Cisco路由交换-NAT详解二
时间:2022-04-03 14:13
ip nat inside source #动静态NAT或PAT配置
ip nat inside destination #负载均衡
ip nat outside source #配合其他类型进行双向地址伪装
配置
GW-WAN(config)#ip access-list extended Client
GW-WAN(config-ext-nacl)# permit ip any any
GW-WAN(config)#$de source list Client interface FastEthernet0/1 overload
#该命令第一个地址为外部全局地址,第二个为外部本地地址,200.1.1.3为外部Server对内部用户的伪装地址
GW-WAN(config)#ip nat outside source static 100.1.1.100 200.1.1.3
测试
#首先,在Client-1 debug icmp报文,ping 200.1.1.3,然后我们会收到来自200.1.1.3的回应报文
#然后,在Server debug icmp报文,发现收到了200.1.1.2的ping报文
#最后,在GW-WAN上我们可以清晰的看到Client-1的192.168.2.2 转成了200.1.1.2,Server的100.1.1.100转成了200.1.1.3,基于此实现了双向地址隐藏
Client-1
Client-1#debug ip icmp
Client-1#ping 200.1.1.3 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 200.1.1.3, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 168/168/168 ms
Client-1#
*Mar 1 02:55:12.455: ICMP: echo reply rcvd, src 200.1.1.3, dst 192.168.2.2
Server
Server#debug ip icmp
Server#
*Mar 1 02:56:18.947: ICMP: echo reply sent, src 100.1.1.100, dst 200.1.1.2
GW-WAN
GW-WAN(config)#do show ip nat tr
Pro Inside global Inside local Outside local Outside global
--- --- --- 200.1.1.3 100.1.1.100
icmp 200.1.1.2:5 192.168.2.2:5 200.1.1.3:5 100.1.1.100:5
其实还有很多不同的组合,静态、动态、NAT、PAT的结合,不过理解了转换思路,剩下的只是机械工作。
下一篇文章将会介绍(ip nat enable)没有inside、outside的NAT配置