ip/NAPT代理上網(wǎng)(ip網(wǎng)絡(luò)代理)
NAT
---------------------------------------------------------
配置R1接口和默認(rèn)路由
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 10.1.1.2 24
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.11.254 24
添加默認(rèn)路由,下一跳指向10.1.1.1
[R1]ip route-static 0.0.0.0 0 10.1.1.1
配置外網(wǎng)R2路由器
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip add 10.1.1.1 24
配置本地環(huán)回接口,模擬互聯(lián)網(wǎng)站
[R2]interface LoopBack 0
[R2-LoopBack0]ip address 8.8.8.8 32
上面配置不變,以下各需求下都用此部分配置
-----------------------------------------------------
一,配置靜態(tài)NAT
配置靜態(tài)NAT,做一對(duì)一的地址轉(zhuǎn)換。假設(shè)分給內(nèi)網(wǎng)兩個(gè)電腦兩個(gè)公網(wǎng)ip地址10.1.1.3和10.1.1.4用來上網(wǎng)。
在R1出口GE0/0/0接口上配置靜態(tài)NAT,與內(nèi)網(wǎng)電腦一一對(duì)應(yīng)。
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat static global 10.1.1.3 inside 192.168.11.3 netmask 255.255.255.255
[R1-GigabitEthernet0/0/1]nat static global 10.1.1.4 inside 192.168.11.4 netmask 255.255.255.255
---------------------------------------------------------------------------
給PC配置ip,分別去訪問互聯(lián)網(wǎng)8.8.8.8,都能成功訪問
====================================================================
二,使用公網(wǎng)地址池,為內(nèi)網(wǎng)用戶做NAT轉(zhuǎn)換。(no-pat)
如上圖不變,假設(shè)分給公司A部分10.1.1.10-10.1.1.20為內(nèi)網(wǎng)192.168.11.0/24的員工上網(wǎng)所用。
在R1上配置地址池
[R1]nat address-group 1 10.1.1.10 10.1.1.20
創(chuàng)建acl,匹配需要上網(wǎng)的內(nèi)網(wǎng)段
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.11.0 0.0.0.255
在路由出口引用acl 2000,使匹配的網(wǎng)段中的地址可以使用地址池中地址進(jìn)行NAT轉(zhuǎn)換。
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
在路由出口GE0/0/1上抓包,可看到內(nèi)網(wǎng)地址已被轉(zhuǎn)換為10.1.1.10發(fā)出。
==================================================================
三,使用Easy-IP配置NAT實(shí)現(xiàn)上網(wǎng)(端口轉(zhuǎn)換)
如圖,拓?fù)浜途W(wǎng)段不變,假設(shè)公司人員越來越多,公網(wǎng)地址緊張,于是使用Easy IP 的方式滿足讓B部門上網(wǎng)的需求。
配置acl 2001匹配內(nèi)網(wǎng)需要上網(wǎng)的網(wǎng)段
[R1]acl 2001
[R1-acl-basic-2001]rule permit source 192.168.11.0 0.0.0.255
到路由出口GE0/0/1口調(diào)用acl 2001
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2001
用pc去ping 8.8.8.8 ,查看源地址已經(jīng)是以接口地址發(fā)出了。
==================================================================
四,配置使用公網(wǎng)地址池的NAT端口地址轉(zhuǎn)換。
創(chuàng)建可用的公網(wǎng)地址池
[R1]nat address-group 2 10.1.1.30 10.1.1.40
配置匹配的內(nèi)網(wǎng)段
[R1]acl 2002 rule
[R1-acl-basic-2002]rule permit source 192.168.11.0 0.0.0.255
把a(bǔ)cl綁定到路由器出口
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2002 address-group 2
