Всё ниже следующее проделывалось на симуляторе Packet Tracer 5.1. По идее должно работать и на обычном оборудовании. И так, приступаем. Есть внешний адрес 20.20.20.20 и внутренняя сеть 10.10.10.0/24. Нужно настроить NAT. Внутренний интерфес fa0/0, внешний fa0/1. Предполагаю, что адреса у вас уже прописаны и маршрутизация уже настроена.
Добавляем access-list, разрешаем всё (по дефолту всё блочиться).
Router#conf t
Router(config)#access-list 1 permit any
Создаём правило трансляции:
Router#conf t
Router(config)#ip nat inside source list 1 interface FastEthernet0/1 overload
Теперь настроим трансляцию на интерфейсах (на внутреннем inside, на внешнем – outside):
Router#conf t
Router(config)#int fa0/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int fa0/1
Router(config-if)#ip nat outside
Теперь попробуйте куда-то зайти, или просто пингонуть внешнюю сеть. Для просмотра состояния таблицы NAT используем команду sh ip nat traslation (я запустил пинг с машины 10.10.10.10 на адрес 30.30.30.1):
Router#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 20.20.20.20:909 10.10.10.10:909 30.30.30.1:909 30.30.30.1:909
icmp 20.20.20.20:910 10.10.10.10:910 30.30.30.1:910 30.30.30.1:910
icmp 20.20.20.20:911 10.10.10.10:911 30.30.30.1:911 30.30.30.1:911
icmp 20.20.20.20:912 10.10.10.10:912 30.30.30.1:912 30.30.30.1:912
icmp 20.20.20.20:913 10.10.10.10:913 30.30.30.1:913 30.30.30.1:913
Если нужно пробросить порт в локалку, то это делается следующим образом:
Router#conf t
Router(config)#ip nat inside source static tcp 10.10.10.2 25 20.20.20.20 25
где сервак 10.10.10.2 – внутренний почтовый сервер.
А вот экзотический пример (взят из сети) NAT на одном поpту (т.е. только 1 FastEthernet 0/0, он является как бы и inside и outside):
– если IOS Ip only
! interface Loopback0 ip address 10.254.6.1 255.255.255.0 no ip directed-broadcast ip accounting output-packets ip nat inside ! interface Ethernet0/0 ip address 10.0.1.1 255.255.255.0 secondary ip address 195.10.1.100 255.255.255.0 no ip directed-broadcast ip nat outside ip policy route-map test ! ip nat pool ONE 195.10.1.200 195.10.1.200 netmask 255.255.255.0 ip nat inside source list 1 pool ONE overload ip classless ip route 0.0.0.0 0.0.0.0 195.10.1.1 no ip http server ! access-list 1 permit 10.0.1.0 0.0.0.255 access-list 101 deny ip 10.0.1.0 0.0.0.255 10.0.1.0 0.0.0.255 access-list 101 permit ip any any route-map test permit 10 match ip address 101 set interface Loopback0 !
– если IP plus и выше
! interface Ethernet0/0.1 ip address 10.0.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! interface Ethernet0/0.2 ip address 195.10.1.100 255.255.255.0 no ip directed-broadcast ip nat outside ! ip nat pool ONE 195.10.1.200 195.10.1.200 netmask 255.255.255.0 ip nat inside source list 1 pool ONE overload ip classless ip route 0.0.0.0 0.0.0.0 195.10.1.1 no ip http server ! access-list 1 permit 10.0.1.0 0.0.0.255 !
