思科NAT配置实例

思科路由器NAT配置详解思科路由器NAT配置详解一、介绍在计算机网络中，网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

NAT主要用于连接不同IP地质的网络之间进行通信，常用于家庭和办公网络。

二、NAT的基本概念1、NAT的作用NAT的主要作用是解决IPv4地质不足的问题，同时也可以提高网络的安全性。

2、NAT的类型NAT有三种类型：静态NAT、动态NAT和PAT（端口地质转换）。

3、静态NAT静态NAT将指定的内部IP地质映射到一个外部IP地质，使得内部网络上的设备可以通过外部IP地质进行访问。

4、动态NAT动态NAT是根据内部网络的需求，将一个或多个内部IP地质动态地映射到一个外部IP地质。

当内部网络设备需要访问外部网络时，才会动态地进行映射。

5、PATPAT是一种特殊的动态NAT，它将多个内部IP地质映射到一个外部IP地质，使用不同的端口号区分不同的内部地质。

三、NAT的配置步骤1、确定NAT的类型在进行NAT配置之前，需要确定所需的NAT类型，是静态NAT、动态NAT还是PAT。

2、配置内部和外部接口需要配置内部和外部接口的IP地质，使路由器能够正确地识别内部和外部网络。

3、配置NAT池对于动态NAT和PAT，需要配置一个NAT池，包含可用的外部IP地质。

4、配置NAT规则根据需求，配置适当的NAT规则，包括内部地质和端口号与外部地质和端口号的映射关系。

四、附件本文档没有涉及到附件。

五、法律名词及注释1、IPv4地质：互联网协议第四版本（Internet Protocol version 4，简称IPv4）中使用的32位地质，用于标识网络上的设备。

2、NAT：网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

思科路由实现内⽹访问Internet静态NAT 内⽹访问Internet静态NAT1、实验⽬标在路由器上配置NAT2 、试验要求需要在CPE路由器上配置NAT。

内⽹PC0 10.1.1.1访问Internet源地址⽤172.16.1.2.10公⽹地址替换。

其他内⽹的计算机不能访问Internet。

3 、试验拓扑4 、实验过程：4.1 在路由器PCE上Router>enRouter#confi tRouter(config)#ip nat inside source static 10.1.1.1 172.16.12.10指定对应关系Router(config)#interface fastEthernet 0/1Router(config-if)#ip nat inside 指定NAT的内⽹接⼝Router(config-if)#exitRouter(config)#interface s0/0Router(config-if)#ip nat outside 指定NAT的外⽹接⼝Router#5 、验证5.1 在PC0上访问Server2的Web站点可以发现PC0能够访问Webserver2。

5.2 在PC1上Ping Server25.3 在Server2上查看会话表明内⽹的计算机访问Server2的Web站点时，源地址使⽤公⽹地址172.16.12.10替换了。

5.4 在路由器CPE上Router#show ip nat translationsRouter#debug ip nat 可以看到NAT转换IP NAT debugging is onRouter#NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT: s=10.1.1.1->172.16.12.10, d=172.16.23.2[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0] NAT*: s=172.16.23.2, d=172.16.12.10->10.1.1.1[0]。

Cisco系列路由器NAT配置详解-电脑资料INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器(proxyserver)即可，但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题，。

下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：一、直接通过路由器访问INTERNET资源的配置1.总体思路和设备连接方法一般情况下，单位内部的局域网都使用INTERNET上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。

解决这一问题的办法是利用路由操作系统提供的NAT （Network AddressTranslation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。

这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。

NAT有两种类型：Single模式和global模式。

使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址，电脑资料《Cisco系列路由器NAT配置详解》(https://www.)。

局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。

本地局域网内的主机继续使用本地地址。

使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。

思科路由器如何配置NAT功能很多网络技术上的新手，还不知道如何配置思科路由器的NAT功能。

不过没关系，看完小编这个文章应该对你帮助会很大。

那么接下来就让小编来教你如何配置思科路由器NAT功能吧。

首先，小编必须要介绍下什么是NAT。

NAT，英文全称为Network Address Translation，是指网络IP 地址转换。

NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。

这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。

如我们局域网中的192.168.1.1地址段属私网地址，就是通过NAT转换过来的。

NAT分为静态地址转换、动态地址转换、复用动态地址转换。

下面是小编将列出思科路由器NAT配置实例，希望对您有所帮助。

Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码，那么你应该就会了解到如何配置思科路由器NAT功能了。

思科配置(NAT和ACL)实操1、看懂下面代码；2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机（SW-3）代码如下：Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房，人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网，但可以访问机房；4、人事部员可以访问外网，但不能访问机房；SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网，信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

cisco路由器nat配置本文档涉及附件：1、NAT配置范例（附件1）2、Cisco路由器配置指南（附件2）本文所涉及的法律名词及注释：1、NAT：网络地质转换，是一种将私有IP地质转换为公有IP 地质的技术。

它允许私有网络中的多个设备共享一个公有IP地质，并通过在数据包中修改IP地质和端口号来实现通信。

2、Cisco路由器：Cisco公司生产的网络设备，用于在计算机网络中转发数据包。

3、IP地质：Internet Protocol Address的缩写，是互联网上每一个设备的唯一标识。

4、公有IP地质：用于公共互联网上的网络设备的IP地质，由互联网服务提供商分配。

5、私有IP地质：用于局域网内部设备的IP地质，根据RFC 1918标准规定为以下三个范围.10：0：0：0 - 10.255.255.255，172.16：0：0 - 172.31.255.255，192.168：0：0 -192.168.255.255：6、端口号：在计算机网络中，用于标识不同应用程序或服务的数字。

端口号范围从0到65535：7、ACL：访问控制列表（Access Control List）是一种网络安全机制，用于限制或允许网络流量通过网络设备。

它基于规则集对数据包进行过滤和重定向。

8、PAT：端口地质转换（Port Address Translation）是一种NAT技术，用于将多个私有IP地质映射到一个公有IP地质。

它通过修改数据包中的IP地质和端口号来实现。

9、NAT池：一组可用于NAT转换的公有IP地质。

10、NAT超时：NAT超时是指在NAT转换表中保留NAT会话的时间。

一旦超时时间到达，相应的NAT转换将被删除。

11、Source NAT：源地质转换（Source Network Address Translation）操作将源IP地质和端口号更改为公有IP地质和端口号。

12、Destination NAT：目的地质转换（Destination Network Address Translation）操作将目的IP地质和端口号更改为私有IP 地质和端口号。

思科交换机NAT配置介绍及实例思科交换机（Cisco Switch）是企业级网络设备中最常用的一种。

与传统的路由器不同，交换机主要用于在局域网（LAN）内部提供数据包的转发和过滤功能。

然而，在一些情况下，我们可能需要使用交换机进行网络地址转换（NAT）来实现特定的网络部署需求。

本文将介绍思科交换机的NAT配置方法，并提供实例说明。

1.NAT概述网络地址转换（NAT）是一种在不同网络之间转换IP地址的技术。

它主要用于解决IPv4地址空间的短缺问题，并允许多个主机通过一个公网IP地址来访问互联网。

NAT实现了将内部网络地址与外部IP地址之间进行映射，使得内部主机可以通过共享公网IP地址来与外部网络进行通信。

2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤：步骤1：创建访问控制列表（ACL）访问控制列表（Access Control List）用于定义需要进行NAT转换的数据包。

我们可以根据源地址、目标地址、端口等条件来配置ACL，以确定哪些数据包需要进行NAT转换。

例如，下面是一条配置ACL的命令示例：access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。

步骤2：创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。

我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。

例如，下面是一条配置NAT池的命令示例：ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池，其中可用的IP地址范围为203.0.113.1至203.0.113.10。

步骤3：创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。

我们可以通过配置NAT类型（静态/动态）、内部地址、外部地址等参数来创建NAT规则。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

思科路由器配置命令详解及实例思科路由器配置命令详解及实例一、路由器基本配置1.1 登录路由器为了配置和管理思科路由器，您需要登录到路由器的控制台或通过远程登录方式。

使用以下命令登录路由器，并进行必要的身份验证：```Router> enableRouterconfigure terminalEnter configuration commands, one per line： End with TL/Z：Router(config)hostname [路由器名称]Router(config)enable secret [密码]Router(config)line console 0Router(config-line)password [密码]Router(config-line)logging synchronousRouter(config-line)exitRouter(config)line vty 0 4Router(config-line)password [密码]Router(config-line)logging synchronous```1.2 配置接口接下来，您需要配置路由器的接口，以便与其他网络设备进行通信。

使用以下命令配置接口：```Router(config)interface [接口类型] [接口编号]Router(config-if)ip address [IP地址] [子网掩码]Router(config-if)no shutdownRouter(config-if)exit```二、路由配置2.1 静态路由静态路由是手动配置的路由项，将特定的网络目的地与下一跳路由器关联起来。

以下是配置静态路由的示例命令：```Router(config)ip route [目的网络] [子网掩码] [下一跳地址]```2.2 动态路由动态路由是通过路由协议动态学习并自动更新的路由项。

实验10 思科ASA防火墙的NAT配置一、实验目标1、掌握思科ASA防火墙的NAT规则的基本原理；2、掌握常见的思科ASA防火墙的NAT规则的配置方法。

二、实验拓扑根据下图搭建拓扑通过配置ASA防火墙上的NAT规则，使得inside区能单向访问DMZ区和outside区，DMZ区和outside区能够互访。

三、实验配置1、路由器基本网络配置，配置IP地址和默认网关R1#conf tR1(config)#int f0/0R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip default-gateway 192.168.2.254 //配置默认网关R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.254 //添加默认路由R1(config)#exitR1#writeR2#conf tR2(config)#int f0/0R2(config-if)#ip address 202.1.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#ip default-gateway 202.1.1.254R2(config)#exitR2#writeServer#conf tServer(config)#no ip routing //用路由器模拟服务器，关闭路由功能Server(config)#int f0/0Server(config-if)#ip address 192.168.1.1 255.255.255.0Server(config-if)#no shutdownServer(config-if)#exitServer(config)#ip default-gateway 192.168.1.254Server(config)#exitServer#write*说明：实际配置中最好在三台路由器上都添加一条通往防火墙的默认路由，但在本实验中Server和R2不配置不影响实验效果。

NAT详解及CISCO路由器上的实现方法NAT（Network Address Translation）是一种网络协议，用于将私有IP地址转换为公共IP地址，以实现内部网络与外部网络的互联。

NAT的原理是通过在路由器或防火墙中进行IP地址转换，将内部网络的私有IP地址与公共IP地址进行映射。

这样，内部网络的用户可以通过公共IP地址访问互联网，而对外部网络来说，只能看到路由器的公共IP地址，无法直接访问内部网络的私有IP地址，从而提高了网络的安全性。

在CISCO路由器上，可以通过以下步骤实现NAT：1.确定内部网络和外部网络的接口：在CISCO路由器上，需要为内部和外部网络分配两个不同的接口。

内部网络通常是一个局域网，外部网络通常是连接到互联网的广域网接口。

2. 创建ACL（Access Control List）：创建一个ACL，用于定义需要进行NAT转换的内部网络地址范围。

3.创建NAT池：创建一个NAT池，用于分配公共IP地址给内部网络的私有IP地址。

4.创建NAT转换规则：设置NAT转换规则，将内部网络的私有IP地址映射到NAT池中的公共IP地址。

5.将ACL与NAT转换规则绑定：将ACL与NAT转换规则进行绑定，以确保只有满足ACL条件的数据包才会进行NAT转换。

6.应用配置：最后，将配置应用到路由器上，使其生效。

下面是一个详细的例子，展示如何在CISCO路由器上配置NAT：```interface GigabitEthernet0/0ip address 192.168.10.1 255.255.255.0ip nat insideinterface GigabitEthernet0/1ip address 203.0.113.1 255.255.255.0ip nat outsideaccess-list 1 permit 192.168.10.0 0.0.0.255ip nat pool NATPOOL 203.0.113.5 203.0.113.10 netmask255.255.255.0ip nat inside source list 1 pool NATPOOL overload```在上述配置中，GigabitEthernet0/0接口为内部网络接口，GigabitEthernet0/1接口为外部网络接口。

一台思科三层交换机划分两个VLAN 其中VLAN2 IP地址为 192.168.1.1 子网掩码 255.255.255.0 另外一个VLAN3 IP地址为 192.168.2.1 子网掩码255.255.255.0 三层交换机的F0/2接口绑定到VLAN2中而三层交换机F0/3口绑定到对应的VLAN3中而三层交换机F0/2口下面连了一台思科的二层交换机的F0/1口而三层交换机F0/3口下面也连了一台思科二层交换机F0/1口 F0/2口下面连的二层交换机所有的24个端口都养绑定到VLAN2里面而F0/3口下面的二层交换机所有的24个端口都养绑定到VLAN3里面，当然要求两台交换机都要能够互相PING通对方！同时也要求三层交换机和二层交换机全部都要开启telnet功能方便以后通过电脑可以远程管理交换机！同时思科三层交换机的F0/1口还连着一台思科路由器！思科路由器做NAT 和端口映射！要求二层交换机连着的那些电脑都能够通过这台思科路由器上因特网，并且服务器通过端口映射可以让因特网的电脑访问到这些服务器具体网络拓扑结构如下图首先在三层交换机上做如下操作！C3550>enableC3550#vlan databaseC3550(vlan)#vlan 2C3550(vlan)#vlan 3C3550(vlan)#exitC3550#conf tC3550(config)#int f0/2C3550(config-if)#switchport mode accessC3550(config-if)#switchport access vlan 2C3550(config-if)#no shut downC3550(config-if)#int f0/3C3550(config-if)#switchport mode accessC3550(config-if)#switchport access vlan 3C3550(config-if)#no shut downC3550(config-if)#exitC3550(config)#int vlan 2C3550(config-if)#ip address 192.168.1.1 255.255.255.0 C3550(config-if)#int vlan 3C3550(config-if)#ip address 192.168.2.1 255.255.255.0 C3550(config-if)#exitC3550(config)#ip routingC3550(config)#endC3550(config)#int f0/2C3550(config-if)#switchport mode trunkC3550(config-if)#switchport trunk encapsulation dot1q C3550(config-if)#switchport trunk allowed vlan allC3550(config)#int f0/3C3550(config-if)#switchport mode trunkC3550(config-if)#switchport trunk encapsulation dot1q C3550(config-if)#switchport trunk allowed vlan allC3550#vlan databaseC3550(vlan)#vtp serverC3550(vlan)#vtp domain ntC3550(vlan)#vtp password 123C3550(vlan)#exitC3550#conf tC3550 (config)#line vty 0 4C3550 (config-line)#password 123C3550 (config-line)#loginC3550 (config-line)#exitC3550#copy running-config startup-config然后在二层交换机上做如下操作C2900>enableC2900#vlan databaseC2900(vlan)#vtp clientC2900(vlan)#vtp domain ntC2900(vlan)#vtp password 123C2900(vlan)#exitC2900#config tC2900(config)#int f0/1C2900(config-if)#switchport mode trunkC2900(config-if)#switchport trunk encapsulation dot1q C2900(config-if)#switchport trunk allowed vlan allC2900(config-if)#no shut downC2900(config)#int range f0/2 -24C2900(config-if)#switchport mode accessC2900(config-if)#switchport access vlan 2C2900(config-if)#exitC2900(config)#int vlan 2C2900(config-if)#ip address 192.168.1.200 255.255.255.0 C2900(config-if)#ip default-gateway 192.168.1.1C2900(config)#line vty 0 4C2900 (config-line)#password 123C2900 (config-line)#loginC2900 (config-line)#exitC2900#copy running-config startup-config在另外一台二层交换机上做如下操作C2900>enableC2900#vlan databaseC2900(vlan)#vtp clientC2900(vlan)#vtp domain ntC2900(vlan)#vtp password 123C2900(vlan)#exitC2900#config tC2900(config)#int f0/1C2900(config-if)#switchport mode trunkC2900(config-if)#switchport trunk encapsulation dot1qC2900(config-if)#switchport trunk allowed vlan allC2900(config-if)#no shut downC2900(config)#int range f0/2 -24C2900(config-if)#switchport mode accessC2900(config-if)#switchport access vlan 3C2900(config-if)#no shut downC2900(config-if)#exitC2900(config)#int vlan 3C2900(config-if)#ip address 192.168.2.200 255.255.255.0 C2900(config-if)#ip default-gateway 192.168.2.1C2900(config)#line vty 0 4C2900 (config-line)#password 123C2900 (config-line)#loginC2900 (config-line)#exitC2900#copy running-config startup-config接着再回到三层交换机上做如下操作C3550>enableC3550#conf tC3550(config)#int f0/1C3550(config)#no switchportC3550(config-if)#ip address 192.168.3.1 255.255.255.0C3550(config-if)#exitC3550#copy running-config startup-config接着到路由器上做如下操作(假设找ISP申请了三个外网IP地址 202.99.96.63 202.99.96.64 202.99.96.65 子网掩码255.255.255.248 统一用202.99.96.63这个外网IP上因特网R1>enableR1#config tR1(config)#int f0/0R1(config-if)#ip address 192.168.3.2 255.255.255.0R1(config-if)#ip nat insideR1(config-if)#no shut downR1(config-if)#exitR1(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1R1(config)int s0/0R1(config-if)#ip address 202.99.96.63 255.255.255.248R1(config-if)#no shut downR1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip nat pool nt 202.99.96.63 202.99.96.65R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255R1(config)#access-list 3 permit 192.168.3.0 0.0.0.255R1(config)#ip nat inside source list 1 pool nt overloadR1(config)#ip nat inside source list 2 pool nt overloadR1(config)#ip nat inside source list 3 pool nt overloadR1(config)#ip route 0.0.0.0 0.0.0.0 s0/0R1(config)#line vty 0 4R1 (config-line)#password 123R1 (config-line)#loginR1(config-line)#exit此外局域网中还有一个80端口的WEB服务器还有一个21端口的FTP服务器需要把这两个服务器做端口映射映射到因特网上！R1(config)#ip nat inside source static tcp 192.168.1.200 80202.99.96.63 80R1(config)#ip nat inside source static tcp 192.168.1.201 21202.99.96.63 21R1(config)#exitR1#copy running-config startup-config最后回到三层交换机做一下操作C3550 (config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2C3550#copy running-config startup-config所有的操作都已经完成了！以上所有的操作都是本人自己总结的！也是自己写的！请问我完成了以上的那些操作之后是否可以达到我刚开始说的那些要求！如果可以达到我刚开始说的那些要求的话请说出为什么能达到！没有命令是错误的？如果不可以达到我刚开始说的那些要求的话请说出为什么不能达到！请问还有哪些命令是错误的呢？请写出具体正确的命令！谢谢！Inter vlan 2Ip address 192.168.1.200 255.255.255.0Ip default-gateway 192.168.1.1Inter vlan 3Ip address 192.168.2.200 255.255.255.0Ip default-gateway 192.168.2.1。

NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。

静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。

根据不同的需要，选择相应的NAT技术类型。

一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT，所以掌握最后配置就可以了。

静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP.外网使用公网IP.并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

最后，指定其默认路由。

Router>en （进入特权模式）Router#config （进入全局配置模式）Configuring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1 100.0.0.1（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

思科NAT的配置3.0（静态、动态和PAT）下面的代码要理解，多看多理解。

(可以不写)三层交换机SW-3代码如下：Switch>Switch>enSwitch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname SW-3SW-3(config)#ip routingSW-3(config)#interface rang f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to upSW-3(config-if-range)#exitSW-3(config)#interface f0/1SW-3(config-if)#ip add 192.168.10.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip add 192.168.20.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip add 192.168.30.1 255.255.255.0SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip add 192.168.40.2 255.255.255.0SW-3(config-if)#exitSW-3(config)#ip route 220.168.10.0 255.255.255.0 192.168.40.1 SW-3(config)#exitSW-3#%SYS-5-CONFIG_I: Configured from console by consoleSW-3#writeBuilding configuration...[OK]路由器R1代码如下：Router>Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface f0/0Router(config-if)#no shutdownRouter(config-if)#ip address 192.168.40.1 255.255.255.0Router(config-if)#exitRouter(config)#Router(config)#Router(config)#interface f0/1Router(config-if)#no shutdownRouter(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upRouter(config-if)#ip address 220.168.10.1 255.255.255.0Router(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 192.168.40.2Router(config)#hoRouter(config)#hostname R1R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255R1(config)#ip nat pool MPH 58.58.58.58 58.58.58.58 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool MPH overloadR1(config)#R1(config)#access-list 20 permit 192.168.10.0 0.0.0.255R1(config)#ip nat pool LL 99.99.99.99 99.99.99.199 netmask 255.255.255.0 R1(config)#ip nat inside source list 20 pool LLR1(config)#R1(config)#ip nat inside source static 192.168.20.10 25.25.25.25R1(config)#ip nat inside source static 192.168.20.20 26.26.26.26R1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#R1(config)#interface f0/1R1(config-if)#ip nat outsideR1(config-if)#R1#writeBuilding configuration...[OK]R1#。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

NAT实验一．实验拓扑结构图二．IP地址规划PC0——192.168.10.10 默认网关——192.168.10.254PC1——202.20.20.10 默认网关——202.20.20.254Router0：Fa0/0——192.168.10.254 S1/0——202.10.10.10 Router1：Fa0/0——202.20.20.254 S1/0——202.10.10.20地址池：202.30.30.1——202.30.30.30 name changsha 三．配置过程1.Router0的配置：Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0Router(config-if)#ip address 192.168.10.254 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#int s1/0Router(config-if)#ip address 202.10.10.10 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shut2．Router1的配置Router(config)#int fa0/0Router(config-if)#ip add 202.20.20.254 255.255.255.0Router(config-if)#no shutRouter(config-if)#int s1/0Router(config-if)#ip add 202.10.10.20 255.255.255.0Router(config-if)#no shut3．Router0配置NA T转换Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255Router(config)#ip nat pool network 202.30.30.1 202.30.30.30 netmask 255.255.255.0 Router(config)#ip nat inside source list 1 pool networkRouter(config)#int fa0/0Router(config-if)#ip nat insideRouter(config-if)#int s1/0Router(config-if)#ip nat outside4．Router0配置静态路由Router(config)#ip route 202.20.20.0 255.255.255.0 202.10.10.205．Router1配置静态路由Router(config)#ip route 202.30.30.0 255.255.255.0 202.10.10.106．实验测试（1）在PC0上输入ping指令PC>ping 202.20.20.10Pinging 202.20.20.10 with 32 bytes of data:Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126Reply from 202.20.20.10: bytes=32 time=156ms TTL=126 （2）在Router0中输入测试指令Router#debug ip natIP NAT debugging is onRouter#NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [13] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [4] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [14] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [5] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [15] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [6] NA T: s=192.168.10.10->202.30.30.1, d=202.20.20.10 [16] NA T*: s=202.20.20.10, d=202.30.30.1->192.168.10.10 [7]。