交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍:
把内部主机的ip地址一对一的映射成公网ip地址,或者 内部主机的ip地址+端口 一对一的映射成 公网ip地址+端口。
应用场景:
企业通过租用运营商的专线上网,企业内部架设服务器给外网访问,需要把内部服务器的私网IP地址,映射成公网地址,才能给外网的用户提供服务。
一、组网需求
内网服务器的地址通过静态NAT,转换成外网的地址,使外网能够访问内网的服务器。
二、组网拓扑
三、配置要点
1、基本ip地址配置
2、基本的ip路由配置
3、定义nat的内网口和外网口
4、配置nat转换策略
四、配置步骤
1、基本ip地址配置
Ruijie(config)#hostname R1
R1(config)#interface gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0
R1(config-GigabitEthernet 0/0)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/2)#ip address 192.168.2.1 255.255.255.0
R1(config-GigabitEthernet 0/2)#exit
Ruijie(config)#hostname R2
R2(config)#interface gigabitEthernet 0/0
R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0
R2(config-GigabitEthernet 0/0)#exit
R2(config)#interface gigabitEthernet 0/1
R2(config-GigabitEthernet 0/1)#ip address 172.16.1.1 255.255.255.0
R2(config-GigabitEthernet 0/1)#exit
R2(config)#interface gigabitEthernet 0/2
R2(config-GigabitEthernet 0/2)#ip address 172.16.2.1 255.255.255.0
R2(config-GigabitEthernet 0/2)#exit
Ruijie(config)#hostname R3
R3(config)#interface fastEthernet 0/0
R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0
R3(config-if-FastEthernet 0/0)#exit
2、基本的ip路由配置
R1(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.2
R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2
R2(config)#ip route 100.1.1.0 255.255.255.0 192.168.1.1
R2(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1
3、定义nat的内网口和外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside //配置nat的外网口
R1(config-GigabitEthernet 0/1)#exit
R1(config)#int gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip nat inside //配置nat的内网口
R1(config-GigabitEthernet 0/0)#exit
4、配置静态nat
注意:
1)静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。
2)permit-inside功能:当有内网服务器静态映射成公网地址时,内网PC若需要通过该公网地址访问服务器,就必须配置permit-inside参数,在配置静态nat时,建议都配置permit-inside参数。
如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例:
1)基于ip地址的一对一映射
R1(config)#ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside //把内网172.16.1.100 映射成公网的192.168.2.88
2)基于TCP、UDP协议的端口映射
R1(config)#ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23 permit-inside //把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.88 的23端口
五、配置验证
测试外网能否正常访问内网服务器,若外网可以正常访问内网的服务器,则静态NAT配置正确。在出口路由器上查看NAT转换表项如下: