04-网络协议配置命令 no ip nat local-service icmp udp tcp) disable 参数 参数 参数说明 Icm lcmp报文 tcp tcp报文 缺省 无 命令模式 接口配置态 使用说明 此命令应用于PAT规则。默认情况下,在标记为NAT外部端口的路由器接口,允许所有 访问路由器本地的 icmp/udp/tcp报文。该命令可以有限的防止外部网络用户对路由器的 恶意攻击,当然也丢弃了正常的访问路由器的报文。 如果想某标记为NAT外部端口的路由器接口禁止接收访问本地的 icmp/udp/tcp报文,可 以在端口状态下配置如下命令,使用这个命令的NO形式可以恢复默认状态。 注意: 此命令只能配置标记为NAT外部端口所在的路由器接口下,并只能使本接口禁止接收 icmp/udp/tcp报文 2.1.3 ip nat inside destination 用 ip nat inside destination全局配置命令,开启内部目的地址的NAT用这个命令的NO 形式,删除和地址池的动态关联,注意,该规则正在使用时,不能删除。 ip nat inside destination list access-list-name pool name no ip nat inside destination list access-list-name 参数 数说明 标准P访问列表的名字。用来自被指定的池中的全局地址对带有目的地址的
04-网络协议配置命令 no ip nat local-service {icmp | udp | tcp } disable 参数 参数 参数说明 icmp Icmp 报文。 udp udp报文。 tcp tcp报文。 缺省 无 命令模式 接口配置态 使用说明 此命令应用于 PAT 规则。默认情况下,在标记为 NAT 外部端口的路由器接口,允许所有 访问路由器本地的 icmp/udp/tcp 报文。该命令可以有限的防止外部网络用户对路由器的, 恶意攻击,当然也丢弃了正常的访问路由器的报文。 如果想某标记为 NAT 外部端口的路由器接口禁止接收访问本地的 icmp/udp/tcp 报文,可 以在端口状态下配置如下命令,使用这个命令的 NO 形式可以恢复默认状态。 注意: 此命令只能配置标记为 NAT 外部端口所在的路由器接口下,并只能使本接口禁止接收 icmp/udp/tcp 报文。 2.1.3 ip nat inside destination 用 ip nat inside destination 全局配置命令,开启内部目的地址的 NAT.用这个命令的 NO 形式,删除和地址池的动态关联,注意,该规则正在使用时,不能删除。 ip nat inside destination list access-list-name pool name no ip nat inside destination list access-list-name 参数 参数 参数说明 list name 标准IP访问列表的名字。用来自被指定的池中的全局地址对带有目的地址的 - 17 -
04-网络协议配置命令 报文进行翻译,这些包用来发送访问列表 pool name 地址池的名字,在动态翻译的过程中,从这个池中分配内部本地的P地址 缺省 内部目的地址不被翻译 命令模式 全局配置态 使用说明 这个命令用访问列表的格式来建立动态地址翻译。来自和标准访问列表相匹配的地址的 报文,将用指定的地址池中分配的全局地址来进行地址翻译,这个地址池是用 ip nat pool 命令所指定的。 示例 下面的例子把发往171.69233208网络通信的报文翻译为目的地址位于1921682208 网段的内部主机地址 ip nat pool net20819216822081921682223255255255240 ip nat inside destination list a1 pool ne interface ethemet o ip address17169.232.182255255255240 ip address192.168.1.94255255255.0 ip access-list standar a1 pemt17169233208255.255255240 2.1.4 ip nat inside source 使用 ip nat inside source全局配置命令,开启内部源地址的NAT。用这个命令的NO形 式可以删除静态翻译或删除和池的动态关联,注意:动态翻译规则和静态网段翻译规则 在使用时,不能删除 动态NAT
04-网络协议配置命令 报文进行翻译,这些包用来发送访问列表。 pool name 地址池的名字,在动态翻译的过程中,从这个池中分配内部本地的IP地址。 缺省 内部目的地址不被翻译。 命令模式 全局配置态 使用说明 这个命令用访问列表的格式来建立动态地址翻译。来自和标准访问列表相匹配的地址的 报文,将用指定的地址池中分配的全局地址来进行地址翻译,这个地址池是用 ip nat pool 命令所指定的。 示例 下面的例子把发往 171.69.233.208 网络通信的报文翻译为目的地址位于 192.168.2.208 网段的内部主机地址。 ip nat pool net-208 192.168.2.208 192.168.2.223 255.255.255.240 ip nat inside destination list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standar a1 permit 171.69.233.208 255.255.255.240 ! 2.1.4 ip nat inside source 使用 ip nat inside source 全局配置命令,开启内部源地址的 NAT。用这个命令的 NO 形 式可以删除静态翻译或删除和池的动态关联,注意:动态翻译规则和静态网段翻译规则 在使用时,不能删除。 动态 NAT: - 18 -
04-网络协议配置命令 ip nat inside source ( list access-list-name](interface type number i pool pool-name] [overload] no ip nat inside source (list access-list-name (interface type number I pool pool-name][overload] 静态单个地址NAT ip nat inside source (static local-ip global-ip) no ip nat inside source (static ( local-ip global-ip] 静态端口NAT ip nat inside source (static (tcp I udp local-ip local-port (global-ip I interface type number global-port no ip nat inside source (static tcp udp local-ip local-port global-ip interface type number global-port 静态网段NAT ip nat inside source ( static (network local-network global-network mask no ip nat inside source static network local-network global-network mask 参数 参数 参数说明 List access-list-name|P访问列表的名字。源地址符合访问列表的报文将被用地址池中的全局 地址来翻译 pool name 也址池的名字,从这个池中动态地分配全局P地址。 interface type number指定网络接 (可选)使路由器对多个本地地址使用一个全局的地址。当 OVERLOAD 被设置后,相同或者不同主机的多个会话将用TCP或UDP端口号来区 static local-ip 建立一条独立的静态地址翻译:参数为分配给内部网主机的本地P地 址。这个地址可以自由的选择,或从RFc1918中分配 local-port 设置本地 TCP/UDP端口号,范围为1~65535 static global-ip 建立一条独立的静态地址翻译:这个参数为内部主机建立一个外部的网 络可以唯一访问的P地址 global-port 设置全局TCP/UDP端口号,范围为1~65535 设置TCP端口翻译 设置UDP端口翻译
04-网络协议配置命令 ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload] no ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload] 静态单个地址 NAT: ip nat inside source {static {local-ip global-ip} no ip nat inside source {static {local-ip global-ip} 静态端口 NAT: ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port} no ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port} 静态网段 NAT: ip nat inside source {static {network local-network global-network mask} no ip nat inside source {static {network local-network global-network mask} 参数 参数 参数说明 List access-list-name IP访问列表的名字。源地址符合访问列表的报文将被用地址池中的全局 地址来翻译。 pool name 地址池的名字,从这个池中动态地分配全局IP地址。 interface type number 指定网络接口 overload (可选)使路由器对多个本地地址使用一个全局的地址。当OVERLOAD 被设置后,相同或者不同主机的多个会话将用TCP或UDP端口号来区 分。 static local-ip 建立一条独立的静态地址翻译;参数为分配给内部网主机的本地IP地 址。这个地址可以自由的选择,或从RFC 1918中分配。 local-port 设置本地TCP/UDP端口号,范围为1~65535。 static global-ip 建立一条独立的静态地址翻译;这个参数为内部主机建立一个外部的网 络可以唯一访问的IP地址。 global-port 设置全局TCP/UDP端口号,范围为1~65535。 tcp 设置TCP端口翻译 udp 设置UDP端口翻译 - 19 -
04-网络协议配置命令 network local-network设置本地网段翻译 global-network 设置全局网段翻译 设置网段翻译的网络掩码 缺省 任何内部源地址的NAT都不存在。 命令模式 全局配置态 使用说明 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态翻译。 来自和标准访问列表相匹配的地址的报文,将用指定的池中分配的全局地址来进行地址 翻译,这个池是用 ip nat pool 1命令所指定的 可以作为替代方法,带有关键字 STATIC的语法格式创建一条独立的静态地址翻译 静态NAT对于FTP的PAsV模式的支持需要配合 overload类型的命令使用,既:当设 置一个NAT的静态FTP映射时,如果也需要使用FTP的PASV模式,也应该同时使用 个 overload类型的转换,且pat规则中的外网接口地址中应该有一个和静态ftp的外网 地址相同 示例 下面的例子把来自19216810或19216820网络的内部主机间进行通信的P地址翻 译为17169233208/28网络中全局唯一的|P地址。 ip nat pool net-208171.6923320817169233223255.255.255.240 ip nat inside source list a1 pool net-208 interface ethernet 0 ip address17169.232.182255255255240 ip nat outside interface ethernet 1 ip address192168194255255255.0 ip nat inside ip access-list standard a pemt192168.1.0255255255.0 pemt192168202552552550
04-网络协议配置命令 network local-network 设置本地网段翻译 global-network 设置全局网段翻译 mask 设置网段翻译的网络掩码 缺省 任何内部源地址的 NAT 都不存在。 命令模式 全局配置态 使用说明 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态翻译。 来自和标准访问列表相匹配的地址的报文,将用指定的池中分配的全局地址来进行地址 翻译,这个池是用 ip nat pool 命令所指定的。 可以作为替代方法,带有关键字 STATIC 的语法格式创建一条独立的静态地址翻译。 静态 NAT 对于 FTP 的 PASV 模式的支持需要配合 overload 类型的命令使用,既:当设 置一个 NAT 的静态 FTP 映射时,如果也需要使用 FTP 的 PASV 模式,也应该同时使用 一个 overload 类型的转换,且 pat 规则中的外网接口地址中应该有一个和静态 ftp 的外网 地址相同。 示例 下面的例子把来自 192.168.1.0 或 192.168.2.0 网络的内部主机间进行通信的 IP 地址翻 译为 171.69.233.208/28 网络中全局唯一的 IP 地址。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat inside source list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 192.168.1.0 255.255.255.0 permit 192.168.2.0 255.255.255.0 ! - 20 -
04-网络协议配置命令 静态FTP的PASV模式使用示例。 ip nat inside source static tcp 10.1.1.1 21 204.112.1.2 8021 ip nat inside source static tcp 10.1.1.1 20 204. 112.1.2 8020 ip nat inside source list test1 interface fo/O 2.1.5 ip nat outside source 使用 ip nat outside source全局配置命令,开启外部源地址的NAT。用这个命令的NO形 式,可以删除静态条目或动态关联,注意:动态翻译规则和静态网段翻译规则在使用时, 不能删除。 动态NAT ip nat outside source list access-list-name) pool pool-name no ip nat outside source list access-list-name) pool pool-name 静态单个地址NAT ip nat outside source static global-ip local-py no ip nat outside source static iglobal-ip local-ip) 静态端口NAT: ip nat outside source static tcp udp global-ip global-port local-ip local-port no ip nat outside source (static ( tcp udp global-ip global-port local-ip local-port] 静态网段NAT: ip nat outside source(static network global-network local-network mask) no ip nat outside source static network global-network local-network mask 参数 参数 参数说明 List access-list-name标准P访问列表的名字。目的地址符合访问列表的报文将被用地址池中的全 局地址来翻译。 pool name 池的名字,从这个池重动态地分配全局P地址 Static global-ip 建立一条独立的静态地址翻译:参数为建立外部网络的主机所分配的全局IP 地址。这个地址可以从全局可路由的网络地址空间中分配 global-port 设置全局 TCP/UDP端口号,范围为1~65535。 建立一条独立的静态地址翻译:这个参数为内部主机建立一个内部网络可以 唯一访问的外部主机的本地|P地址。这个地址可以从内部网络可路由的地址
04-网络协议配置命令 静态 FTP 的 PASV 模式使用示例。 ip nat inside source static tcp 10.1.1.1 21 204.112.1.2 8021 ip nat inside source static tcp 10.1.1.1 20 204.112.1.2 8020 ip nat inside source list test1 interface f0/0 2.1.5 ip nat outside source 使用 ip nat outside source 全局配置命令,开启外部源地址的 NAT。用这个命令的 NO 形 式,可以删除静态条目或动态关联,注意:动态翻译规则和静态网段翻译规则在使用时, 不能删除。 动态 NAT ip nat outside source {list access-list-name} pool pool-name no ip nat outside source {list access-list-name} pool pool-name 静态单个地址 NAT: ip nat outside source static {global-ip local-ip} no ip nat outside source static {global-ip local-ip} 静态端口 NAT: ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port} no ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port} 静态网段 NAT: ip nat outside source {static network global-network local-network mask} no ip nat outside source {static network global-network local-network mask} 参数 参数 参数说明 List access-list-name 标准IP访问列表的名字。目的地址符合访问列表的报文将被用地址池中的全 局地址来翻译。。 pool name 池的名字,从这个池重动态地分配全局IP地址。 Static global-ip 建立一条独立的静态地址翻译;参数为建立外部网络的主机所分配的全局IP 地址。这个地址可以从全局可路由的网络地址空间中分配。 global-port 设置全局TCP/UDP端口号,范围为1~65535。 Static local-ip 建立一条独立的静态地址翻译;这个参数为内部主机建立一个内部网络可以 唯一访问的外部主机的本地IP地址。这个地址可以从内部网络可路由的地址 - 21 -