想做外贸做哪些网站,上海移动网站开发,seo研究中心vip教程,分享推广NAT的转换方式#xff1a; 1.静态转换#xff1a;固定的一对一IP地址映射。 interface GigabitEthernet0/0/1 ip address 122.1.2.24 nat static global 122.1.2.1 inside 192.168.1.1 #在路由器出接口 公网地址 私网地址。
2.动态转换#xff1a;Basic NAT nat address-gr…NAT的转换方式 1.静态转换固定的一对一IP地址映射。 interface GigabitEthernet0/0/1 ip address 122.1.2.24 nat static global 122.1.2.1 inside 192.168.1.1 #在路由器出接口 公网地址 私网地址。
2.动态转换Basic NAT nat address-group 1 122.1.2.1 122.1.2.3 acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 quit interface GigabitEthernet0/0/1 nat outbound 2000 address-group 1 no-pat #定义一个地址组再定义acl策略进行绑定
3.端口多路复用PAT复用的端口只能是1025-65535 nat outbound 2000 address-group 1 #和前面一样最后一句去掉no-pat
4.Easy IP当你无法知道运营商分配的地址时 acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 quit interface GigabitEthernet0/0/1 nat outbound 2000 # 在接口配置不写公网IP。
5.NAT ServerNAT具有屏蔽内网主机的作用但有时内网需向外网提供服务。 此时使用NAT Server 以便外网用户随时访问内网服务器。 nat server protocol tcp global 122.1.2.1 www inside 192.168.1.2 www 协议端口可以不写
防火墙上配置NAT nat-policy rule name abc source-zone trust action source-nat address-group group1# 配置NAT策略规则“abc”的动作对匹配NAT策略规则的流量做源NAT转换 并采用地址池“group1”作为转换后的源地址。
案例 nat环路问题pc1发送查找202.1.1.10的路由 经过由路由器r1交给防火墙防火墙30位掩码地址段只有.1和.2两个地址snat地址不在其中。 根据默认路由规则又交还给r1两者反复直到包的ttl为0才丢弃。 因此外部主机去访问源公网地址池必须配置黑洞路由直接丢弃防环。 另外源nat地址与防火墙在同一子网也建议配置黑洞路由 源nat是为了client通过公网去访问server1 但是如果pc1请求202.1.1.10 路由器R1会发送arp请求查询此地址的mac地址防火墙收到后会回应给r1自己的mac地址 并且继续发送arp广播但是不会回应如果多个pc1pc2…发送会浪费防火墙性能。 去年的经典老题 为什么内网主机没法通过外网ip访问内网服务器
可能是nat-server,nat-static没配置好或者acl策略有限制但假设这些都已经配置完了。问题还会是
分析查看流量走向流量源1.3 目的11.6经交换机到达Router后会转换目的ip此时源1.3目的1.2接下来可以到达内网服务器内网服务器收到报文后要返回流量。返回时源目地址交换源1.2目的1.3流量到达交换机1.2–1.3后因为统一网段可直接发给内网主机。 而主机当初发送的是1.3-11.6内网主机发现自己没有访问1.2那么会把这个第三步的报文丢掉导致内网用户没法通过公网ip访问内网服务器。
此是问题所在解决方法为配置双向nat。
在第二部配置源地址转换配置目的地址转换。 例如 192.168.1.3转换成了13.13.13.13 11.11.11.6转换成了192.168.1.2 可以向内网服务器发送内网服务器返回时的源地址是1.2目的地址是12.12。 此时报文会回到路由器路由器查nat表再把12.12.12.12转回1.3。
总结为 配置双向nat使得内网用户通过公网ip访问内网服务器。
