网络工程 - Nat ACL 问题？ - 吾爱随笔录

Nat ACL 问题？

网络工程纳特 acl

2022-01-31 22:23:45

我对我曾经是专家的基础知识感到非常困惑，所以我有这个拓扑

请分别回答我的问题，

问题 1）所以如果我有两个 DNS 服务器，并且两个 IP 地址（81.1.1.30 和 31）可从 ISP 获得

这个配置对于端口转发就足够了吗？

Switch3650(config)#ip nat inside source static 192.168.1.50 80 81.1.1.30 80

Switch3650(config)#ip nat inside source static 192.168.1.51 80 81.1.1.31 80

Switch3650(config)#int vlan 1

Switch3650(config-if)#ip nat inside

Switch3650(config)#int fa1/2

Switch3650(config-if)#ip nat outside

我的外部接口的配置只需要配置一个或两个 IP 地址？

Switch3650(config)#int fa1/2

Switch3650(config-if)#ip add 81.1.1.30 255.255.255.254

**or** defining two ip addresses on my interface

Switch3650(config)#int fa1/2

Switch3650(config-if)#ip add 81.1.1.30 255.255.255.255

Switch3650(config-if)#ip add 81.1.1.31 255.255.255.255 secondary

我在这里得到同样的结果吗？那么当我们无法在一行中使用子网掩码覆盖可用的有效（公共）IP 时，我们什么时候使用辅助 IP？

那么如果我只在外部接口上放一个 IP 地址会发生什么？nat 不会再翻译了，因为它找不到外部接口，因为它没有在路由表中列出，对吧？

Switch3650(config-if)#ip add 81.1.1.30 255.255.255.255

问题2）

所以假设我想 PAT 使我的网络的其余部分过载，它们不是那两台服务器，它们是 IP 范围从 192.168.1.1 到 192.168.1.49 的客户端我应该如何计算通配符掩码？

Switch3650(config)#access-list 1 permit 192.168.1????????????

Switch3650(config)#ip nat inside source list 1  81.1.1.30 80 overload

这就是我放的

**0 0** 0 0 0 0 0 1 = 1

**0 0** 1 1 0 0 0 1 = 49

根据这个算法

网络地址是 0 是错误的，它必须是 1，因为它从 1 开始，

我错过了什么？

我猜网络掩码必须是：192 等于 63 的通配符

请回答我所有的问题，我很困惑

谢谢

2个回答

1）您根本不需要在接口上使用IP地址作为NAT外部地址。对于您的示例，如果您的接口上有 81.1.1.30/24，则可以将 81.1.1.0/24 网络中的任何其他网络用于 NAT、81.1.1.100 和 81.1.1.200 实例。

此外，您使用 /32 掩码（ip add 81.1.1.30 255.255.255.255）的配置对我来说没有多大意义，您如何将其连接到上游？

2）如果您需要从 1 到 49 的 NAT 地址，则需要将所有地址空间拆分为正确的子网，例如（1-49）可以是：

access-list 1 permit 192.168.1.1/32  
  access-list 1 permit 192.168.1.2/31  
  access-list 1 permit 192.168.1.4/30  
  access-list 1 permit 192.168.1.8/29  
  access-list 1 permit 192.168.1.16/28  
  access-list 1 permit 192.168.1.32/28  
  access-list 1 permit 192.168.1.49/32

它适用于（1-49），但对我来说这是一个非常奇怪的设计，你可以使用 192.168.1.0/27 (0-31) 和 192.168.1.32/28 (32-47) 来做这样的事情。

根据您的网络拓扑并以优化的方式满足您的要求，您可以同时使用公共 IP 地址 81.1.1.30 和 81.1.1.31 两个 ip 用于传入流量的静态 natting 以到达 dns 服务器 192 .168.1.50 和 192.168.1 51 。下面的例子

#Ip nat inside souce static 81.1.1.30 192.168.1.50 53

#ip nat inside source stati. 81.1.1.31 192.168.1.51 53

对于您对源 IP 范围从 192.168.1.1 到 192.168.1.49 客户端访问 Internet 资源的出站流量的进一步要求。然后此流量将为此流量从内向外出站。请使用接口分配 IP 地址 81.1.1.30 `#aacess-list 101 ip address 192.158.1.0 0.0.0.63 创建 PAT 过载 nat 配置

在这里您可以使用 /26 子网通配符掩码，它将提供 64 个主机。您的要求是 49 个客户端以确保可扩展性和未来需求 14 个 IP 可以保留以供将来使用

用于出站流量的 nat 转换的 Nat 过载配置

#Ip nat inside souce list 101 interfàce Fa1/2 overload

其它你可能感兴趣的问题

上一篇重命名现有BGP对等体组的方法下一篇C2960 - 内存容量不足