CISCO 17.X NAT 关于无状态静态
产品信息
规格
- 产品名称:无状态静态NAT
- 版本:IOS XE 班加罗尔 17.4.1a
产品使用说明
配置无状态静态内部和外部 NAT
要配置静态 NAT 转换并将静态映射设置为无状态,请执行以下步骤
- 输入以下命令启用特权 EXEC 模式:
enable - 输入以下命令进入全局配置模式:
configure terminal - 通过输入配置内部源静态 NAT 转换
命令:ip nat inside source static local-ip global-ip
stateless - 通过输入配置外部源静态 NAT 转换
命令:ip nat outside source static global-ip local-ip
stateless - 输入以下命令退出全局配置模式:
exit - 输入命令保存配置并退出:
end
配置无状态静态 NAT 端口转发
要配置无状态静态 NAT 端口转发,请按照以下步骤操作
- 输入以下命令启用特权 EXEC 模式:
enable - 输入以下命令进入全局配置模式:
configure terminal - 使用端口配置内部源静态 NAT 转换
输入命令转发:ip nat inside source
static local-ip global-ip stateless - 使用端口配置外部源静态 NAT 转换
输入命令转发:ip nat outside source
static global-ip local-ip stateless - 输入以下命令退出全局配置模式:
exit - 输入命令保存配置并退出:
end
常问问题
- 什么是无状态静态 NAT?
无状态静态 NAT 允许内部本地地址到外部全局地址的一对一转换,包括 IP 地址和端口号转换。 - 无状态静态 NAT 的目的是什么?
无状态静态 NAT 的目的是创建私有地址到公共地址的固定转换,使目标网络上的主机能够在访问列表允许的情况下向转换后的主机发起流量。 - 无状态 NAT 和有状态 NAT 有什么区别?
在无状态 NAT 中,不会为流量创建任何会话,而在有状态 NAT 中,会为每个流创建会话。
有关无状态静态 NAT 的信息
- 静态网络地址转换 (NAT) 允许用户配置内部本地地址到外部全局地址的一对一转换。 它允许从内部到外部流量以及从外部到内部流量的 IP 地址和端口号转换。
- 静态 NAT 创建私有地址到公共地址的固定转换。 由于静态 NAT 是一对一分配地址的,因此您需要与私有地址相同数量的公共地址。 由于使用静态 NAT 的每个连续连接的公共地址都是相同的,并且存在持久转换规则,因此静态 NAT 允许目标网络上的主机在存在允许的访问列表的情况下向已转换主机发起流量。
在 IOS XE Bengaluru 17.4.1a 版本中,为 Cisco IOS XE 静态 NAT 配置选项引入了新的关键字 stateless。 该选项仅适用于静态 NAT 命令。 当静态映射设置为无状态时,不会为该流量创建任何会话。
- NAT 映射和转换条目,第 1 页
- 无状态静态网络地址转换的限制,第 2 页
- 配置无状态静态 NAT,第 2 页
- 在冗余设备中使用静态无状态 NAT 配置静态有状态 NAT,第 8 页
- Example:配置无状态静态 NAT,第 9 页
- 无状态静态 NAT 的功能信息,第 10 页
NAT 映射和转换条目
如果无状态NAT映射与其他非无状态NAT映射共存,则在NAT转换表中创建NAT流表项。 下表解释了当流与两个 NAT 映射匹配并且在冗余和无冗余场景中时流创建的可能性。
表 1:NAT 映射和转换条目
| 映射 1 与
无冗余 |
映射 2 与
无冗余 |
映射 1
带冗余 |
映射 2 与
冗余 |
流程创建 |
| 无国籍 | 有状态的 | NA | NA | 是的 |
| 无国籍 | 无国籍 | NA | NA | 不 |
| NA | NA | 有状态的 | 无国籍 | 主用和备用状态下 |
| 映射 1 与 无冗余 | 映射 2 与 无冗余 | 映射 1
带冗余 |
映射 2 与 冗余 | 流程创建 |
| NA | NA | 无国籍 | 无国籍 | 不处于主备状态 |
无状态静态网络地址转换的限制
以下限制适用于无状态静态 NAT:
- 无状态静态 NAT 仅在 IPv4 上受支持。
- 无状态静态 NAT 仅在默认 NAT 模式下受支持。 如果将模式更改为 CGN,则会失败,因为已配置无状态映射。
- 使用路由映射的静态映射不支持无状态静态 NAT。
- 无状态静态 NAT 不支持无状态静态映射的 ALG 处理。
配置无状态静态 NAT
您可以在以下方面配置无状态静态 NAT:
- 内部静态 NAT
- 外部静态 NAT
- 内部静态 NAT 网络
- 外部静态 NAT 网络
- 使用 PAT 的内部静态 NAT
- 带 PAT 的外部静态 NAT
配置无状态静态内部和外部 NAT
执行以下任务来配置静态 NAT 转换,并将静态映射设置为无状态。 当您将静态映射设置为无状态时,不会为该流创建会话。
概要步骤
- 使能够
- 配置终端
- ip nat 内部源静态本地 IP 全局 IP 无状态
- ip nat 外部源静态全局 IP 本地 IP 无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | ip nat 内部源静态 本地 IP 全局 IP 无国籍
Examp乐: Router(config)# ip nat inside source static 10.1.1.1 100.1.1.1 无状态 |
在内部本地地址和内部全局地址之间建立静态转换。 |
| 步骤 4 | ip nat 外部源静态 全局 IP 本地 IP 无国籍
Examp乐: Router(config)# ip nat 外部源静态 100.1.1.1 10.1.1.1 无状态 |
在外部全局地址和内部本地地址之间建立静态转换。 |
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
配置无状态静态 NAT 端口转发
执行以下任务配置静态 NAT 转换端口转发,并将静态映射设置为无状态。 当您将静态映射设置为无状态时,不会为该流创建会话。
概要步骤
- 使能够
- 配置终端
- ip nat inside source static {tcp|udp} 本地 IP 本地端口 全局 IP 全局端口 可扩展 无状态
- ip nat 外部源静态 {tcp|udp} 全局 IP 全局端口 本地 IP 本地端口 可扩展 无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | ip nat 内部源静态 {TCP|UDP} 本地 IP 本地端口 全局 IP 全局端口 可扩展无状态
Examp乐: Router(config)# ip nat inside 源静态 tcp 10.1.1.1 80 100.11.1.1 8080 可扩展无状态 |
在内部本地地址和内部全局地址之间建立静态转换。 |
| 步骤 4 | ip nat 外部源静态 {TCP|UDP} 全局 IP 全局端口 本地 IP 本地端口 可扩展无状态
Examp乐: Router(config)# ip nat 外部源静态 tcp |
在外部全局地址和内部本地地址之间建立静态转换。 |
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
配置无状态静态 NAT 网络
执行以下任务配置静态NAT转换网络,并将静态映射设置为无状态。 当您将静态映射设置为无状态时,不会为该流创建会话。
概要步骤
- 使能够
- 配置终端
- ip nat inside 源静态网络本地网络掩码全局网络掩码无状态
- ip nat 外部源静态网络全局网络掩码本地网络掩码无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | 源静态网络内的 ip nat 本地网络掩码 全局网络掩码 无国籍
Examp乐: Router(config)# ip nat inside 源静态网络 10.0.0.0 100.1.1.0 /24 无状态 |
在内部本地网络和内部全局网络之间建立静态转换。 |
| 步骤 4 | ip nat 外部源静态网络 全局网络掩码本地网络掩码 无国籍
Examp乐: Router(config)# ip nat 外部源静态网络 100.0.0.0 10.1.1.0 /24 无状态 |
在外部全局网络和内部本地网络之间建立静态转换。 |
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
使用 VRF 配置无状态静态 NAT
执行以下任务以在 VRF 感知 NAT 场景中将静态映射设置为无状态来配置静态 NAT 转换。 当您将静态映射设置为无状态时,不会为该流创建会话。
概要步骤
- 使能够
- 配置终端
- ip nat inside source static local-ip global-ip [vrf vrf-name [match-in-vrf ]] 无状态
- ip nat 外部源静态全局 IP 本地 IP [vrf VRF 名称 [match-in-vrf ]] 无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | ip nat 内部源静态 本地 IP 全局 IP [虚拟路由协议 vrf名称 [VRF 中匹配 ]] 无国籍
Examp乐: Router(config)# ip nat inside 源静态 10.1.1.1 100.11.1.1 VRF VRF1 匹配 VRF 无状态 |
在内部本地地址和内部全局地址之间建立静态转换。
|
| 步骤 4 | ip nat 外部源静态 全局 IP 本地 IP [虚拟路由协议
vrf名称 [VRF 中匹配 ]] 无国籍 Examp乐: Router(config)# ip nat 外部源静态 100.1.1.1 10.1.1.1 VRF VRF1 匹配 VRF 无状态 |
在外部全局地址和内部本地地址之间建立静态转换。
|
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
使用静态无状态静态 NAT 端口转发配置无状态静态 NAT
执行以下任务以使用 VRF 配置静态 NAT 端口转发,并将静态映射设置为无状态。 当您将静态映射设置为无状态时,不会为该流创建会话。
概要步骤
- 使能够
- 配置终端
- ip nat 内部源静态 {tcp | udp} local-ip local-port global-ip global-port [vrf vrf-name [match-in-vrf ]] 可扩展无状态
- ip nat 外部源静态 {tcp | udp} 全局 IP 全局端口 本地 IP 本地端口 [vrf VRF 名称 [match-in-vrf ]] 可扩展无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | ip nat 内部源静态 {TCP | UDP协议} 本地 IP 本地端口 全局 IP 全局端口 [虚拟路由协议 vrf名称 [VRF 中匹配 ]] 可扩展无状态
Examp乐: Router(config)# ip nat inside 源静态 tcp 10.1.1.1 80 100.11.1.1 8080 VRF 1 匹配 VRF 可扩展无状态 |
在内部本地地址和内部全局地址之间建立静态转换。
|
| 步骤 4 | ip nat 外部源静态 {TCP | UDP协议} 全局 IP 全局端口 本地 IP 本地端口 [虚拟路由协议 vrf名称 [VRF 中匹配 ]] 可扩展无状态
Examp乐: Router(config)# ip nat 外部源静态 tcp |
在外部全局地址和内部本地地址之间建立静态转换。
|
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
在冗余设备中使用静态无状态 NAT 配置静态有状态 NAT
执行以下任务来配置静态 NAT 转换,并将静态映射设置为无状态。 当您将静态映射设置为无状态时,不会为该流创建会话。 在此配置中,仅对静态映射设置为无状态。 当流与两个映射语句匹配或仅与有状态映射条目匹配时,将创建 NAT 转换条目。 但是,如果仅匹配无状态条目,则不会创建它。
概要步骤
- 使能够
- 配置终端
- ip nat inside source static local-ip global-ip [vrf vrf-name [冗余组名称 [match-in-vrf ]]] 无状态
- ip nat inside source static local-ip global-ip [vrf vrf-name [冗余组名称 match-in-vrf ]]] 无状态
- 出口
- 结尾
详细步骤
| 命令或行动 | 目的 | |
| 步骤 1 | 使能够
Examp乐: 路由器>启用 |
|
| 步骤 2 | 配置终端
Examp乐: Router#配置终端 |
进入全局配置模式。 |
| 步骤 3 | ip nat 内部源静态 本地 IP 全局 IP [虚拟路由协议 vrf名称 [冗余组名称 [VRF 中匹配 ]]] 无国籍
Examp乐: Router(config)# ip nat inside 源静态 10.180.4.4 10.236.214.218 vrf vrf1 冗余 1 映射 ID 11 匹配 VRF 无状态 |
在内部本地地址和内部全局地址之间建立静态转换。
|
| 步骤 4 | ip nat 内部源静态 本地 IP 全局 IP [虚拟路由协议 vrf名称 [冗余组名称 match-in-vrf ]]] 无国籍
Examp乐: Router(config)# ip nat 外部源静态 |
在内部本地地址和内部全局地址之间建立静态转换。
|
| 命令或行动 | 目的 | |
| 步骤 5 | 出口
Examp乐: 路由器(config-if)#退出 |
退出接口配置模式并返回全局配置模式。 |
| 步骤 6 | 结尾
Examp乐: 路由器(config-if)#结束 |
退出接口配置模式并返回特权执行模式。 |
Examp文件:配置无状态静态 NAT
无状态静态 NAT
以下示例amp该文件显示了如何在本地 IP 地址 10.1.1.1 和全局 IP 地址 100.1.1.1 之间配置无状态静态内部和外部 NAT 转换。 Stateless关键字不会创建静态映射的流表项。
- Router#配置终端
- Router(config)# ip nat inside source static 10.1.1.1 100.1.1.1 无状态
- Router(config)# ip nat 外部源静态 100.1.1.1 10.1.1.1 无状态
带端口转发的无状态静态 NAT
以下示例amp文件显示如何配置本地 IP 地址 10.1.1.1 和全局 IP 地址 100.1.1.1 之间的无状态静态 NAT 端口转发转换。 Stateless关键字不会创建静态映射的流表项。
- Router#配置终端
- Router(config)# ip nat inside source static tcp 10.1.1.1 80 100.11.1.1 8080 可扩展无状态
- Router(config)# ip nat Outside source static tcp 100.1.1.1 8080 10.1.1.1 80 可扩展无状态
无状态静态 NAT 网络
以下示例amp该文件展示了如何在内部本地网络和内部全局网络之间配置无状态静态 NAT 网络。 Stateless关键字不会创建静态映射的流表项。
- Router#配置终端
- Router(config)# ip nat inside 源静态网络 10.0.0.0 100.1.1.0 /24 无状态 Router(config)# ip nat inside 源静态网络 100.0.0.0 10.1.1.0 /24 无状态
具有 VRF 的静态无状态 NAT
以下示例amp文件显示如何在本地 IP 地址 10.1.1.1 和全局 IP 地址 100.1.1.1 之间配置无状态静态 NAT 转换。 match-in-vrf 关键字在同一 VRF 中启用 NAT 内部和外部流量。 Stateless关键字不会创建静态映射的流表项。
- Router#配置终端
- Router(config)# ip nat inside source static 10.1.1.1 100.11.1.1 vrf vrf1 match-in-vrf stateless
- Router(config)# ip nat Outside source static 100.1.1.1 10.1.1.1 vrf vrf1 match-in-vrf stateless
- 路由器(config)# 路由器(config-if)# 结束
静态无状态 NAT 与静态无状态静态 NAT 端口转发
以下示例amp文件显示如何在本地 IP 地址 10.1.1.1 和全局 IP 地址 100.1.1.1 之间配置无状态静态 NAT 转换。 match-in-vrf 关键字在同一 VRF 中启用 NAT 内部和外部流量。 Stateless关键字不会创建静态映射的流表项。
- Router#配置终端
- Router(config)# ip nat inside source static tcp 10.1.1.1 80 100.11.1.1 8080 vrf 1 match-in-vrf 可扩展无状态
- Router(config)# ip nat Outside source static tcp 100.1.1.1 8080 10.1.1.1 80 vrf 1 match-in-vrf 可扩展无状态
- 路由器(config)# 路由器(config-if)# 结束
设备到设备 HA 中的静态状态 NAT 和静态无状态 NAT
以下示例amp文件显示了如何配置无状态静态 NAT,其中静态无状态 NAT 与启用了设备到设备冗余的流相匹配。
- Router#配置终端
- ip nat inside 源静态 10.180.4.4 10.236.214.218 vrf vrf1 冗余 1 映射 ID 11 匹配 VRF 无状态
- ip nat 外部源静态 10.180.4.8 10.240.214.220 vrf vrf1 冗余 1 映射 ID 10
无状态静态 NAT 的功能信息
表 2:无状态静态 NAT 的功能信息
| 特征名称 | 发行 | 功能信息 |
| 无状态静态 NAT | 思科 IOS XE 班加罗尔 17.4 | 一个新关键词 无国籍 介绍了 IOS XE 静态 NAT 配置。 |
文件/资源
 |
CISCO 17.X NAT 关于无状态静态 [pdf] 使用说明书 17.X NAT 关于无状态静态、17.X、NAT 关于无状态静态、关于无状态静态、无状态静态、静态 |
