配置IP NAT命令.docx
《配置IP NAT命令.docx》由会员分享,可在线阅读,更多相关《配置IP NAT命令.docx(44页珍藏版)》请在冰豆网上搜索。
配置IPNAT命令
配置IPNAT命令
1. 1. 配置相关命令
IPNAT配置包含以下命令:
⏹ address
⏹ clearipnattranslation
⏹ ipnat
⏹ ipnatapplication
⏹ ipnatinsidedestination
⏹ ipnatinsidesource
⏹ ipnatoutsidesource
⏹ ipnatp2p-rate-limit
⏹ ipnatpool
⏹ ipnattranslation
1. 2.address
要配置一个NAT空地址池的地址范围,用NAT地址池配置命令address。
该命令的no形式可以删除一个地址池的地址范围。
addressstart-ipend-ip[matchinterfaceinterface]
noaddressstart-ipend-ip[matchinterfaceinterface]
addressinterfaceinterface[matchinterfaceinterface]
noaddressinterfaceinterface[matchinterfaceinterface]
参数说明
参数
描述
start-ip
一个地址块的起始IP地址。
end-ip
一个地址块的结束IP地址。
interfaceinterface
用于NAT有多个outside口的情况。
Pool里定义的地址采用接口地址,一般用于接口地址有待协商,刚开始未知的情况。
注意要与后面的matchinterfaceinterface合用,而且两个interface要一致。
否则可能引起NAT不通。
matchinterfaceinterface
用于NAT有多个outside口的情况。
当由路由决定了报文的出口后,NAT再用这个出口来选取pool中与之相匹配的地址。
缺省配置
没有定义地址范围。
命令模式
NAT地址池配置模式
使用指导
如果一个地址池需要定义多个地址范围,首先需要进入NAT地址池配置模式,然后进行NAT地址范围的定义。
配置举例
例1:
以下配置例子,创建了一个mulnets地址池,并定义了两个地址块。
ipnatpoolmulnetsnetmask255.255.255.0
address172.16.10.1172.16.10.254
address192.168.100.1192.168.100.50
相关命令
命令
描述
ipnatpool
定义IPNAT地址池
平台说明
无。
命令历史
版本号
说明
-
-
1.3. clearipnattranslation
要从NAT转换表中清除转换记录,在特权用户模式中执行该命令。
clearipnattranslation{*}
参数说明
参数
描述
*
删除所有动态NAT记录。
缺省配置
无
命令模式
特权用户模式
使用指导
应用该命令,可以强行删除NAT转换表中的转换记录。
如果要删除所有的NAT转换记录,必须注意该行为会影响当前的会话,可能导致ftp之类的连接丢失等,因此执行该操作需十分谨慎。
配置举例
无。
相关命令
命令
描述
ipnat
定义通过该接口的流量需要NAT转换。
ipnatinsidedestination
启用内部目标地址的NAT转换。
ipnatinsidesource
启用内部源地址的NAT转换。
ipnatoutsidesource
启用外部源地址的NAT转换。
ipnatpool
定义IPNAT地址池
showipnatstatistics
显示IPNAT的统计信息。
showipnattranslations
显示IPNAT的转换记录。
平台说明
无。
命令历史
版本号
说明
-
-
1.4.ipnat
要对一个接口收发的数据流量进行NAT转换,可以用ipnat接口配置命令。
该命令的no形式,可以使一个接口不再应用NAT。
ipnat{inside|outside}
noipnat{inside|outside}
参数说明
参数
描述
inside
表示该接口连接内部网络。
outside
表示该接口连接外部网络。
缺省配置
接口收发数据时,没有应用NAT。
命令模式
接口配置模式
使用指导
数据包只有在outside接口和inside接口之间路由时,并且符合一定规则的,才会进行NAT转换。
因此路由器必须配置至少一个inside接口和一个outside接口。
配置举例
例1:
以下配置例子,可以将192.168.12.0/24内部主机,动态转换到全局地址200.168.12.0/28网段。
内部网络的其它网段主机不允许做NAT。
!
interfaceGigabitEthernet0
ipaddress192.168.12.6255.255.255.0
ipnatinside
!
interfaceGigabitEthernet1
ipaddress200.168.12.17255.255.255.240
ipnatoutside
!
ipnatpoolnet200200.168.12.1200.168.12.15prefix-length28
ipnatinsidesourcelist1poolnet200
!
access-list1permit192.168.12.00.0.0.255
相关命令
命令
描述
clearipnattranslation
清除NAT转换记录表。
ipnatinsidedestination
启用内部目标地址的NAT转换。
ipnatinsidesource
启用内部源地址的NAT转换。
ipnatoutsidesource
启用外部源地址的NAT转换。
ipnatpool
定义IPNAT地址池
showipnatstatistics
显示IPNAT的统计信息。
showipnattranslations
显示IPNAT的转换记录。
平台说明
无。
命令历史
版本号
说明
-
-
1.5.ipnatapplication
要实现NAT的特殊应用,可以用全局配置命令ipnatapplication。
该命令的no形式可以取消该特殊应用。
ipnatapplicationsourcelistlist-numdestinationdest-ip
{dest-change|src-change}ip-addr[vrfvrf_name]
ipnatapplicationsourcelistlist-numdestination{tcp|udp
dest-ipport-num}{dest-changeip-addrport-num|src-change
ip-addr}[vrfvrf_name]
noipnatapplicationsourcelistlist-numdestinationdest-ip
{dest-change|src-change}ip-addr[vrfvrf_name]
noipnatapplicationsourcelistlist-numdestination{tcp|udp
dest-ipport-num}{dest-changeip-addrport-num|src-change
ip-addr}[vrfvrf_name]
参数
描述
list-num
内部本地地址访问列表,即报文的源地址匹配条件
dest-ip
匹配内部全局地址,即报文的目的地址匹配条件,只有目的地址匹配该地址并且源地址匹配前面定义的访问列表,才会创建NAT转换记录。
tcpdest-ipport-num
匹配内部全局地址以及目的端口,只有tcp报文的目的地址和目的端口匹配这里定义的条件并且源地址匹配前面定义的访问列表,才会创建NAT转换记录。
参数说明
udpdest-ipport-num
匹配内部全局地址以及目的端口,只有udp报文的目的地址和目的端口匹配这里定义的条件并且源地址匹配前面定义的访问列表,才会创建NAT转换记录。
dest-changeip-addr
port-num
修改满足条件的报文的目的地址以及目的端口
src-changeip-addr
修改满足条件的报文的源地址
vrfvrf_name
vrf名,在该vrf内生效
缺省配置
没有定义该规则。
命令模式
全局配置模式。
使用指导
在一些NAT的高级应用场合,需要修改一些特定的IP报文源地址或者目的地址。
这时就可以用到这条命令。
下面的例子就是用这条命令实现域名解析中继服务(DNSrelay)。
注意该命令仅在路由器上适用。
配置举例
例1:
在以下配置中将允许内网192.168.1.0网段的主机将DNS服务器指向NATinside接口的IP:
192.168.1.1,由路由器的NAT功能负责将内网主机的DNS请求转发给真正的DNS服务器202.101.98.55,并将DNS应答报文转发给内网主机。
使用ipnatapplication命令来实现该功能,语义就是如果有:
源地址满足access-list1、目的地址是192.168.1.1、目的端口是53的UDP报文,则修改这个IP报文的目的地址为202.101.98.55、目的端口为53。
具体命令脚本如下:
!
access-list1permit192.168.1.00.0.0.255
!
interfaceGigabitEthernet0/0
ipaddress192.168.1.1255.255.255.0
ipnatinside
!
interfaceGigabitEthernet1/0
ipaddress200.168.12.1255.255.255.0
ipnatoutside
!
ipnatpoolnet200200.168.12.2200.168.12.10netmask255.255.255.0
!
ipnatinsidesourcelist1poolnet200
ipnatapplicationsourcelist1destinationudp192.168.1.153dest-change202.101.98.5553
!
相关命令
命令
描述
address
定义地址池的地址块范围
clearipnattranslation
清除NAT转换记录表。
ipnat
定义通过该接口的流量需要NAT转换。
ipnatinsidedestination
启用内部目标地址的NAT转换。
ipnatinsidesource
启用内部源地址的NAT转换。
ipnatoutsidesource
启用外部源地址的NAT转换。
showipnatstatistics
显示IPNAT的统计信息。
showipnattranslations
显示IPNAT的转换记录。
平台说明
无
命令历史
版本号
说明
-
-
1.6.ipnatinsidedestination
要启用NAT内部目标地址转换,用全局配置命令ipnatinsidedestination。
该命令的no形式关闭NAT内部目标转换。
ipnatinsidedestinationlistaccess-list-numberpoolpool-name[vrfvrf_name]
noipnatinsidedestinationlistaccess-list-numberpoolpool-name[vrfvrf_name]
参数
描述
listaccess-list-number
访问列表定义的是内部全局地址,如果外部网络访问列表中的地址,内部全局地址将会转换成pool中定义的内部本地地址。
注意这里应该使用匹配目标IP为虚拟IP的100-199这个范围的扩展ACL。
参数说明
poolpool-name
地址池中定义了内部本地地址的空间,进行目标地址转换时,将会从中分配内部本地地址。
vrfvrf_name
vrf名,在该vrf内生效
缺省配置
没有启用内部源地址转换。
命令模式
全局配置模式。
使用指导
内部目标地址的转换,可以用来实现TCP的流量的负载均衡。
当内部网络某台主机TCP流量负载过重时,可能需要多台主机进行TCP业务的均衡负载。
这时,你可以考虑用NAT来实现TCP流量的负载均衡,NAT创建了一台虚拟主机提供TCP服务,该虚拟主机对应内部多台实际的主机,然后对目标地址进行轮询置换,达到负载分流的目的。
但是对于其它的IP流量,不做任何的改变,除非NAT作了其它配置。
配置NAT实现TCP负载均衡,内部网络的地址可以是合法的全局地址,也可以是私有网络地址。
但是虚拟主机地址必须为合法的全局地址。
配置举例
例1:
以下配置例子,内部网络对外提供了一个虚拟主机地址10.10.10.100,外部网络通过该地址访问WWW服务,内部局域网提供服务的实际上是两台地址为10.10.10.1、10.10.10.2的主机。
NAT转换时,采用轮询的方式实现负载均衡。
!
interfaceGigabitEthernet0
ipaddress10.10.10.254255.255.255.0
ipnatinside
!
interfaceGigabitEthernet1
ipaddress200.168.12.17255.255.255.240
ipnatoutside
!
ipnatpoolnet1010.10.10.110.10.10.2prefix-length24typerotary
ipnatinsidedestinationlist100poolnet10
!
access-list100permitipanyhost10.10.10.100
相关命令
命令
描述
clearipnattranslation
清除NAT转换记录表。
ipnat
定义通过该接口的流量需要NAT转换。
ipnatinsidesource
启用内部源地址的NAT转换。
ipnatoutsidesource
启用外部源地址的NAT转换。
ipnatpool
定义IPNAT地址池
showipnatstatistics
显示IPNAT的统计信息。
showipnattranslations
显示IPNAT的转换记录。
平台说明
无
命令历史
版本号
说明
-
-
1.7.ipnatinsidesource
要启用内部源地址NAT,可以用接口配置命令ipnatinsidesource。
该命令的no形式可以取消静态或动态的NAT。
ipnatinsidesourcelistaccess-list-number{interfaceinterface-typeinterface-number|poolpool-name}[overload][vrfvrf_name]
noipnatinsidesourcelistaccess-list-number[vrfvrf_name]
ipnatinsidesourcestaticlocal-ipglobal-ip[match][permit-inside][vrfvrf_name][netmaskmask]
noipnatinsidesourcestaticlocal-ipglobal-ip[permit-inside][match][vrfvrf_name]
ipnatinsidesourcestaticprotocollocal-iplocal-portglobal-ip
global-port[match][permit-inside][vrfvrf_name]
noipnatinsidesourcestaticprotocollocal-iplocal-portglobal-ip
global-port[match][permit-inside][vrfvrf_name]
参数
描述
参数说明
listaccess-list-number
本地地址访问列表。
只有源地址匹配该访问列表的流量,才会创建NAT转换记录。
interfaceinterface-typeinterface-number
利用outside接口的全局地址做NAPT(网络地址端口转换),也叫扩展NAT。
poolpool-name
利用地址池中的全局地址做NAT。
Overload
(可选)pool中的每个全局地址都可以复用转换,就是做NAPT。
目前没有配置这个参数,全局地址也是复用。
之所以添加这个参数是为了跟cisco的命令兼容。
staticlocal-ipglobal-ip
定义简单静态NAT。
local-ip为本地地址,global-ip为全局地址。
staticprotocol
定义扩展静态NAT。
protocol可以为TCP或UDP。
local-port
本地地址的服务端口号。
TCP或UDP的端口号,每种服务都一般对应一个服务端口。
global-port
全局地址的服务端口号。
外部网络通过该端口访问内部网络主机的服务。
该端口号可以与local-port不同。
permit-inside
只出现在ipnatinsidesourcestatic命令中,用于允许内网用户以global-ip访问local-ip的主机。
该关键字仅在路由器上适用。
vrfvrf_name
vrf名,在该vrf内生效
match
指定出接口
netmaskmask
网段到网段地址
缺省配置
没有内部源地址NAT发生。
命令模式
全局配置模式。
使用指导
当内部网络的IP地址为私有地址,又需要与外部网络通讯时,需要配置NAT,将内部私有IP地址转换成全局唯一IP地址。
对于一些网吧或企业单位,如果仅仅为了上网访问外部网络的资源,如浏览网页、收发邮件、下载文件等,而本身不对外部网络提供网络服务,可以直接利用outside接口的IP地址做全局地址,以NAPT方式实现地址转换。
如果不作NAT,分配私有地址的内部网络即使物理上与外部网络实现了互联,但相互之间却互通不了,因为外部网络没有私有地址的网络路由。
对于提供服务的内部主机,需要配置静态NAT或NAPT。
考虑到服务提供的可持续性,尽量不要利用outside接口的地址做静态NAPT,因为该地址为与ISP互联地址,变换的可能性很大。
通常情况下,内网用户访问这些内部主机提供的服务,只要用内网IP就可以了。
但有些特殊的应用服务,要求内网用户以全局IP访问该服务。
这时配置内部源地址静态NAT或内部源地址静态NAPT时,需要加入permit-inside关键字。
此时最好也要在inside口上配上noipredirects,防止inside口发重定向的报文。
配置举例
例1:
以下配置例子,可以将192.168.12.0/24内部主机,动态转换到全局地址200.168.12.0/28网段。
内部网络的其它网段主机不允许做NAT。
!
interfaceGigabitEthernet0
ipaddress192.168.12.6255.255.255.0
ipnatinside
!
interfaceGigabitEthernet1
ipaddress200.168.12.17255.255.255.24
升级会员 