Cisco路由交换-NAT详解二

ip nat inside source #动静态NAT或PAT配置

ip nat inside destination #负载均衡

ip nat outside source #配合其他类型进行双向地址伪装

image

配置
GW-WAN(config)#ip access-list extended Client
GW-WAN(config-ext-nacl)# permit ip any any
GW-WAN(config)#$de source list Client interface FastEthernet0/1 overload    
#该命令第一个地址为外部全局地址，第二个为外部本地地址,200.1.1.3为外部Server对内部用户的伪装地址
GW-WAN(config)#ip nat outside source static 100.1.1.100 200.1.1.3  
测试
#首先，在Client-1 debug icmp报文，ping 200.1.1.3，然后我们会收到来自200.1.1.3的回应报文
#然后，在Server debug icmp报文，发现收到了200.1.1.2的ping报文
#最后，在GW-WAN上我们可以清晰的看到Client-1的192.168.2.2 转成了200.1.1.2，Server的100.1.1.100转成了200.1.1.3，基于此实现了双向地址隐藏
Client-1
Client-1#debug ip icmp
Client-1#ping 200.1.1.3 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 200.1.1.3, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 168/168/168 ms
Client-1#
*Mar  1 02:55:12.455: ICMP: echo reply rcvd, src 200.1.1.3, dst 192.168.2.2
Server
Server#debug ip icmp
Server#
*Mar  1 02:56:18.947: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.2
GW-WAN
GW-WAN(config)#do show ip nat tr
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                200.1.1.3          100.1.1.100
icmp 200.1.1.2:5       192.168.2.2:5      200.1.1.3:5        100.1.1.100:5

其实还有很多不同的组合，静态、动态、NAT、PAT的结合，不过理解了转换思路，剩下的只是机械工作。
下一篇文章将会介绍（ip nat enable）没有inside、outside的NAT配置