路由器设置nat后怎么让外网访问不了内网，内网直接又可以互相访问

Posted 2023-04-30

比如路由器端口1接外网，端口2接192.168.1网段，用于服务器，端口3接192.168.2的交换机，交换机下又接有几个网段，用于内部用户。端口2的地址设置了静态NAT，端口3下的为动态NAT，现在外网还是可以直接访问192.168网段，要使得内部网之间能直接访问，也可以访问外网，而外网只能访问映射后的地址，怎么配置。

你都资源有哪些？ 你都公网IP地址。 假设又4个公网IP 202.103.24.10 202.103.24.11 202.103.24.12 202.103.24.13

外网只能访问静态NAT转换的用户（服务器）。 动态NAT转换都用户访问不了。
1. 配置端口2都静态地址映射

进入端口2的网卡结点
ip nat inside static 192.168.1.1 202.103.24.10
access-list 98 pemit 192.168.2.0 0.0.0.255
则 192.168.1.1 都用户可以被外网访问， 用户也可以上外网。
ACL配置可以与192.168.2网段的用户通信。

2.配置端口3都动态NAT 则要设定一个地址池，然后将地址池与ACL规则绑定。

进入端口3网卡结点
ip nat pool xxx
ip nat pool xxx 202.103.24.11 202.103.24.13 netmask 255.255.255.0
access-list 99 pemit 192.168.1.0 0.0.0.255
ip nat souce static list 99 pool xxx 【overload】
则端口的IP都动态转换为 xxx地址池的外网地址，并可以访问网卡2都用户。（至于是地址转换还是端口转换 加了OVERLOAD是端口转换，不加是地址转换）。 参考技术A 你说的好复杂啊

NAT静态路由内网访问外网(华为）

1，实验名称：NAT静态路由内网访问外网(华为）
2，实验目的：将私有地址转换为合法的IP地址，并解决IP地址不足的问题，而且还能有效的避免来自网络外的攻击。让内网可以访问外网，而外网不可以访问内网，起到内网安全保护数据的作用；
3，实验拓扑：

,配置环境：
① 先准备环境 2台PC机 1台交换机4台路由器
② 先将PC机配置IP地址及子网掩码和网关（网关配置在路由器R1与交换机端口）
③ 在路由器R1->R2端口配置不同网段IP；R1->R2->R3共两个不同网段
④ 在R1->PC上的不同网段端口上配置启用静态NAT
⑤ 验证、测试、保存,
4，配置步骤：

1）客户端：PC1：
ip 192.168.10.1
子网 255.255.255.0
网关 192.168.10.254
PC2：
ip192.168.10.2
子网 255.255.255.0
网关 192.168.10.254

（2）路由器：
R1:
<Huaweisystem-view
[R1]interfaceGigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254 255.255.255.0
[R1]interfaceGigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 255.255.255.0
[R1-GigabitEthernet0/0/1]nat static enable
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.3 inside 192.168.10.1
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2
R2:
<Huawei>system-view
[R2]interfaceGigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]undo shutdown
[R2-GigabitEthernet0/0/0]ipaddress 100.1.1.2 255.255.255.0
[R2]interfaceGigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]undo shutdown
[R2-GigabitEthernet0/0/1]ip address 200.1.1.1 255.255.255.0
[R2]rip
[R2-rip-1]version 2
[R2-rip-1]network 200.1.1.0
[R2-rip-1]network 100.0.0.0
R3:
<Huawei>system-view
[R3]interfaceGigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]undo shutdown
[R3-GigabitEthernet0/0/0]ipaddress 200.1.1.2 255.255.255.0
[R3]rip
[R3-rip-1]version 2
[R3-rip-1]network 200.1.1.0
5，验证及测试：


6，总结：配置思路：
（1） PC机 配置静态IP地址
（2）路由器R1配置静态网关，另一端口配置不同IP地址
（3） 在路由器R2和R3端口配置不同网段IP，R1—R2—R3共两个不同网段
（4） 在R1的0/1端口上配置启用静态NAT，并下一跳至100.1.1.2