網絡安全配置學習目標掌握NAT動態轉換配置方法

掌握NAT靜態轉換配置方法

掌握應用IPACL配置方法掌握擴展IPACL定義方法

掌握標準IPACL定義方法5.1ACL配置ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習ACL通過應用訪問控制列表到路由器接口來管理流量和審視特定分組。ACL適用于所有的路由協議，當分組經過路由器時進行過濾。可在路由器上配置ACL以控制對某一網絡或子網的訪問。ACL的定義必須基于協議。訪問控制列表（AccessControlList，ACL）是一個連續的允許和拒絕語句的集合，關系到地址或上層協議。（2）一個ACL的配置是每協議、每接口、每方向的。（3）ACL的語句順序決定了對數據包的控制順序。（4）最有限制性的語句應放在ACL語句的首行。（5）在將ACL應用到接口之前，一定要先建立訪問控制列表。（6）ACL的語句能被逐條地刪除，只能一次性地刪除整個訪問控制列表。（7）在ACL的最后，有一條隱含的“全部拒絕”的命令。（8）ACL只能過濾穿過路由器的數據流量，不能過濾路由器本身發出的數據包。5.1ACL配置（1）ACL的列表號指出是哪種協議的ACL定義ACL時所應遵循的規范：協議范圍標準IP1-99擴展IP100-199AppleTalk600-699標準IPX800-899擴展IPX900-999IPXSAP1000-1999ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置為移除標準訪問列表，使用該命令的no形式。no

access-list

access-list-number在全局配置模式下前提模式：命令格式：功能：定義標準IP訪問列表access-list

access-list-number{deny|permit}source

[source-wildcard]access-list-numberdenypermitsourcesource-wildcard訪問列表編號在匹配條件語句時，拒絕分組通過在匹配條件語句時，允許分組通過發送分組的源地址，指定源地址方式如下：32位點分十進制。使用關鍵字any，作為55的源地址和源地址通配符的縮寫字。（可選項）通配符掩碼，指定源地址通配符掩碼方式如下：32位點分十進制。使用關鍵字any，作為55的源地址和源地址通配符的縮寫字。ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置通配符掩碼:一個32比特的數字字符串。0表示檢查相應位1表示不檢查相應位通配符掩碼跟IP地址是成對出現的。在通配符掩碼的地址位使用1或0表明如何處理相應的IP地址位。ACL使用通配符掩碼來標志一個或幾個地址是被允許，還是被拒絕。所有主機:55簡寫any特定的主機：9簡寫hostACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例標準訪問列表允許IP地址范圍從4到27的設備訪問。Router(config)#access-list1permit55Router(config)#access-list1permit55Router(config)#access-list1permit55例標準訪問列表允許來自三個指定網絡上的主機訪問。Router(config)#access-list1permit43例為了更容易地指定大量單獨地址，如果通配符掩碼都為0，可以忽略。因此，如下三個配置效果是一樣的。Router(config)#access-list2permitRouter(config)#access-list2permithostRouter(config)#access-list2permitACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例來自網絡的主機被限制訪問該路由器，但網絡中所有其它IP主機被允許。另外，地址3主機允許訪問該路由器。Router(config)#access-list1permit3Router(config)#access-list1deny55Router(config)#access-list1permit55ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例應用列表101過濾從以太網接口0出站的分組。Router>enableRouter#configureterminalRouter(config)#interfaceethernet0Router(config-if)#ipaccess-group101out在接口配置模式下前提模式：命令格式：功能：應用一個IP訪問列表到一個接口ipaccess-group{access-list-name|

access-list-number}{in|out}為移除一個IP訪問列表，使用該命令的no形式。

no

ipaccess-group{access-list-number|

access-list-name}{in|out}access-list-numberinoutIP訪問列表的號碼入站過濾分組出站過濾分組access-list-nameIP訪問列表名字ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例定義訪問列表只允許在網絡上的主機連接到路由器上虛擬終端端口。

Router(config)#access-list12permit55Router(config)#

line15Router(config-line)#

access-class12in在線路配置模式下前提模式：命令格式：功能：限制一個特定的vty之間的傳入和傳出連接和在訪問列表中的地址access-classaccess-list-number{in|out}為移除訪問限制，使用該命令的no形式。noaccess-classaccess-list-number{in|out}inout在傳入連接限制在傳出連接限制access-list-numberIP訪問列表的號碼ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置擴展ACL既可檢查分組的源地址和目的地址，也檢查協議類型和TCP或UDP的端口號。可以基于分組的源地址、目的地址、協議類型、端口地址和應用來決定訪問是被允許或者被拒絕。ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置在全局配置模式下前提模式：命令格式：功能：定義擴展IP訪問列表access-listaccess-list-number

{deny|permit}protocol

source

source-wildcard

destination

destination-wildcard為移除訪問列表，使用該命令的no形式。no

access-list

access-list-number

InternetControlMessageProtocol(ICMP)

access-list-numberdenypermitprotocolsourcesource-wildcarddestinationdestination-wildcard訪問控制列表編號如果條件符合就拒絕訪問如果條件符合就允許訪問Internet協議名稱或號碼發送分組的網絡號或主機應用于源地址的反向掩碼分組的目的網絡號或主機應用于目的地址的反向掩碼ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例串行接口0是地址為的B類網絡的一部分，郵件主機的地址為。established關鍵字只用在TCP協議，表示一個建立的連接。如果TCP數據包中的ACK或RST被設置，那么匹配發生，表明分組屬于一個存在的連接。Router(config)#access-list102permittcp5555establishedRouter(config)#access-list102permittcp55eq25Router(config)#interfaceserial0Router(config-if)#ipaccess-group102in例允許DNS分組和ICMP回送和回送回答分組。Router(config)#access-list102permittcpany55establishedRouter(config)#access-list102permittcpanyhosteqsmtpRouter(config)#access-list102permittcpanyanyeqdomainRouter(config)#access-list102permitudpanyanyeqdomainRouter(config)#access-list102permiticmpanyanyechoRouter(config)#access-list102permiticmpanyanyecho-replyACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例串行接口0連接路由器到Internet。IGMP的host-report報文被禁止在任何內部主機與任何Internet上外部主機之間傳送。Router(config)#access-list102denyigmpanyanyhost-reportRouter(config)#interfaceserial0Router(config-if)#ipaccess-group102out例以太網接口0連接路由器到防火墻以訪問Internet。為了確保InternetRIP報文不進入路由器，應用了ACL104的拒絕RIPUDP報文的入站過濾器。Router(config)#access-list104permitudpanyanyneqripRouter(config)#access-list104denyudpanyanyeqripRouter(config)#interfaceserial0Router(config-if)#ipaccess-group104inACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置使用命名ACL有以下好處：（1）直觀（2）不受99條標準ACL和100條擴展ACL的限制（3）方便修改在全局配置模式下前提模式：命令格式：功能：定義一個使用名稱或編號的IP訪問列表ipaccess-list{standard|

extended}{access-list-name|

access-list-number}移除IP訪問列表，使用該命令的no形式。no

ipaccess-list{standard|extended}{access-list-name|access-list-number}

standard

extendedaccess-list-nameaccess-list-number標準IP訪問列表擴展IP訪問列表IP訪問列表名稱訪問列表的編號ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例定義標準訪問列表，命名為Internetfilter。Router(config)#ipaccess-liststandardInternetfilterRouter(config-std-nacl)#permit55Router(config-std-nacl)#permit55Router(config-std-nacl)#permit55在實現命名ACL之前，需要考慮：（1）11.2之前版本的CiscoIOS軟件不支持命名ACL。（2）不能夠以同一名字命名多個ACL。例定義擴展訪問列表，命名為server-accessRouter(config)#ipaccess-listextendedserver-accessRouter(config-ext-nacl)#permittcpanyhost9eqsmtpRouter(config-ext-nacl)#permittcpanyhost9eqdomainRouter(config-ext-nacl)#permitipanyanyACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例定義擴展訪問列表，命名為server-accessRouter(config)#ipaccess-listextendedserver-accessRouter(config-ext-nacl)#permittcpanyhost9eqsmtpRouter(config-ext-nacl)#permittcpanyhost9eqdomainRouter(config-ext-nacl)#permitipanyany例從標準命名ACL中刪除單獨的ACE。Router(config)#ipaccess-liststandardborder-listRouter(config-ext-nacl)#nopermitiphostany例從標準命名ACL中刪除單獨的ACE。Router(config)#ipaccess-liststandardborder-listRouter(config-ext-nacl)#nopermitiphostanyACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置命令如下：Router(config)#access-list1denyhostRouter(config)#access-list1permitany擴展的ACL命令如下：Router(config)#access-list101denyiphosthostRouter(config)#access-list101permitipanyany放置ACL的一般原則是：擴展ACL盡可能放置在距離要被拒絕的通信量近的地方。標準ACL應該盡可能放置在距離目的地最近的地方。如果要禁止PC3訪問PC1，可以在網絡中使用標準的ACLACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置使用的位置ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例查看全部ACL。Router#showaccess-listsStandardIPaccesslist1deny,wildcardbits55permitanyExtendedIPaccesslist101denytcp55.255eqftppermitipanyany在用戶模式或特權模式下前提模式：命令格式：功能：顯示當前訪問列表的內容showaccess-lists[access-list-number|access-list-name]access-list-numberaccess-list-name(可選項)訪問列表編號(可選項)訪問列表名稱ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置在特權模式下前提模式：命令格式：功能：顯示所有當前IP訪問列表的內容showipaccess-list[access-list-number

|

access-list-name|interface

interface-name

[in|out]][access-list-numberaccess-list-nameinterface

interface-nameinout(可選項)IP訪問列表編號(可選項)IP訪問列表名稱(可選項)接口名稱(可選項)輸入接口統計信息(可選項)輸出接口統計信息ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例顯示所有訪問列表。Router#showipaccess-listExtendedIPaccesslist101

denyudpanyanyeqntp

permittcpanyany

permitudpanyanyeqtftp

permiticmpanyany

permitudpanyanyeqdomain例顯示指定名稱的訪問列表。Router#showipaccess-listInternetfilterExtendedIPaccesslistInternetfilterpermittcpany55eqtelnetdenytcpanyanydenyudpany55lt1024

denyipanyanylog例顯示快速以太網接口0/0的輸入統計信息Router#showipaccess-listinterfaceFastEthernet0/0in

ExtendedIPaccesslist150in10permitiphostany30permitiphostany(15matches)ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.1ACL配置例清除訪問列表101的計數器。Router#

clearaccess-listcounters101在特權模式下前提模式：命令格式：功能：清除訪問列表的計數器clearaccess-listcounters{access-list-number|access-list-name}access-list-numberaccess-list-name訪問列表編號訪問列表名稱ACL配置ACL概述配置標準ACL應用ACL配置擴展ACL配置命名ACL

ACL在網絡中的應用位置監視與維護ACL

NAT配置實驗練習5.2NAT配置ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習網絡地址轉換(NAT,NetworkAddressTranslation)靜態轉換StaticNat動態轉換DynamicNat端口多路復用OverLoad

NAT的實現方式:僅以增強的網絡狀態作為補充，而忽略了IP地址端對端的重要性。NAT解決方法的不足:InsideLocalIPAddress，內部本地地址InsideGlobalIPAddress，內部全局地址OutsideLocalIPAddress，外部本地地址OutsideGlocalIPAddress，外部全局地址NAT使用下列地址定義：5.2NAT配置靜態NAT轉換ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在全局配置模式下前提模式：靜態NAT命令格式：功能：啟用內部源地址的NAT靜態轉換ip

nat

inside

source

static

{local-ip

global-ip}為移除靜態轉換，使用該命令的no形式。noipnatinsidesourcestatic{local-ipglobal-ip}內部網絡主機本地IP地址內部主機全局IP地址local-ipglobal-ipACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置端口靜態NAT命令格式：ip

nat

inside

source

static{tcp|udp

{local-ip

local-port

global-ip

global-port

|interface

global-port}}為移除靜態轉換，使用該命令的no形式。no

ip

nat

inside

source

static{tcp|udp

{local-ip

local-port

global-ip

global-port|interface

global-port}}網絡靜態NAT命令格式：ip

nat

inside

source

static

network

local-network

global-network

mask為移除靜態轉換，使用該命令的no形式。no

ip

nat

inside

source

static

network

local-network

global-network

masktcpudplocal-portglobal-port傳輸控制協議用戶數據報協議本地TCP/UDP端口號全局TCP/UDP端口號local-networkglobal-networkmask本地子網轉換全局子網轉換子網轉換使用的IP網絡掩碼ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在接口配置模式下前提模式：命令格式：功能：指定接口對NAT是流量來源或者目的ipnat[inside|outside]為阻止接口能夠轉發，使用該命令的no形式。noipnat[inside|outside]insideoutside（可選項）表明接口連接到外部網絡（可選項）表明接口連接到內部網絡ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置例靜態NAT配置ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置（1）配置靜態NAT映射Router(config)#ipnatinsidesourcestaticRouter(config)#ipnatinsidesourcestatic（2）配置NAT內部接口Router(config)#interfacefastethernet0/1Router(config-if)#ipnatinside（3）配置NAT外部接口Router(config-if)#interfaceserial1/0Router(config-if)#ipnatoutside在PC0和PC1上ping（路由器Router1的串行接口1/0）,此時應該是通的，路由器Router0的輸出信息如下：Router#debugipnatIPNATdebuggingisonRouter#NAT:s=->,d=[0]NAT*:s=,d=->[0]NAT:s=->,d=[0]NAT*:s=,d=->[0]ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置查看NAT表Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal------------------ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置動態NAT轉換ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在全局配置模式下前提模式：命令格式：功能：定義NAT的IP地址池ip

nat

pool

name

start-ip

end-ip

{netmask

netmask|prefix-length

prefix-length}為從池中移除一個或多個地址，使用該命令的no形式。noipnatpoolnamestart-ipend-ip

{netmasknetmask

|prefix-lengthprefix-length}

namestart-ipend-ipnetmask

netmaskprefix-length

prefix-length地址池名地址池中起始IP地址地址池中結束IP地址地址池所屬網絡的網絡掩碼地址池所屬網絡的網絡掩碼前綴長度ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在全局配置模式下前提模式：命令格式：功能：定義一個標準訪問控制列表以允許地址被轉換access-list

access-list-number

{deny|permit}source[source-wildcard]為移除標準訪問列表，使用該命令的no形式。no

access-list

access-list-numberACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在全局配置模式下前提模式：命令格式：功能：啟用內部源地址的NATip

nat

inside

source

list

{access-list-number

|access-list-name}{interface

type

number|pool

name}[overload]為移除到地址池動態關聯，使用該命令的no形式。no

ip

nat

inside

source

list{access-list-number|access-list-name}{interface

type

number|pool

name}[overload]

access-list-numberaccess-list-nameinterface

type

numberpool

nameoverload標準IP訪問列表的編號標準IP訪問列表的名稱全局地址的接口類型、編號全局IP地址動態分配的地址池的名稱（可選項）多個本地地址使用一個全局地址ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置例動態NAT配置ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置配置動態NAT轉換的地址池。Router(config)#ipnatpoolNAT00netmaskRouter(config)#ipnatinsidesourcelist1poolNATRouter(config)#access-list1permit55Router(config)#interfacefastethernet0/1Router(config-if)#ipnatinsideRouter(config-if)#interfaceserial1/0Router(config-if)#ipnatoutside配置動態NAT映射。允許動態NAT轉換的內部地址范圍。ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在PC0和PC1上ping（路由器Router1的串行接口1/0）,此時應該是通的，路由器Router0的輸出信息如下：Router#debugipnatIPNATdebuggingisonRouter#NAT:s=->,d=[3]NAT*:s=,d=->[3]NAT:s=->,d=[4]NAT*:s=,d=->[4]如果動態地址池中的沒有足夠的地址進行動態映射，則會出現類似下面的信息，提示NAT轉換失敗，并丟棄數據包。Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal------------------ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置查看NAT轉換的統計信息。Router#showipnatstatisticsTotaltranslations:2(0static,2dynamic,0extended)OutsideInterfaces:Serial1/0InsideInterfaces:FastEthernet0/1Hits:43Misses:4Expiredtranslations:0Dynamicmappings:--InsideSourceaccess-list1poolNATrefCount2poolNAT:netmaskstartend00typegeneric,totaladdresses98,allocated2(2%),misses0ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置PAT轉換ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置例配置PATACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置（1）配置動態NAT轉換的地址池Router(config)#ipnatpoolNAT00netmask（2）配置PATRouter(config)#ipnatinsidesourcelist1poolNAToverload（3）配置允許動態NAT轉換的內部地址范圍Router(config)#access-list1permit55Router(config)#interfacefastethernet0/1Router(config-if)#ipnatinsideRouter(config-if)#interfaceserial1/0Router(config-if)#ipnatoutsideACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在PC0和PC1上ping（路由器Router1的串行接口1/0）,此時應該是通的，路由器Router0的輸出信息如下：Router#debugipnatIPNATdebuggingisonRouter#NAT:s=->,d=[5]NAT*:s=,d=->[5]NAT:s=->,d=[6]NAT*:s=,d=->[6]Router#showipnattranslationsPro Insideglobal Insidelocal OutsidelocalOutsideglobalicmp :21 :21:21:21icmp :10 :10:10:10tcp :1027 :1027:23:23ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置以上輸出表明進行PAT轉換使用的是同一個IP地址的不同端口號。Router#showipnatstatisticsTotaltranslations:11(0static,11dynamic,11extended)OutsideInterfaces:Serial1/0InsideInterfaces:FastEthernet0/1Hits:98Misses:27Expiredtranslations:12Dynamicmappings:--InsideSourceaccess-list1poolNATrefCount11poolNAT:netmaskstartend00typegeneric,totaladdresses98,allocated1(1%),misses0ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置動態NAT的過期時間是86400s，PAT的過期時間是60s，通過showipnattranlastionsverbose命令可以查看，也可以通過下面的命令修改超時時間：Router(config)#ipnattranslationtimeouttimeout如果主機的數量不是很多，可以直接使用outside接口地址配置PAT，不必定義地址池，命令如下：

參數timeout的范圍是0到2147486。Router(config)#ipnatinsidesourcelist1interfaceserial1/0overloadACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習ipnat

translation{timeout|udp-timeout|dns-timeout|tcp-timeout|

finrst-timeout

|icmp-timeout

|pptp-timeout|syn-timeout|port-timeout|arp-ping-timeout}{seconds

|never}5.2NAT配置在全局配置模式下前提模式：命令格式：改變NAT轉換超時時間為禁用超時，使用該命令的no形式。no

ipnattranslation{timeout|udp-timeout|dns-timeout|tcp-timeout|finrst-timeout|icmp-timeout|pptp-timeout|syn-timeout|port-timeout|arp-ping-timeout}timeout功能：udp-timeoutdns-timeouttcp-timeout

finrst-timeouticmp-timeoutpptp-timeout

syn-timeoutport-timeoutarp-ping-timeoutseconds

never應用于動態轉換的超時值，除復用轉換外，默認為86400秒（24小時）應用于UDP端口的超時值，默認為300秒（5分鐘）。應用于DNS連接的超時值，默認為60秒應用于TCP端口的超時值，默認為86400秒（24小時）應用于結束（FIN）和復位（RST）中止連接的TCP包超時值，默認為60秒ICMP流的超時值，默認為60秒NATPPTP流的超時值，默認為86400秒（24小時）。緊接SYN傳輸消息后TCP流的超時值，默認為60秒。應用于TCP/UDP端口的超時值端口轉換超時的秒數，默認為0沒有端口轉換超時應用于arpping的超時值ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在用戶模式或特權模式下前提模式：命令格式：功能：顯示活動的NAT轉換showipnattranslations[protocol][verbose]protocolverbose(可選項)顯示協議項目，協議參數關鍵字如下：esp：ESP協議項目。icmp：ICMP協議項目。pptp：PPTP協議項目。tcp：TCP協議項目。udp：UDP協議項目。

(可選項)顯示每個轉換表項目的額外信息。ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置例showipnattranslations命令輸出Router#showipnattranslationsPro

SourceglobalSourcelocalDestinlocalDestinglobalicmp

54:25

30:25:25

00:25icmp

54:26

30:26

:26

00:26icmp

54:27

30:27

:27

00:27icmp

54:28

30:28

:28

00:28協議源全局地址源本地地址目的本地地址目的全局地址ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在特權模式下前提模式：命令格式：功能：顯示NAT統計信息showipnattranslations例showipnatstatistics命令輸出Router#showipnatstatisticsTotaltranslations:2(0static,2dynamic;0extended)Outsideinterfaces:Serial0Insideinterfaces:Ethernet1Hits:135Misses:5Expiredtranslations:2Dynamicmappings:--InsideSourceaccess-list1poolnet-208refcount2poolnet-208:netmask40start08end21typegeneric,totaladdresses14,allocated2(14%),misses0系統活動的轉換數外部接口列表內部接口列表轉換表查詢找到表項的次數轉換表查詢沒有找到表項的次數過期的轉換數動態映射信息內部源轉換信息訪問列表編號地址池的名稱使用地址池的轉換數地址池IP網絡掩碼地址池起始IP地址地址池終止IP地址地址池的類型，可能的類型為generic或rotary。地址池可用的地址數被使用的地址數地址池分配失敗數ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置在特權模式下前提模式：命令格式：功能：從轉換表中清除動態NAT轉換clearipnattranslation{*|[inside

global-ip

global-portlocal-ip

local-port]|[outside

local-ip

global-ip][esp|tcp|udp]}*insideglobal-ipglobal-portlocal-iplocal-portoutsideesptcpudp清除所有動態轉換(可選項)清除含有指定global-ip和local-ip地址的內部轉換(可選項)全局IP地址(可選項)全局端口(可選項)本地IP地址(可選項)本地端口(可選項)清除含有指定global-ip和local-ip地址的外部轉換(可選項)從轉換表清除ESP項目(可選項)從轉換表清除TCP項目(可選項)從轉換表清除UDP項目ACL配置NAT配置

NAT概述內部源地址靜態轉換內部源地址動態轉換內部源地址復用動態轉換修改轉換超時監視與維護NAT實驗練習5.2NAT配置例顯示UDP項目被清除前后的NAT項目。Router>showipnattranslationsPro Insideglobal

Insidelocal Outsidelocal Outsideglobaludp 09:1220

5:1220

32:53

32:53tcp 09:11012 9:11012

20:23

20:23tcp 09:1067