思科CCNP教程之NAT

实训（实习）内容：
Nat地址转换的使用
实验所用设备和要求：
计算机、二层交换机、路由器、网线
实验要求：
路由器r1为内网和外网的边界路由器，在r1上做nat地址转换；要求内部网络的vlan10和vlan20主机能通过nat地址转换访问外部网络服务器；外部网络主机不能访问内网服务器
Nat地址池范围
过程或步骤：
1.pc机配置
PC1
PC2
外网服务器
2.路由器、交换机的配置二层交换机
R1
R2
3.测试验证（路由器show ip nat tra；主机pc1和pc2能ping通外网服务器，外网服务
器不能ping同通内网主机）
路由器show ip nat tra
主机pc1和pc2能ping通外网服务器
外网服务器不能ping同通内网主机
知识点练习：
1.常见的nat地址转换类型有哪些？
静态地址转换，每一个内网地址转换成一个固定的公网地址，能隐藏内部网络一般给特定的用户使用；
动态地址转换，通过建立公网地址池，需要与外部通信的内部主机向地址池申请IP公网与外网通信；
动态端口地址转换，通过端口地址的映射，使大量内网主机共用少数公网IP地址与外网进行通信。

静态端口地址转换
3.什么是内部本地地址？什么是内部全局地址？
1、内部本地地址 : 指在一个企业和机构网络内部分配给一台主机的IP地址，这
地址通常是私有IP地址。

2、内部全局地址：指设置在路由器等因特网接口设备上，用来代替一个或者多个
私有IP地址的公有地址，这个地址在公网上是唯一的。

网络互连技术
评分：教师签字：
日期： 2012 年月
网络教研室。

思科路由器NAT配置详解思科路由器NAT配置详解一、介绍在计算机网络中，网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

NAT主要用于连接不同IP地质的网络之间进行通信，常用于家庭和办公网络。

二、NAT的基本概念1、NAT的作用NAT的主要作用是解决IPv4地质不足的问题，同时也可以提高网络的安全性。

2、NAT的类型NAT有三种类型：静态NAT、动态NAT和PAT（端口地质转换）。

3、静态NAT静态NAT将指定的内部IP地质映射到一个外部IP地质，使得内部网络上的设备可以通过外部IP地质进行访问。

4、动态NAT动态NAT是根据内部网络的需求，将一个或多个内部IP地质动态地映射到一个外部IP地质。

当内部网络设备需要访问外部网络时，才会动态地进行映射。

5、PATPAT是一种特殊的动态NAT，它将多个内部IP地质映射到一个外部IP地质，使用不同的端口号区分不同的内部地质。

三、NAT的配置步骤1、确定NAT的类型在进行NAT配置之前，需要确定所需的NAT类型，是静态NAT、动态NAT还是PAT。

2、配置内部和外部接口需要配置内部和外部接口的IP地质，使路由器能够正确地识别内部和外部网络。

3、配置NAT池对于动态NAT和PAT，需要配置一个NAT池，包含可用的外部IP地质。

4、配置NAT规则根据需求，配置适当的NAT规则，包括内部地质和端口号与外部地质和端口号的映射关系。

四、附件本文档没有涉及到附件。

五、法律名词及注释1、IPv4地质：互联网协议第四版本（Internet Protocol version 4，简称IPv4）中使用的32位地质，用于标识网络上的设备。

2、NAT：网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

思科CCNA学习笔记之NAT⽹络地址转换原理与实现⽅法图⽂详解本⽂实例讲述了CCNA学习笔记之NAT⽹络地址转换原理与实现⽅法。

分享给⼤家供⼤家参考，具体如下：CCNA基础 NAT⽹络地址转换在计算机⽹络中，⽹络地址转换（Network Address Translation，缩写为NAT），也叫做⽹络掩蔽或者IP掩蔽（IP masquerading），是⼀种在IP数据包通过路由器或防⽕墙时重写来源IP地址或⽬的IP地址的技术。

这种技术被普遍使⽤在有多台主机但只通过⼀个公有IP地址访问因特⽹的私有⽹络中。

根据规范，路由器是不能这样⼯作的，但它的确是⼀个⽅便并得到了⼴泛应⽤的技术。

当然，NAT也让主机之间的通信变得复杂，导致通信效率的降低。

⼀、列举操作系统环境中防⽕墙⽹络层防⽕墙可视为⼀种 IP 数据包过滤器，运作在底层的TCP/IP协议堆栈上。

我们可以以枚举的⽅式，只允许匹配特定规则的数据包通过，其余的⼀概禁⽌穿越防⽕墙。

这些规则通常可以经由管理员定义或修改，不过某些防⽕墙设备可能只能应⽤内置的规则。

我们也能以另⼀种较宽松的⾓度来制定防⽕墙规则，只要数据包不匹配任何⼀项“否定规则”就予以放⾏。

现在的操作系统及⽹络设备⼤多已内置防⽕墙功能。

较新的防⽕墙能利⽤数据包的多样属性来进⾏过滤，例如：来源 IP 地址、来源端⼝号、⽬的 IP 地址或端⼝号、服务类型(如 HTTP 或是 FTP)。

也能经由通信协议、TTL 值、来源的⽹域名称或⽹段...等属性来进⾏过滤。

1-1、Windows 下 Firewall1-2、Linux 下 iptables⼆、关于进出站以及源⽬标认识找了很多资料，都没有很简单的对进出站进⾏解释。

以下为博主⾃⼰对进出站理解：2-1、进站以及出站点假设你是守卫。

前⾯是⼀条桥，后⾯是座城堡。

关于”inside“⼊站策略：守卫需要操作桥上来的⼈。

（这就是⼊站策略。

“它是被动的”）关于”outside“出站策略：守卫需要操作城堡出来的⼈。

思科路由器如何配置NAT功能很多网络技术上的新手，还不知道如何配置思科路由器的NAT功能。

不过没关系，看完小编这个文章应该对你帮助会很大。

那么接下来就让小编来教你如何配置思科路由器NAT功能吧。

首先，小编必须要介绍下什么是NAT。

NAT，英文全称为Network Address Translation，是指网络IP 地址转换。

NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。

这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。

如我们局域网中的192.168.1.1地址段属私网地址，就是通过NAT转换过来的。

NAT分为静态地址转换、动态地址转换、复用动态地址转换。

下面是小编将列出思科路由器NAT配置实例，希望对您有所帮助。

Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码，那么你应该就会了解到如何配置思科路由器NAT功能了。

思科配置(NAT和ACL)实操1、看懂下面代码；2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机（SW-3）代码如下：Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房，人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网，但可以访问机房；4、人事部员可以访问外网，但不能访问机房；SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网，信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。

静态NAT配置步骤：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、静态NAT1）定义内外部接口R1(config)#int e0/0R1(config-if)#ip nat insideR1(config-if)#int e0/1R1(config-if)#ip nat outside2）手动配置NAT的转换表项R1(config)# ip nat inside source static 192.168.1.1 12.1.1.11R1(config)# ip nat inside source static 192.168.1.2 12.1.1.121、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置NAT地址池===NAT的地址池配置的是公网地址 12网段R1(config)#ip nat pool yyds 12.1.1.100 12.1.1.100 netmask 255.255.255.04、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出的内网地址关联到地址池中去R1(config)#ip nat inside source list 1 pool yyds第一种配置方法和动态相同:R1(config)#ip nat inside source list 1 pool yyds overload如果配置命令报错，请输入：clear ip nat translation第二种配置方法：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出来的地址转换到外部接口地址R1(config)#ip nat inside source list 1 interface e0/1 overload1、配置所有设备的IP地址ASA(config)# int e0ASA(config-if)# ip add 192.168.1.100 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif LANASA(config-if)# security-level 100ASA(config-if)# int e1ASA(config-if)# ip add 12.1.1.1 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif WAN2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、将ICMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、无需定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用1）host XXXXXXXXX:某一个具体的主机地址2）range xxxxxxxx:某一段地址（192.168.1.1-192.168.1.10）3）subnet xxxxxxx:某一网段的地址（192.168.1.0/24）ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联ASA(config)# nat (LAN,WAN) source static LAN WAN1、配置所有设备的IP地址2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、CMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联asa(config)# nat (LAN,WAN) source dynamic LAN WAN。

2009年6月23日11:05IP访问控制列表标准ACL 1)检查源地址2）不能对协议族作限定扩展ACL 1)检查源和目标地址2）能容许或拒绝特定的协议和应用（端口号）区别列表类型: 1）ACL号: 1-99,1300-1999标准ACL ;100-199,2000-2699扩展ACL2) 命名ACL用描述性的名字或号码标识访问列表的编号指明了使用何种协议的访问列表2.每个端口，每个方向，每个协议只能对应于一条访问列表3.访问列表内容决定了数据控制顺序，具有严格限制条件的语句放在所有语句最上面4.访问列表最后一条是隐含拒绝，所有每个访问控制列表至少有一条permit语句（否则所有流量不通过）5.访问控制列表需要应用在进出接口上，如何过滤流量，取决于怎么应用6.放置访问控制列表1）扩展访问列表应用在靠近源2）标准访问列表应用靠近目标inside:需要翻译成外部地址的网络local:出现于内网global:出现于外网inside local:分配给处于内网的主机的IP地址,地址是全局唯一的,一般分配的是由RFC 1918里定义的私有地址(private IP address)inside global:用来替代inside local的对外的,可用于Internet上的地址,即被翻译后的地址.地址全局唯一,由ISP分配outside local:外网主机相对于内网所用的IP地址.地址可以从RFC 1918中定义的进行分配outside global:分配给外网主机的外部地址simple translation entry: 把一个IP地址映射到另外一个地址上去的翻译方式extended translation entry: 把IP地址和端口(port)的组合翻译成另外一个地址和端口的组合static address translation:静态翻译,把一个local对应到global上去dynamic address translation:动态翻译,local和global池(pool)建立动态对应关系port address translation(PAT):通过使用地址和端口的结合来达到多个local对应一个global的状LAB-1：NAT的基本配置step1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：配置一个静态的(IP对IP)NAT转换R1(config)#ip nat inside source static 192.168.1.2 13.0.0.1inside local inside globle R1#show ip nat translationsPro Inside global Inside local Outside local Outside global--- 13.0.0.1 192.168.1.2 --- ---R1#debug ip natLAB-2：配置动态NATstep1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：用ACL定义需要做NAT的用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255step3：配置一个基于公网接口serial 1的NAT端口复用R1(config)#ip nat inside source list 1 interface serial 1 overload 内网用户NAT的出接口端口复用show ip nat trandeb ip natshow ip nat translationsLAB-3:配置一个基于地址池的NATstep0：在网关上为内部用户配置辅助地址R1(config)#inter e0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#ip add 192.168.2.1 255.255.255.0 secondary //配置辅助地址step1：定义内/外口step2：定义用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255step3：从ISP处购买来的公网IP，分别放入为不同子网准备的地址池中R1(config)#ip nat pool POOL_1 13.0.0.8 13.0.0.11 prefix-length 24 地址池的名字起始IP地址结束IP地址R1(config)#ip nat pool POOL_2 13.0.0.12 13.0.0.15 netmask 255.255.255.0step4：为不同的子网，进行基于不同NAT-Pool的转换R1(config)#ip nat inside source list 1 pool POOL_1 overloadR1(config)#ip nat inside source list 2 pool POOL_2 overload测试LAB-4基于端口号的NAT转换PATR1(config)#ip nat inside source static tcp 192.168.1.2 23 13.0.0.1 8000R1(config)#ip nat inside source static tcp 192.168.2.4 23 13.0.0.1 9000PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）Ip nat inside source list 10 int s1/1 overloadIp nat inside source list 10 pool liming overload (端口复用的可以是接口或地址池)NAT排障：1.检查inside 入口方向有没有ACL拒绝数据包通过2.NAT里引用的list添加所有需要转换的网段3.Nat 地址池地址不够PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）。

动态、静态NAT体会：1.静态路由：（1）将各个接口的IP地址配置好（并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样）。

Router(config)#interface serial 2/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shutdown（2）配置静态路由。

要连通几个与该路由器不直接相连的网段就必须设置几条路由。

Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1目标网段目标网络子网掩码下一跳IP地址（3）查看路由表：Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, FastEthernet1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0S 192.168.3.0/24 [1/0] via 192.168.5.2S 192.168.4.0/24 [1/0] via 192.168.5.2C 192.168.5.0/24 is directly connected, Serial2/0（3）各个网段的终端要想相互ping得通，这些终端就得设置网关。

思科交换机NAT配置介绍及实例思科交换机（Cisco Switch）是企业级网络设备中最常用的一种。

与传统的路由器不同，交换机主要用于在局域网（LAN）内部提供数据包的转发和过滤功能。

然而，在一些情况下，我们可能需要使用交换机进行网络地址转换（NAT）来实现特定的网络部署需求。

本文将介绍思科交换机的NAT配置方法，并提供实例说明。

1.NAT概述网络地址转换（NAT）是一种在不同网络之间转换IP地址的技术。

它主要用于解决IPv4地址空间的短缺问题，并允许多个主机通过一个公网IP地址来访问互联网。

NAT实现了将内部网络地址与外部IP地址之间进行映射，使得内部主机可以通过共享公网IP地址来与外部网络进行通信。

2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤：步骤1：创建访问控制列表（ACL）访问控制列表（Access Control List）用于定义需要进行NAT转换的数据包。

我们可以根据源地址、目标地址、端口等条件来配置ACL，以确定哪些数据包需要进行NAT转换。

例如，下面是一条配置ACL的命令示例：access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。

步骤2：创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。

我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。

例如，下面是一条配置NAT池的命令示例：ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池，其中可用的IP地址范围为203.0.113.1至203.0.113.10。

步骤3：创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。

我们可以通过配置NAT类型（静态/动态）、内部地址、外部地址等参数来创建NAT规则。