网络安全配置课件.ppt

第第5章章￿ ￿ 网络安全配置网络安全配置￿ ￿中原工学院 计算机学院 网络工程系《网络安全配置》学习目标学习目标掌握掌握NAT动态转换配置方法动态转换配置方法 掌握掌握NAT静态转换配置方法静态转换配置方法 掌握应用掌握应用IP ACL配置方法配置方法掌握扩展掌握扩展IP ACL定义方法定义方法 掌握标准掌握标准IP ACL定义方法定义方法《网络安全配置》5.1 ACL配置配置1ACL配置þACL概述¨配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习uACL通过应用访问控制列表到路由器接口通过应用访问控制列表到路由器接口￿ ￿￿￿￿￿￿￿来管理流量和审视特定分组来管理流量和审视特定分组uACL适用于所有的路由协议，当分组经过适用于所有的路由协议，当分组经过￿ ￿￿￿￿￿￿￿路由器时进行过滤路由器时进行过滤u可在路由器上配置可在路由器上配置ACL以控制对某一网络以控制对某一网络￿ ￿￿￿￿￿￿￿或子网的访问或子网的访问uACL的定义必须基于协议的定义必须基于协议访问控制列表访问控制列表￿ ￿（（Access Control List，，ACL））￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿是一个连续的允许和拒绝语句的集合，关系是一个连续的允许和拒绝语句的集合，关系￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿到地址或上层协议。

到地址或上层协议《网络安全配置》（（2）一个）一个ACL的配置是每协议、每接口、每的配置是每协议、每接口、每         方向的3））ACL的语句顺序决定了对数据包的控制的语句顺序决定了对数据包的控制         顺序4）最有限制性的语句应放在）最有限制性的语句应放在ACL语句的首语句的首         行5）在将）在将ACL应用到接口之前，一定要先建应用到接口之前，一定要先建         立访问控制列表立访问控制列表6））ACL的语句的语句 能被逐条地删除，只能一次能被逐条地删除，只能一次         性地删除整个访问控制列表性地删除整个访问控制列表7）在）在ACL的最后，有一条隐含的的最后，有一条隐含的“全部拒绝全部拒绝”         的命令8））ACL只能过滤穿过路由器的数据流量，不只能过滤穿过路由器的数据流量，不         能过滤路由器本身发出的数据包能过滤路由器本身发出的数据包5.1 ACL配置配置（（1））ACL的列表号指出是哪种协议的的列表号指出是哪种协议的ACLØ定义定义ACL时所应遵循的规范：时所应遵循的规范：协议协议范围范围标准标准IPIP1-991-99扩展扩展IPIP100-199100-199AppleTalkAppleTalk600-699600-699标准标准IPXIPX800-899800-899扩展扩展IPXIPX900-999900-999IPX SAPIPX SAP1000-19991000-19991ACL配置þACL概述¨配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置为移除标准访问列表，使用该命令的为移除标准访问列表，使用该命令的no形式。

形式no access-list access-list-number在全局配置模式下在全局配置模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：定义标准定义标准IP访问列表访问列表access-list access-list-number {deny | permit} source [source-wildcard]access-list-numberdeny permitsourcesource-wildcard访问列表访问列表编号编号在匹配条件语句在匹配条件语句时，拒绝分组通时，拒绝分组通过过在匹配条件语句在匹配条件语句时，允许分组通时，允许分组通过过发送分组的源地址，指定源发送分组的源地址，指定源地址方式如下：地址方式如下：32位点分十进制位点分十进制使用关键字使用关键字any，作为，作为0.0.0.0 255.255.255.255的源地址和源的源地址和源地址通配符的缩写字地址通配符的缩写字可选项）通配符掩码，指定（可选项）通配符掩码，指定源地址通配符掩码方式如下：源地址通配符掩码方式如下：32位点分十进制位点分十进制使用关键字使用关键字any，作为，作为0.0.0.0 255.255.255.255的源地址和源的源地址和源地址通配符的缩写字。

地址通配符的缩写字1ACL配置oACL概述þ配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置通配符掩码通配符掩码:一个一个32比特的数字字符串比特的数字字符串0  表示检查相应位表示检查相应位   1  表示不检查相应位表示不检查相应位u通配符掩码跟通配符掩码跟IP地址是成对出现的在通配符地址是成对出现的在通配符￿￿￿￿￿￿￿￿掩码的地址位使用掩码的地址位使用1或或0表明如何处理相应的表明如何处理相应的IP￿￿￿￿￿￿￿￿地址位uACL使用通配符掩码来标志一个或几个地址是使用通配符掩码来标志一个或几个地址是￿￿￿￿￿￿被允许，还是被拒绝被允许，还是被拒绝所有主机所有主机: 0.0.0.0 255.255.255.255简写简写any特定的主机：特定的主机：172.30.16.29 0.0.0.0简写简写host1ACL配置oACL概述þ配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 标准访问列表允许标准访问列表允许IP地址范围从地址范围从   10.29.2.64到到10.29.2.127的设备访问。

的设备访问Router(config)# access-list 1 permit 192.168.34.0 0.0.0.255Router(config)# access-list 1 permit 10.88.0.0 0.0.255.255Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255F例例 标准访问列表允许来自三个指定网络上的标准访问列表允许来自三个指定网络上的   主机访问主机访问Router(config)# access-list 1 permit 10.29.2.64 0.0.0.63F例例 为了更容易地指定大量单独地址，如果通为了更容易地指定大量单独地址，如果通    配符掩码都为配符掩码都为0，可以忽略因此，如下三个，可以忽略因此，如下三个    配置效果是一样的配置效果是一样的 Router(config)# access-list 2 permit 10.48.0.3Router(config)# access-list 2 permit host 10.48.0.3Router(config)# access-list 2 permit 10.48.0.3 0.0.0.01ACL配置oACL概述þ配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 来自来自10.8.1.0网络的主机被限制访问该路由网络的主机被限制访问该路由   器，但器，但10.0.0.0网络中所有其它网络中所有其它IP主机被允许。

主机被允许   另外，地址另外，地址10.8.1.23主机允许访问该路由器主机允许访问该路由器Router(config)# access-list 1 permit 10.8.1.23Router(config)# access-list 1 deny 10.8.1.0 0.0.0.255 Router(config)# access-list 1 permit 10.0.0.0 0.255.255.2551ACL配置oACL概述þ配置标准ACL¨应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 应用列表应用列表101101过滤从以太网接口过滤从以太网接口0 0出站的分组出站的分组Router> enableRouter# configure terminalRouter(config)# interface ethernet 0Router(config-if)# ip access-group 101 out在接口配置模式下在接口配置模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：应用一个应用一个IP访问列表到一个接口访问列表到一个接口ip access-group {access-list-name | access-list-number} {in | out} 为移除一个为移除一个IP访问列表，使用该命令的访问列表，使用该命令的no形式。

形式 no ip access-group {access-list-number | access-list-name} {in | out} access-list-numberin outIP访问列表的号码访问列表的号码入站过滤分组入站过滤分组出站过滤分组出站过滤分组access-list-nameIP访问列表名字访问列表名字1ACL配置oACL概述o配置标准ACLþ应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 定义访问列表只允许在网络定义访问列表只允许在网络192.89.55.0上上   的主机连接到路由器上虚拟终端端口的主机连接到路由器上虚拟终端端口 Router(config)# access-list 12 permit 192.89.55.0 0.0.0.255Router(config)# line 1 5Router(config-line)# access-class 12 in路配置模式下路配置模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：限制一个特定的限制一个特定的vty之间的传入和之间的传入和￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿传出连接和在访问列表中的地址传出连接和在访问列表中的地址access-class access-list-number {in | out} 为移除访问限制，使用该命令的为移除访问限制，使用该命令的no形式。

形式no access-class access-list-number {in | out}in out在传入连接限制在传入连接限制在传出连接限制在传出连接限制access-list-numberIP访问列表的号码访问列表的号码1ACL配置oACL概述o配置标准ACLþ应用ACL¨配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置扩展扩展ACLu既可检查分组的源地址和目的地址，也既可检查分组的源地址和目的地址，也￿￿￿￿￿￿检查协议类型和检查协议类型和TCP或或UDP的端口号的端口号u可以基于分组的源地址、目的地址、协可以基于分组的源地址、目的地址、协￿￿￿￿￿￿议类型、端口地址和应用来决定访问是议类型、端口地址和应用来决定访问是￿￿￿￿￿￿被允许或者被拒绝被允许或者被拒绝1ACL配置oACL概述o配置标准ACLo应用ACLþ配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：定义扩展定义扩展IP访问列表访问列表access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard为移除访问列表，使用该命令的为移除访问列表，使用该命令的no形式。

形式no access-list access-list-number Internet Control Message Protocol (ICMP) access-list-numberdeny permit protocol sourcesource-wildcard destinationdestination-wildcard访问控制访问控制列表编号列表编号如果条件符合如果条件符合就拒绝访问就拒绝访问如果条件符合如果条件符合就允许访问就允许访问Internet协议协议名称或号码名称或号码发送分组的网发送分组的网络号或主机络号或主机应用于源地址应用于源地址的反向掩码的反向掩码分组的目的网分组的目的网络号或主机络号或主机应用于目的地应用于目的地址的反向掩码址的反向掩码1ACL配置oACL概述o配置标准ACLo应用ACLþ配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 串行接口串行接口0是地址为是地址为10.88.0.0的的B类网络的一类网络的一   部分，邮件主机的地址为部分，邮件主机的地址为10.88.1.2。

established   关键字只用在关键字只用在TCP协议，表示一个建立的连接协议，表示一个建立的连接   如果如果TCP数据包中的数据包中的ACK或或RST被设置，那么匹被设置，那么匹     配发生，表明分组属于一个存在的连接配发生，表明分组属于一个存在的连接Router(config)# access-list 102 permit tcp 0.0.0.0 255.255.255.255 10.88.0.0 0.0.255.255 establishedRouter(config)# access-list 102 permit tcp 0.0.0.0 255.255.255.255 10.88.1.2 0.0.0.0 eq 25Router(config)# interface serial 0Router(config-if)# ip access-group 102 inF例例 允许允许DNS分组和分组和ICMP回送和回送回答分组回送和回送回答分组Router(config)# access-list 102 permit tcp any 10.88.0.0 0.0.255.255 establishedRouter(config)# access-list 102 permit tcp any host 10.88.1.2 eq smtpRouter(config)# access-list 102 permit tcp any any eq domainRouter(config)# access-list 102 permit udp any any eq domainRouter(config)# access-list 102 permit icmp any any echoRouter(config)# access-list 102 permit icmp any any echo-reply1ACL配置oACL概述o配置标准ACLo应用ACLþ配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例 串行接口串行接口0连接路由器到连接路由器到Internet。

IGMP   的的host-report报文被禁止在任何内部主机与报文被禁止在任何内部主机与   任何任何Internet上外部主机之间传送上外部主机之间传送Router(config)# access-list 102 deny igmp any any host-report Router(config)# interface serial 0Router(config-if)# ip access-group 102 outF例例 以太网接口以太网接口0连接路由器到防火墙以访问连接路由器到防火墙以访问   Internet为了确保为了确保Internet RIP报文不进入报文不进入    路由器，应用了路由器，应用了ACL104的拒绝的拒绝RIP UDP报报   文的入站过滤器文的入站过滤器Router(config)# access-list 104 permit udp any any neq rip Router(config)# access-list 104 deny udp any any eq rip Router(config)# interface serial 0Router(config-if)# ip access-group 104 in1ACL配置oACL概述o配置标准ACLo应用ACLþ配置扩展ACL¨配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置使用命名使用命名ACL有以下好处：有以下好处：（（1）直观）直观（（2）不受）不受99条标准条标准ACL和和100条扩展条扩展ACL的限制的限制￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿（（3）方便修改）方便修改在全局配置模式下在全局配置模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：定义一个使用名称或编号的定义一个使用名称或编号的IP访问列表访问列表￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿ip access-list {standard | extended} {access-list-name | access-list-number} 移除移除IP访问列表，使用该命令的访问列表，使用该命令的no形式。

形式no ip access-list {standard | extended} {access-list-name | access-list-number} standard extendedaccess-list-name access-list-number标准标准IP访访问列表问列表扩展扩展IP访访问列表问列表IP访问列访问列表名称表名称访问列表访问列表的编号的编号1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLþ配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例￿ ￿定义标准访问列表，命名为定义标准访问列表，命名为InternetfilterRouter(config)# ip access-list standard InternetfilterRouter(config-std-nacl)# permit 192.5.34.0 0.0.0.255Router(config-std-nacl)# permit 10.88.0.0 0.0.255.255Router(config-std-nacl)# permit 10.0.0.0 0.255.255.255在实现命名在实现命名ACL之前，需要考虑：之前，需要考虑：（（1））11.2之前版本的之前版本的Cisco IOS软件不支持软件不支持￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿命名命名ACL。

2）不能够以同一名字命名多个）不能够以同一名字命名多个ACLF例例￿ ￿定义扩展访问列表，命名为定义扩展访问列表，命名为server-accessRouter(config)# ip access-list extended server-accessRouter(config-ext-nacl)# permit tcp any host 131.108.101.99 eq smtpRouter(config-ext-nacl)# permit tcp any host 131.108.107.99 eq domainRouter(config-ext-nacl)# permit ip any any 1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLþ配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例￿ ￿定义扩展访问列表，命名为定义扩展访问列表，命名为server-accessRouter(config)# ip access-list extended server-accessRouter(config-ext-nacl)# permit tcp any host 131.108.101.99 eq smtpRouter(config-ext-nacl)# permit tcp any host 131.108.107.99 eq domainRouter(config-ext-nacl)# permit ip any any F例例￿ ￿从标准命名从标准命名ACL中删除单独的中删除单独的ACE。

Router(config)# ip access-list standard border-listRouter(config-ext-nacl)# no permit ip host 10.1.1.3 anyF例例￿ ￿从标准命名从标准命名ACL中删除单独的中删除单独的ACERouter(config)# ip access-list standard border-listRouter(config-ext-nacl)# no permit ip host 10.1.1.3 any1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLþ配置命名ACL ¨ACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置Ø命令如下：命令如下：￿ ￿Router(config)# access-list 1 deny host 183.16.1.1Router(config)# access-list 1 permit anyØ扩展的扩展的ACL命令如下：命令如下：Router(config)# access-list 101 deny ip host 183.16.1.1 host 11.1.0.1Router(config)# access-list 101 permit ip any any放置放置ACL的一般原则是：的一般原则是：u扩展扩展ACL尽可能放置在距离要被拒绝的尽可能放置在距离要被拒绝的￿￿￿￿￿￿通信量近的地方。

通信量近的地方u标准标准ACL应该尽可能放置在距离目的地应该尽可能放置在距离目的地￿￿￿￿￿￿最近的地方最近的地方u如果要禁止如果要禁止PC3访问访问PC1，可以在网络中，可以在网络中￿￿￿￿￿￿使用标准的使用标准的ACL1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL þACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置Ø使用的位置使用的位置1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL þACL在网络中的应用位置¨监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例￿ ￿查看全部查看全部ACLRouter#show access-listsStandard IP access list 1     deny   192.168.1.0, wildcard bits 0.0.0.255    permit anyExtended IP access list 101    deny   tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.0.255 eq ftp    permit ip any any在用户模式或特权模式下在用户模式或特权模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：显示当前访问列表的内容显示当前访问列表的内容show access-lists [access-list-number | access-list-name]access-list-numberaccess-list-name(可选项可选项) 访问列表访问列表编号编号(可选项可选项) 访问列表访问列表名称名称1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置þ监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置在特权模式下在特权模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：显示所有当前显示所有当前IP访问列表的内容访问列表的内容show ip access-list [access-list-number | access-list-name | interface interface-name [in | out]][access-list-numberaccess-list-name interface interface-namein out(可选项可选项) IP访问列访问列表编号表编号(可选项可选项) IP访问列访问列表名称表名称(可选项可选项) 接口名称接口名称(可选项可选项) 输入接口输入接口统计信息统计信息(可选项可选项) 输出接口输出接口统计信息统计信息1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置þ监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例￿ ￿显示所有访问列表。

显示所有访问列表Router# show ip access-listExtended IP access list 101   deny udp any any eq ntp   permit tcp any any   permit udp any any eq tftp   permit icmp any any   permit udp any any eq domainF例例￿ ￿显示指定名称的访问列表显示指定名称的访问列表Router# show ip access-list InternetfilterExtended IP access list Internetfilterpermit tcp any 171.16.0.0 0.0.255.255 eq telnetdeny tcp any anydeny udp any 171.16.0.0 0.0.255.255 lt 1024          deny ip any any logF例例￿ ￿显示快速以太网接口显示快速以太网接口0/0的输入统计信息的输入统计信息Router# show ip access-list interface FastEthernet0/0 in Extended IP access list 150 in   10 permit ip host 10.1.1.1 any   30 permit ip host 10.2.2.2 any (15 matches)1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置þ监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.1 ACL配置配置F例例￿ ￿清除访问列表清除访问列表101的计数器。

的计数器Router# clear access-list counters 101在特权模式下在特权模式下l前提模式：前提模式：l命令格式：命令格式：l功能：功能：清除访问列表的计数器清除访问列表的计数器clear access-list counters {access-list-number | access-list-name}access-list-number access-list-name访问列表访问列表编号编号访问列表访问列表名称名称1ACL配置oACL概述o配置标准ACLo应用ACLo配置扩展ACLo配置命名ACL oACL在网络中的应用位置þ监视与维护ACL 0NAT配置 0实验练习《网络安全配置》5.2 NAT配置配置0ACL配置1NAT配置þ NAT概述¨内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习网络地址转换网络地址转换(NAT,Network Address Translation)1. 1.静态转换静态转换Static Nat2. 2.动态转换动态转换Dynamic Nat3. 3.端口多路复用端口多路复用OverLoad NAT的实现方式的实现方式:仅以增强的网络状态作为补充，而仅以增强的网络状态作为补充，而忽略了忽略了IP地址端对端的重要性。

地址端对端的重要性NAT解决方法的不足解决方法的不足:uInside Local IP Address，内部本地地址，内部本地地址uInside Global IP Address，内部全局地址，内部全局地址uOutside Local IP Address，外部本地地址，外部本地地址uOutside Glocal IP Address，外部全局地址，外部全局地址NAT使用下列地址定义：使用下列地址定义：《网络安全配置》5.2 NAT配置配置Ø静态静态NAT转换转换0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：              l静态静态NAT命令命令格式：格式：                              l功能：功能：        启用内部源地址的启用内部源地址的NAT静态转换静态转换ip nat inside source static { local-ip global-ip}为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式。

形式no ip nat inside source static {local-ip global-ip}内部网络内部网络主机本地主机本地IP地址地址内部主内部主机全局机全局IP地址地址local-ip global-ip0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置l端口静态端口静态NAT命令命令格式：格式：                              ip nat inside source static {tcp | udp {local-ip local-port global-ip global-port | interface global-port}}为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式no ip nat inside source static {tcp | udp {local-ip local-port global-ip global-port | interface global-port}}l网络静态网络静态NAT命令命令格式：格式：                              ip nat inside source static network local-network global-network mask为移除静态转换，使用该命令的为移除静态转换，使用该命令的no形式。

形式no ip nat inside source static network local-network global-network masktcp udplocal-portglobal-port传输控制传输控制协议协议用户数据用户数据报协议报协议本地本地TCP/UDP端口号端口号全局全局TCP/UDP端口号端口号local-network global-network mask本地子网本地子网转换转换全局子网全局子网转换转换子网转换子网转换使用的使用的IP网络掩码网络掩码0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在接口配置模式下在接口配置模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        指定接口对指定接口对NAT是流量来源或者目的是流量来源或者目的ip nat [inside | outside]为阻止接口能够转发，使用该命令的为阻止接口能够转发，使用该命令的no形式。

形式no ip nat [inside | outside]inside outside（可选项）表（可选项）表明接口连接到明接口连接到外部网络外部网络（可选项）表（可选项）表明接口连接到明接口连接到内部网络内部网络0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置F例例￿ ￿静态静态NAT配置配置0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø（（1）配置静态）配置静态NAT映射映射Router(config)#ip nat inside source static 192.168.1.1 202.96.1.3Router(config)#ip nat inside source static 192.168.1.2 202.96.1.4Ø（（2）配置）配置NAT内部接口内部接口Router(config)#interface fastethernet 0/1Router(config-if)#ip nat insideØ（（3）配置）配置NAT外部接口外部接口Router(config-if)#interface serial 1/0Router(config-if)#ip nat outsideØ在在PC0和和PC1上上ping 202.96.1.2（路由器（路由器Router1的的￿￿￿￿￿￿串行接口串行接口1/0））,此时应该是通的，路由器此时应该是通的，路由器Router0￿￿￿￿￿￿的输出信息如下的输出信息如下￿：￿Router#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.1->202.96.1.3, d=202.96.1.2[0]NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.1[0]NAT: s=192.168.1.2->202.96.1.4, d=202.96.1.2[0]NAT*: s=202.96.1.2, d=202.96.1.4->192.168.1.2[0]0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø查看查看NAT表表Router# show ip nat translationsPro  Inside global     Inside local       Outside local      Outside global---  202.96.1.3        192.168.1.1        ---                ------  202.96.1.4        192.168.1.2        ---                ---0ACL配置1NAT配置o NAT概述þ内部源地址静态转换¨内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø动态动态NAT转换转换0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        定义定义NAT的的IP地址池地址池ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} 为从池中移除一个或多个地址，使用该命令为从池中移除一个或多个地址，使用该命令的的no形式。

形式no ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} namestart-ipend-ipnetmask netmaskprefix-length prefix-length地址池名地址池名地址池中起始地址池中起始IP地址地址地址池中结束地址池中结束IP地址地址地址池所属网地址池所属网络的网络掩码络的网络掩码地址池所属网地址池所属网络的网络掩码络的网络掩码前缀长度前缀长度0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        定义一个标准访问控制列表定义一个标准访问控制列表以允许地址被转换以允许地址被转换access-list access-list-number {deny | permit} source [source-wildcard]为移除标准访问列表，使用该命令的为移除标准访问列表，使用该命令的no形式。

形式no access-list access-list-number0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        启用内部源地址的启用内部源地址的NATip nat inside source list {access-list-number | access-list-name} {interface type number | pool name} [overload]为移除到地址池动态关联，使用该命令的为移除到地址池动态关联，使用该命令的no形式no ip nat inside source list {access-list-number | access-list-name} {interface type number | pool name} [overload] access-list-number access-list-nameinterface type number pool nameoverload标准标准IP访问列访问列表的编号表的编号标准标准IP访问列访问列表的名称表的名称全局地址的接全局地址的接口类型、编号口类型、编号全局全局IP地址动地址动态分配的地址态分配的地址池的名称池的名称（可选项）多（可选项）多个本地地址使个本地地址使用一个全局地用一个全局地址址0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置F例例￿ ￿动态动态NAT配置配置0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø配置动态配置动态NAT转换的地址池。

转换的地址池Router(config)#ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0Router(config)#ip nat inside source list 1 pool NATRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#interface fastethernet 0/1Router(config-if)#ip nat insideRouter(config-if)#interface serial 1/0Router(config-if)#ip nat outsideØ配置动态配置动态NAT映射Ø允许动态允许动态NAT转换的内部地址范围转换的内部地址范围0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø在在PC0和和PC1上上ping 202.96.1.2（路由器（路由器   Router1的串行接口的串行接口1/0））,此时应该是通的，此时应该是通的，￿￿￿￿￿￿路由器路由器Router0的输出信息如下：的输出信息如下：Router#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.1->202.96.1.4, d=202.96.1.2[3]NAT*: s=202.96.1.2, d=202.96.1.4->192.168.1.1[3]NAT: s=192.168.1.2->202.96.1.5, d=202.96.1.2[4]NAT*: s=202.96.1.2, d=202.96.1.5->192.168.1.2[4]Ø如果动态地址池中的没有足够的地址进行动如果动态地址池中的没有足够的地址进行动￿￿￿￿￿￿态映射，则会出现类似下面的信息，提示态映射，则会出现类似下面的信息，提示   NAT转换失败，并丢弃数据包。

转换失败，并丢弃数据包Router#show ip nat translationsPro  Inside global     Inside local       Outside local      Outside global---  202.96.1.4        192.168.1.1        ---                ------  202.96.1.5        192.168.1.2        ---                ---0ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø查看查看NAT转换的统计信息转换的统计信息Router#show ip nat statisticsTotal translations: 2 (0 static, 2 dynamic, 0 extended)Outside Interfaces: Serial1/0Inside Interfaces: FastEthernet0/1Hits: 43  Misses: 4Expired translations: 0Dynamic mappings:-- Inside Sourceaccess-list 1 pool NAT refCount 2pool NAT: netmask 255.255.255.0       start 202.96.1.3 end 202.96.1.100       type generic, total addresses 98 , allocated 2 (2%), misses 00ACL配置1NAT配置o NAT概述o内部源地址静态转换þ内部源地址动态转换¨内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置ØPAT转换转换0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø例例￿ ￿配置配置PAT0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø（（1）配置动态）配置动态NAT转换的地址池转换的地址池Router(config)#ip nat pool NAT 202.96.1.3 202.96.1.100 netmask 255.255.255.0Ø（（2）配置）配置PATRouter(config)#ip nat inside source list 1 pool NAT overloadØ（（3）配置允许动态）配置允许动态NAT转换的内部地址范围转换的内部地址范围Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#interface fastethernet 0/1Router(config-if)#ip nat insideRouter(config-if)#interface serial 1/0Router(config-if)#ip nat outside0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø在在PC0和和PC1上上ping 202.96.1.2（路由器（路由器    Router1的串行接口的串行接口1/0））,此时应该是通的，此时应该是通的，￿￿￿￿￿￿￿￿路由器路由器Router0的输出信息如下：的输出信息如下：Router#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.1->202.96.1.3, d=202.96.1.2[5]NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.1[5]NAT: s=192.168.1.2->202.96.1.3, d=202.96.1.2[6]NAT*: s=202.96.1.2, d=202.96.1.3->192.168.1.2[6]Router#show ip nat translationsPro  Inside global  Inside local Outside local      Outside globalicmp 202.96.1.3:21     192.168.1.1:21     202.96.1.2:21      202.96.1.2:21icmp 202.96.1.3:10     192.168.1.2:10     202.96.1.2:10      202.96.1.2:10tcp202.96.1.3:1027  192.168.1.2:1027   202.96.1.2:23      202.96.1.2:230ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø以上输出表明进行以上输出表明进行PAT转换使用的是同一个转换使用的是同一个IP￿￿￿￿￿￿地址的不同端口号。

地址的不同端口号Router#show ip nat statistics Total translations: 11 (0 static, 11 dynamic, 11 extended)Outside Interfaces: Serial1/0Inside Interfaces: FastEthernet0/1Hits: 98  Misses: 27Expired translations: 12Dynamic mappings:-- Inside Sourceaccess-list 1 pool NAT refCount 11 pool NAT: netmask 255.255.255.0       start 202.96.1.3 end 202.96.1.100       type generic, total addresses 98 , allocated 1 (1%), misses 00ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置Ø动态动态NAT的过期时间是的过期时间是86400s，，PAT的过期的过期￿￿￿￿￿￿时间是时间是60s，通过，通过show ip nat tranlastions    verbose命令可以查看，也可以通过下面的命命令可以查看，也可以通过下面的命￿￿ ￿￿令修改超时时间：令修改超时时间：Router(config)# ip nat translation timeout timeoutØ如果主机的数量不是很多，可以直接使用如果主机的数量不是很多，可以直接使用   outside接口地址配置接口地址配置PAT，不必定义地址池，，不必定义地址池，￿￿ ￿￿命令如下：命令如下：￿￿ ￿￿参数参数timeout的范围是的范围是0到到。

Router(config)# ip nat inside source list 1 interface serial 1/0 overload0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换þ内部源地址复用动态转换¨修改转换超时¨监视与维护NAT0实验练习《网络安全配置》ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | pptp-timeout | syn-timeout | port-timeout | arp-ping-timeout} {seconds | never}5.2 NAT配置配置在全局配置模式下在全局配置模式下l前提模式：前提模式：              l命令命令格式：格式：                              改变改变NAT转换超时时间转换超时时间为禁用超时，使用该命令的为禁用超时，使用该命令的no形式no ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | pptp-timeout | syn-timeout | port-timeout | arp-ping-timeout} timeoutl功能：功能：        udp-timeoutdns-timeout tcp-timeout finrst-timeouticmp-timeout pptp-timeout syn-timeoutport-timeout arp-ping-timeoutseconds never应用于动态转换的超应用于动态转换的超时值，除复用转换外，时值，除复用转换外，默认为默认为86400秒（秒（24小时）小时）应用于应用于UDP端端口的超时值，口的超时值，默认为默认为300秒秒（（5分钟）。

分钟）应用于应用于DNS连连接的超时值，接的超时值，默认为默认为60秒秒应用于应用于TCP端口端口的超时值，默认的超时值，默认为为86400秒（秒（24小时）小时）应用于结束（应用于结束（FIN）和）和复位（复位（RST）中止连接）中止连接的的TCP包超时值，默认包超时值，默认为为60秒秒ICMP流的超流的超时值，默认时值，默认为为60秒秒NAT PPTP流的超时值，流的超时值，默认为默认为86400秒（秒（24小小时）紧接紧接SYN传输消息后传输消息后TCP流的超时值，默流的超时值，默认为认为60秒应用于应用于TCP/UDP端端口的超时值口的超时值端口转换超端口转换超时的秒数，时的秒数，默认为默认为0没有端口没有端口转换超时转换超时应用于应用于arp ping的超时值的超时值0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换þ修改转换超时¨监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在用户模式或特权模式下在用户模式或特权模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        显示活动的显示活动的NAT转换转换show ip nat translations [protocol] [verbose]protocolverbose(可选项可选项) 显示协议项目，协议显示协议项目，协议参数关键字如下：参数关键字如下：esp：：ESP协议项目。

协议项目￿ ￿icmp：：ICMP协议项目协议项目pptp：：PPTP协议项目协议项目tcp：：TCP协议项目协议项目￿ ￿udp：：UDP协议项目协议项目 (可选项可选项) 显示每显示每个转换表项目的个转换表项目的额外信息额外信息0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换o修改转换超时þ监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置F例例￿ ￿show ip nat translations命令输出命令输出Router# show ip nat translationsPro     Source global      Source local      Destin  local     Destin  globalicmp  172.20.0.254:25   172.20.0.130:25  172.20.1.1:25 10.199.199.100:25icmp  172.20.0.254:26    172.20.0.130:26  172.20.1.1:26     10.199.199.100:26icmp  172.20.0.254:27  172.20.0.130:27    172.20.1.1:27      10.199.199.100:27icmp  172.20.0.254:28   172.20.0.130:28   172.20.1.1:28 10.199.199.100:28协议协议源全局地址源全局地址源本地地址源本地地址目的本目的本地地址地地址目的全目的全局地址局地址0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换o修改转换超时þ监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在特权模式下在特权模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        显示显示NAT统计信息统计信息show ip nat translationsF例例￿ ￿show ip nat statistics命令输出命令输出￿ ￿Router# show ip nat statisticsTotal translations: 2 (0 static, 2 dynamic; 0 extended)Outside interfaces: Serial0Inside interfaces: Ethernet1Hits: 135  Misses: 5Expired translations: 2Dynamic mappings:-- Inside Sourceaccess-list 1 pool net-208 refcount 2pool net-208: netmask 255.255.255.240        start 172.16.233.208 end 172.16.233.221        type generic, total addresses 14, allocated 2 (14%), misses 0系统活动的系统活动的转换数转换数外部接口列外部接口列表表内部接口列内部接口列表表转换表查询转换表查询找到表项的找到表项的次数次数转换表查询转换表查询没有找到表没有找到表项的次数项的次数过期的过期的转换数转换数动态映动态映射信息射信息内部源转内部源转换信息换信息访问列表访问列表编号编号地址池地址池的名称的名称使用地使用地址池的址池的转换数转换数地址池地址池IP网络网络掩码掩码地址池地址池起始起始IP地址地址地址池地址池终止终止IP地址地址地址池的类型，可地址池的类型，可能的类型为能的类型为generic或或rotary。

地址池可用地址池可用的地址数的地址数被使用的被使用的地址数地址数地址池分地址池分配失败数配失败数0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换o修改转换超时þ监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置在特权模式下在特权模式下l前提模式：前提模式：              l命令命令格式：格式：                              l功能：功能：        从转换表中清除动态从转换表中清除动态NAT转换转换clear ip nat translation {* | [inside global-ip global-port local-ip local-port] | [outside local-ip global-ip] [esp | tcp | udp]}*insideglobal-ip global-port local-ip local-portoutsideesp tcp udp清除所有清除所有动态转换动态转换(可选项可选项) 清清除含有指定除含有指定global-ip和和local-ip地址地址的内部转换的内部转换(可选项可选项) 全全局局IP地址地址(可选项可选项) 全局端口全局端口(可选项可选项) 本本地地IP地址地址(可选项可选项) 本本地端口地端口(可选项可选项) 清清除含有指定除含有指定global-ip和和local-ip地地址的外部转址的外部转换换(可选项可选项) 从从转换表清除转换表清除ESP项目项目(可选项可选项) 从从转换表清除转换表清除TCP项目项目(可选项可选项) 从转换表从转换表清除清除UDP项目项目0ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换o修改转换超时þ监视与维护NAT0实验练习《网络安全配置》5.2 NAT配置配置F例例￿ ￿显示显示UDP项目被清除前后的项目被清除前后的NAT项目。

项目Router> show ip nat translationsPro Inside global     Inside local    Outside local    Outside globaludp 10.69.233.209:1220  10.168.1.95:1220   10.69.2.132:53     10.69.2.132:53tcp 10.69.233.209:11012 10.168.1.89:11012  10.69.1.220:23      10.69.1.220:23tcp 10.69.233.209:1067  10.168.1.95:1067   10.69.1.161:23     10.69.1.161:23Router# clear ip nat translation udp inside 10.69.233.209 1220 10.168.1.95 1220 10.69.2.132 53 10.69.2.132 53Router# show ip nat translations Pro     Inside global       Inside local    Outside local   Outside globaltcp     10.69.233.209:11012 10.168.1.89:11012  10.69.1.220:23      10.69.1.220:23tcp     10.69.233.209:1067  10.168.1.95:1067   10.69.1.161:23     10.69.1.161:230ACL配置1NAT配置o NAT概述o内部源地址静态转换o内部源地址动态转换o内部源地址复用动态转换o修改转换超时þ监视与维护NAT0实验练习《网络安全配置》5.3实验练习实验练习0ACL配置0NAT配置1实验练习Ø实验拓扑如图实验拓扑如图所示：所示：《网络安全配置》5.3实验练习实验练习Ø路由器配置步骤如下：路由器配置步骤如下：u（（1））ACL配置配置l在在Router1上，创建标准上，创建标准ACL，只允许来自网络，只允许来自网络175.10.1.0的数据包被转发的数据包被转发,其余的数据包都将被阻其余的数据包都将被阻止；将止；将ACL绑定到绑定到serial0的入口上。

的入口上router1(config)# access-list 1 permit 175.10.1.0 0.0.0.255router1(config)# interface serial0router1(config-if)# ip access-group 1 inl在在Router1上上，，创创建建扩扩展展ACL，，只只允允许许来来自自router3的的Telnet服服务务，，允允许许来来自自router4的的ping命命令令；；移移除除以以前前的的访访问问控控制制列列表表，，将将新新创创建建的的扩扩展展ACL绑绑定定到到serial0的入口上的入口上router1(config)# access-list 100 permit tcp host 175.10.1.2 any eq telnetrouter1(config)# access-list 100 permit icmp host 180.10.1.2 anyrouter1(config)# interface serial0router1(config-if)# no ip access-group 1 inrouter1(config-if)# ip access-group 100 in0ACL配置0NAT配置1实验练习《网络安全配置》5.3实验练习实验练习l通通过过从从router3和和router4 ping和和telnet到到router2测测试试访访问问控控制制列列表表100。

router3（（175.10.1.2））应应该该能能够够 telnet到到 router2，， 而而 不不 能能 ping通通 router2Router4（（180.10.1.2））应应该该能能ping通通router2，，而而不不能能telnet到到router2router3# ping 160.10.1.2router3# telnet 160.10.1.2router4# ping 160.10.1.2rotuer4# telnet 160.10.1.2u（（2））NAT配置配置l在在Router1上，配置静态上，配置静态NAT映射，配置映射，配置NAT内部内部接口，配置接口，配置NAT外部接口，查看外部接口，查看NAT表；配置表；配置PATrouter1(config)# ip nat inside source static 160.10.1.2 175.10.1.3router1(config)# interface ethernet0router1(config-if)# ip address 160.10.1.1 255.255.255.0router1(config-if)# ip nat insiderouter1(config-if)# interface serial0router1(config-if)# ip address 175.10.1.1 255.255.255.0router1(config-if)# ip nat outsiderouter1(config-if)# no shut0ACL配置0NAT配置1实验练习《网络安全配置》5.3实验练习实验练习router2# telnet 175.10.1.2router3# show usersrouter1# show ip nat translationsrouter1(config)# no ip nat inside source static 160.10.1.2 175.10.1.3router1(config)# ip nat pool pool1 175.10.1.50 175.10.1.100 netmask 255.255.255.0router1(config)# ip nat inside source list 1 pool pool1router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255router2# telnet 175.10.1.2router3# show usersrouter1# show ip nat translationsrouter1(config)# ip nat inside source list 1 interface serial0 overloadrouter1(config)# interface Ethernet 0router1(config-if)# ip address 160.10.1.1 255.255.255.0router1(config-if)# ip nat insiderouter1(config-if)# interface serial 0router1(config-if)# ip address 175.10.1.1 255.255.255.0router1(config-if)# ip nat outsiderouter1(config-if)# exitrouter1(config)# access-list 1 permit 160.10.1.0 0.0.0.255router2# telnet 175.10.1.2router3# show usersrouter1# show ip nat translations0ACL配置0NAT配置1实验练习《网络安全配置》。