Cisco NAT 配置详解：内部与外部地址转换

"Cisco NAT 配置合集" Cisco NAT（网络地址转换）是网络设备上的一种功能，用于在公网和私网之间转换IP地址和端口号，以解决IP地址短缺问题，保护内部网络的安全，以及处理地址空间重叠的情况。NAT主要包含两种类型：基本的IP地址转换和端口地址转换（PAT）。 1. **IP NAT Inside / Outside** - **Inside** 指的是网络内部，通常是指私有IP地址空间，这些地址不会直接在互联网上公开。 - **Outside** 则指网络外部，通常是公共IP地址空间，这些地址可以直接与互联网通信。 2. **Inside Local 和 Inside Global** - **Inside Local** 是内部主机的实际私有IP地址。 - **Inside Global** 是经过NAT转换后，内部主机与外部网络通信时使用的公共IP地址。 3. **Outside Local 和 Outside Global** - **Outside Local** 是外部主机在内部网络中的表现形式，即NAT设备为其分配的私有IP地址。 - **Outside Global** 是外部主机的真实公共IP地址。 4. **NAT超时** - 当未使用PAT时，NAT条目默认超时时间为24小时。 - 使用PAT时，UDP超时值为5分钟，DNS查询超时为1分钟，TCP连接超时为24小时。 5. **ipnat inside source 和 ipnat inside destination** - **ipnat inside source** 用于配置内部源地址转换，主要用于控制内部主机发起的流量，将内部本地地址转换为内部全局地址。 - **ipnat inside destination** 则用于配置内部目的地址转换，但只适用于TCP流量，因为如ping这样的ICMP流量不会触发目的地转换。此外，当使用ipnat inside destination时，需要配置`nat pool`并指定`type rotary`，以确保多个内部主机可以共享同一个外部IP地址，并且能够正确地返回数据。 例如，假设ISP为网络1分配了一个IP地址段100.0.0.0/28。配置NAT转换，可以在网关设备GW1上进行以下操作： ```text GW1(config)# interface s0 GW1(config-if)# ip nat outside // 定义外部接口 GW1(config-if)# interface e0 GW1(config-if)# ip address 192.168.0.1 255.255.255.0 // 配置内部接口地址 GW1(config)# ip nat inside source static inside-local inside-global // 静态NAT配置 ``` 这里，`inside-local`代表内部本地地址，`inside-global`代表内部全局地址。如果需要动态地址转换，可以创建一个NAT池： ```text GW1(config)# ip nat pool my-pool 100.0.0.1 100.0.0.15 netmask 255.255.255.240 // 创建NAT池 GW1(config)# ip nat inside source list 1 pool my-pool overload // 将内部地址映射到NAT池，启用PAT GW1(config)# access-list 1 permit 192.168.0.0 0.0.0.255 // 定义允许NAT转换的内部地址范围 ``` 这个配置会将192.168.0.0/24网络内的所有内部主机的流量转换为100.0.0.0/28中的IP地址，并通过GW1的外部接口s0与外部网络通信。PAT（Port Address Translation）通过添加端口号来区分不同的内部主机，使多个主机能共享相同的外部IP地址。 总结来说，Cisco NAT配置涉及多个方面，包括接口定义、地址转换规则、NAT池配置以及超时策略等，对于网络安全和网络规划具有重要意义。理解并熟练掌握这些概念和技术，能有效管理和优化网络环境，确保内外部通信的顺利进行。