一、创建访问控制列表(ACL)
1. 定义基础 ACL
acl basic 2000
rule 0 permit source <内网IP地址> <反向掩码>参数说明
- 内网IP地址:允许进行 NAT 转换的内网地址(例如
192.168.1.0) 反向掩码:通配符掩码(例如
0.0.0.255对应子网掩码255.255.255.0)- 示例:
rule 0 permit source 192.168.1.0 0.0.0.255表示允许192.168.1.0/24网段。
- 示例:
二、配置外网接口 NAT 规则
1. 基于端口的动态 NAT(PAT)
interface GigabitEthernet0/0/1 # 进入外网接口
nat outbound 2000 # 绑定 ACL 2000 的规则功能说明
- 将匹配 ACL 2000 的内网 IP 流量,通过外网接口进行端口复用(PAT),共享单一公网 IP。
2. 端口映射(静态 NAT)
nat server protocol <协议类型> global <外网接口IP> <外网端口> inside <内网IP> <内网端口>参数说明
- 协议类型:
tcp或udp - 外网接口IP:可直接写
current-interface(自动获取接口 IP)或指定公网 IP - 外网端口:对外开放的端口号
- 内网IP:目标服务器的内网地址
- 内网端口:目标服务的端口号
配置示例
nat server protocol tcp global current-interface 8080 inside 192.168.1.100 80- 功能:将外网接口的 TCP 8080 端口映射到内网
192.168.1.100的 80 端口(HTTP 服务)。
三、验证与维护
1. 查看 NAT 会话表
display nat session all2. 检查 ACL 规则
display acl 20003. 清除 NAT 配置
reset nat session all # 清空 NAT 会话表
undo nat outbound 2000 # 删除动态 NAT 规则
undo nat server ... # 删除指定端口映射规则四、注意事项
ACL 规则优先级:
- 规则按序号从小到大匹配,需确保允许规则(如
rule 0 permit)在拒绝规则前生效。
- 规则按序号从小到大匹配,需确保允许规则(如
防火墙协同:
- 若外网接口启用了防火墙,需放行相关端口(如
8080)。
- 若外网接口启用了防火墙,需放行相关端口(如
端口冲突:
- 避免外网端口与其他服务冲突(如
80、443等常用端口需谨慎映射)。
- 避免外网端口与其他服务冲突(如
协议一致性:
- 端口映射需确保协议类型(TCP/UDP)与内网服务一致。
多设备兼容性:
- 不同厂商设备命令可能不同(如华为/H3C/Cisco),需根据实际设备调整语法。
评论 (0)