
提交评论