思科路由器NAT配置详解

思科交换机NAT配置介绍及实例CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

Cisco系列路由器NAT配置详解-电脑资料INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器(proxyserver)即可，但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题，。

下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：一、直接通过路由器访问INTERNET资源的配置1.总体思路和设备连接方法一般情况下，单位内部的局域网都使用INTERNET上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。

解决这一问题的办法是利用路由操作系统提供的NAT （Network AddressTranslation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。

这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。

NAT有两种类型：Single模式和global模式。

使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址，电脑资料《Cisco系列路由器NAT配置详解》(https://www.)。

局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。

本地局域网内的主机继续使用本地地址。

使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。

思科路由器如何配置NAT功能很多网络技术上的新手，还不知道如何配置思科路由器的NAT功能。

不过没关系，看完小编这个文章应该对你帮助会很大。

那么接下来就让小编来教你如何配置思科路由器NAT功能吧。

首先，小编必须要介绍下什么是NAT。

NAT，英文全称为Network Address Translation，是指网络IP 地址转换。

NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。

这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。

如我们局域网中的192.168.1.1地址段属私网地址，就是通过NAT转换过来的。

NAT分为静态地址转换、动态地址转换、复用动态地址转换。

下面是小编将列出思科路由器NAT配置实例，希望对您有所帮助。

Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码，那么你应该就会了解到如何配置思科路由器NAT功能了。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

静态NAT配置步骤：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、静态NAT1）定义内外部接口R1(config)#int e0/0R1(config-if)#ip nat insideR1(config-if)#int e0/1R1(config-if)#ip nat outside2）手动配置NAT的转换表项R1(config)# ip nat inside source static 192.168.1.1 12.1.1.11R1(config)# ip nat inside source static 192.168.1.2 12.1.1.121、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置NAT地址池===NAT的地址池配置的是公网地址 12网段R1(config)#ip nat pool yyds 12.1.1.100 12.1.1.100 netmask 255.255.255.04、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出的内网地址关联到地址池中去R1(config)#ip nat inside source list 1 pool yyds第一种配置方法和动态相同:R1(config)#ip nat inside source list 1 pool yyds overload如果配置命令报错，请输入：clear ip nat translation第二种配置方法：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出来的地址转换到外部接口地址R1(config)#ip nat inside source list 1 interface e0/1 overload1、配置所有设备的IP地址ASA(config)# int e0ASA(config-if)# ip add 192.168.1.100 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif LANASA(config-if)# security-level 100ASA(config-if)# int e1ASA(config-if)# ip add 12.1.1.1 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif WAN2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、将ICMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、无需定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用1）host XXXXXXXXX:某一个具体的主机地址2）range xxxxxxxx:某一段地址（192.168.1.1-192.168.1.10）3）subnet xxxxxxx:某一网段的地址（192.168.1.0/24）ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联ASA(config)# nat (LAN,WAN) source static LAN WAN1、配置所有设备的IP地址2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、CMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联asa(config)# nat (LAN,WAN) source dynamic LAN WAN。

cisco路由器nat配置本文档涉及附件：1、NAT配置范例（附件1）2、Cisco路由器配置指南（附件2）本文所涉及的法律名词及注释：1、NAT：网络地质转换，是一种将私有IP地质转换为公有IP 地质的技术。

它允许私有网络中的多个设备共享一个公有IP地质，并通过在数据包中修改IP地质和端口号来实现通信。

2、Cisco路由器：Cisco公司生产的网络设备，用于在计算机网络中转发数据包。

3、IP地质：Internet Protocol Address的缩写，是互联网上每一个设备的唯一标识。

4、公有IP地质：用于公共互联网上的网络设备的IP地质，由互联网服务提供商分配。

5、私有IP地质：用于局域网内部设备的IP地质，根据RFC 1918标准规定为以下三个范围.10：0：0：0 - 10.255.255.255，172.16：0：0 - 172.31.255.255，192.168：0：0 -192.168.255.255：6、端口号：在计算机网络中，用于标识不同应用程序或服务的数字。

端口号范围从0到65535：7、ACL：访问控制列表（Access Control List）是一种网络安全机制，用于限制或允许网络流量通过网络设备。

它基于规则集对数据包进行过滤和重定向。

8、PAT：端口地质转换（Port Address Translation）是一种NAT技术，用于将多个私有IP地质映射到一个公有IP地质。

它通过修改数据包中的IP地质和端口号来实现。

9、NAT池：一组可用于NAT转换的公有IP地质。

10、NAT超时：NAT超时是指在NAT转换表中保留NAT会话的时间。

一旦超时时间到达，相应的NAT转换将被删除。

11、Source NAT：源地质转换（Source Network Address Translation）操作将源IP地质和端口号更改为公有IP地质和端口号。

12、Destination NAT：目的地质转换（Destination Network Address Translation）操作将目的IP地质和端口号更改为私有IP 地质和端口号。

动态、静态NAT体会：1.静态路由：（1）将各个接口的IP地址配置好（并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样）。

Router(config)#interface serial 2/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shutdown（2）配置静态路由。

要连通几个与该路由器不直接相连的网段就必须设置几条路由。

Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1目标网段目标网络子网掩码下一跳IP地址（3）查看路由表：Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, FastEthernet1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0S 192.168.3.0/24 [1/0] via 192.168.5.2S 192.168.4.0/24 [1/0] via 192.168.5.2C 192.168.5.0/24 is directly connected, Serial2/0（3）各个网段的终端要想相互ping得通，这些终端就得设置网关。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

运维之思科篇——NAT基础配置⼀、 NAT（⽹络地址转换）1、作⽤：通过将内部⽹络的私有IP地址翻译成全球唯⼀的公⽹IP地址，使内部⽹络可以连接到互联⽹等外部⽹络上。

2、优点：节省公有合法IP地址处理地址重叠增强灵活性安全性3、NAT的缺点延迟增⼤配置和维护的复杂性不⽀持某些应⽤，可以通过静态NAT映射来避免4、NAT实现⽅式1）静态转换IP地址的对应关系是⼀对⼀，⽽且是不变的，借助静态转换，能实现外部⽹络对内部⽹络中某些特设定服务器的访问。

静态NAT配置：配置接⼝IP及路由全局：Ip nat inside source static 192.168.1.1 61.159.62.131在内外接⼝上启⽤NAT：进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside端⼝映射：ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 802）动态转换IP地址的对应关系是不确定的，⽽是随机的，所有被授权访问互联⽹的私有地址可随机转换为任何指定的合法的外部IP地址。

（内部⽹络同时访问Internet的主机数少于配置的合法地址中的IP个数时适⽤）动态NAT的配置：1.全局：access-list 1 permit 192.168.1.0 0.0.0.2552.全局：ip nat pool nsd 210.13.114.113 210.13.114.118 netmask 255.255.255.248（定义地址池名称为nsd,地址池IP范围210.13.114.113 到210.13.114.118）3.全局：ip nat inside source list 1 pool nsd4.进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside动态转换NAT配置步骤：1.配置ACL，⽤于限定可以做地址转换的内⽹范围2.配置电信给予的地址池3.设置ACL和地址池的映射关系，匹配做地址转换的数据流4.指定内外部接⼝3）端⼝多路复⽤（PAT）通过改变外出数据包的源IP地址和源端⼝并进⾏端⼝转换，内部⽹络的所有主机均可共享⼀个合法IP地址实现互联⽹的访问，节约IP。

思科路由开启NAT的2种方法（命令行）在使用思科路由器设备的时候，有时需要开通nat功能，下面是店铺整理的一些关于思科路由开启NAT的2种方法（命令行），供你参考。

思科路由开启NAT的2种方法（命令行）的方法一router(config)#enrouter(config)#conf trouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255 建立访问控制列表准备做nat转换Router(config)#ip nat inside source list 1 interface F0/1 建立NAT转换，将192.168.1.0的地址转换为接口的地址Router(config)#int F0/1 #进入接口模式Router(config-if)#ip nat inside #设定F0/1为NAT内部接口Router(config-if)#int s1/1 #进入F0/1的接口模式Router(config-if)#ip nat outside #设定F0/1为NAT外部接口router(config)#ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendable思科路由开启NAT的2种方法（命令行）的方法二ip nat inside source list 1 interface F0/1 overload (将192.168.0.0的地址转换为接口F0/1的地址)access-list 1 permit 192.168.0.0 0.0.0.255 建立访问控制列表允许192.168.0.0的地址做nat转换)ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendableip nat inside source static tcp 映射地址映射端口外网地址对外映射端口 extendable命令show ip nat translations可以查看nat转换情况。

思科交换机NAT配置介绍及实例CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

NAT详解及CISCO路由器上的实现方法NAT（Network Address Translation）是一种网络协议，用于将私有IP地址转换为公共IP地址，以实现内部网络与外部网络的互联。

NAT的原理是通过在路由器或防火墙中进行IP地址转换，将内部网络的私有IP地址与公共IP地址进行映射。

这样，内部网络的用户可以通过公共IP地址访问互联网，而对外部网络来说，只能看到路由器的公共IP地址，无法直接访问内部网络的私有IP地址，从而提高了网络的安全性。

在CISCO路由器上，可以通过以下步骤实现NAT：1.确定内部网络和外部网络的接口：在CISCO路由器上，需要为内部和外部网络分配两个不同的接口。

内部网络通常是一个局域网，外部网络通常是连接到互联网的广域网接口。

2. 创建ACL（Access Control List）：创建一个ACL，用于定义需要进行NAT转换的内部网络地址范围。

3.创建NAT池：创建一个NAT池，用于分配公共IP地址给内部网络的私有IP地址。

4.创建NAT转换规则：设置NAT转换规则，将内部网络的私有IP地址映射到NAT池中的公共IP地址。

5.将ACL与NAT转换规则绑定：将ACL与NAT转换规则进行绑定，以确保只有满足ACL条件的数据包才会进行NAT转换。

6.应用配置：最后，将配置应用到路由器上，使其生效。

下面是一个详细的例子，展示如何在CISCO路由器上配置NAT：```interface GigabitEthernet0/0ip address 192.168.10.1 255.255.255.0ip nat insideinterface GigabitEthernet0/1ip address 203.0.113.1 255.255.255.0ip nat outsideaccess-list 1 permit 192.168.10.0 0.0.0.255ip nat pool NATPOOL 203.0.113.5 203.0.113.10 netmask255.255.255.0ip nat inside source list 1 pool NATPOOL overload```在上述配置中，GigabitEthernet0/0接口为内部网络接口，GigabitEthernet0/1接口为外部网络接口。

NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。

静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。

根据不同的需要，选择相应的NAT技术类型。

一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT，所以掌握最后配置就可以了。

静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP.外网使用公网IP.并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

最后，指定其默认路由。

Router>en （进入特权模式）Router#config （进入全局配置模式）Configuring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1 100.0.0.1（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

一、NAT简介：1.NAT（Network Address Translation）网络地址转换。

2.最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中。

3.NAT最主要的作用是为了缓解IPv4地址空间的不足。

4.同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换操作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器；5.改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。

6.但是利还是要大于弊的，不然也不会学习它了！最新的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。

二、NAT术语：比较难理解，所以这里用最明了的语言总结如下1.内部本地地址（inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。

（待转换的地址）2.内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。

3.外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。

4.外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。

三、NAT配置详解：1.静态NAT：将一个私有地址和一个公网地址一对一映射的配置方法，这种方式不能节省IP，通常只为需要向外网提供服务的内网服务器配置。

如图所示：PC1地址：192.168.0.2/24PC2地址：192.168.0.3/24R1 E0/0地址：192.168.0.1/24R1 S0/0地址：202.106.0.1/24R2 S0/0地址：202.106.0.2/24R2 E0/0地址：202.106.1.1/24PC3地址：202.106.1.2/24 (模拟公网服务器)各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要为192.1 68.0.0网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也不叫私有地址了）路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S 0/0，再向前就ping不通了。

网络地址转换NAT企业内网采用私有IP ，不能直接访问互连网。

原因：ISP的路由器没有私有IP地址的路由。

解决办法:→NAT1、当R把数据发向Internet时，将私有IP改写为公有IP,相当于数据是从R发出。

被ISP的R路由到目标。

2、当数据返回时，发给R。

R再依据NA T转换表，将目标改写为原来私有IP送回内网。

NAT的分类及应用：一．动态NAT1. 动态一对一：不节省IP地址，国内不常用no-pat只改写源IP2. 动态多对一：共享上网，常用（通过源端口区分不同用户1024-65535）pat这种方式被称做网络地址端口转换NAPT（network address port translation），同时改写源IP和源端口。

NAT的要点：私IP →公IP 路由NAT转换表区分 IP 区分（一对一）IP + 端口（多对一）NAT的基础配置：配置路由1. .默认路由（必须）R(config )# ip route 0.0.0.0 0.0.0.0 100.1.1.62. 静态路由或动态路由（可选）当内网有三层交换机，存在非直连网段时，需要配置静态路由或RIP\OSPF，来学习内网路由。

NAT配置（一）．设置NAT 接口。

R(config )# int f0/0# ip add 172.16.1.251 255.255.255.0# ip nat inside# no shutR(config )# int f0/1# ip add 100.1.1.1 255.255.255.248# ip nat outside# no shut（二）．配置动态转换，实现共享上网。

1 .定义内部源地址（私有IP）。

R(config )# acc 10 permit 172.16.1.0 0.0.0.255acc 10 permit 172.16.2.0 0.0.0.255acc 10 permit 172.16.3.0 0.0.0.255acc 10 permit 172.16.4.0 0.0.0.2552. 定义地址池(公有IP ).R(config )# ip nat pool rich 100.1.1.5 100.1.1.5 netmask 255.255.255.248名字3. 动态转换。

NAT配置NA T配置在讨论NAT配置之前,来看一看目前我们介入Internet所遇到的地址分配问题.由于Internet 用户数目迅速膨胀,因此,地址分配越来越紧张,绝大多数需要接入Internet的企业网络往往会遇到这种情况:只申请到十几个或几十个合法IP地址,但是他们的网络用户却有几百个.为了解决Internet IP地址紧张的问题,出现了几种解决办法,NAT(Network Address Translation)即地址转换是其中的一种解决办法,而且已经被广泛使用.所谓的NAT是首先在RFC 1631中定义的,根据某种策略改变IP数据包报头及应用数据流中的源地址或目的地址的一种技术.一.采用NAT的好处•可以实现私用地址(即为进行过登记的IP地址)和合法IP地址之间的转换,不需要大量的合法IP地址•可以实现地址复用,即多个地址转换为同一个地址•通过NAT技术可以屏蔽网络内部的IP地址,增加网络的安全性二.NAT 应用NAT 有以下几种主要的应用1.连接公用IP网络,如Internet,通过NAT可以将转发到公用网络的IP数据包的本地私用IP源地址转换为合法的IP源地址,并且可以通过地址复用节省大量合法IP地址同时屏蔽私用网络2.在进行网络改造时,为了避免改变原有的IP地址分配,采用NAT技术,减少工作量3.通过一个全局IP地址与多个本地地址的对应,采用NAT 技术,实现TCP负载均衡三.关于Cisco 路由器上NAT的几个术语NAT内部端口(Inside Interface)连接内部网络的路由器物理或逻辑的启用了IP协议栈端口NAT外部端口(Outside Interface)连接外部网络,通常为公用IP网络如Internet,路由器的物理或逻辑的启用了IP协议栈端口内部本地地址(Inside local address)内部网络分配给特定用户计算机的内部私用IP地址,该地址很可能为没有在ISP或Internet 管理部门的IP地址.内部全局地址(Inside global address)在Internet管理部门或ISP登记的合法IP地址,该地址代表一个或多个内部本地地址,对于外部连接到同一个IP公用网络的用户来说,他们只能访问到该合法IP地址,即内部全局地址.外部本地地址(Outside local address)在内部网络用户看来的进入到内部网络的外部网络用户的IP 地址.该地址不必为合法IP 地址 外部全局地址(Outside global address)在Internet 或ISP 公用网络上所看到的外部网络用户的IP 地址这里我们举例来说明这几个术语这里,路由器的e0端口连接内部网络,为内部端口;S0连接外部的Internet,为外部端口.PC1为内部网络的一台计算机,它的内部本地地址为1.1.1.10,没有在Internet 管理部门登记,PC1与内部网络其他计算机进行通信时,使用10.1.1.10.在Internet 上有一个计算机PC2,它的IP 地址为合法IP 地址,即已经在Internet 管理部门登记了的IP 地址,该地址在内部网络用户PC1看来为PC2的外部全局地址.如果不采用NAT 技术,PC1如何与外界通信呢?通信是建立不起来的,一般情况下,PC1可以将数据包发往外部网络,但是,外部网络无法将数据包发送回1.1.1.10,因为,PC1采用非法IP 地址,外部网络将数据包发送到了合法的拥有1.1.1.10的计算机上,(如果它开机的话).这里,采用NAT 技术,当PC1与外部网络进行数据通信时,路由器R1将用合法IP 地址192.1.1.10替换数据包中的源地址1.1.1.10,然后将数据包转发出去,而外部网络只能看到192.1.1.10为PC1的合法IP 地址.这里192.1.1.10为PC1的内部全局地址.我们再看一下PC2如何与PC1通信,如果不采用NAT 技术,他们根本无法通信,因为,一般情况下,由于PC1的内部本地地址与PC2的外部全局地址在同一网段,因此,PC1不会将数据包转发到路由器R1上,因此,在路由器R1上采用NAT 技术,将进入到内部网的数据包的PC2的外部全局地址转换为10.1.1.100,则10.1.1.100为PC2的外部本地地址,由PC1返回到PC2的数据经过路由器R1时,R1会将10.1.1.100转换回1.1.1.100,再转发出去.四.以上例子向我们提出了一个问题,即地址冲突问题,原则上,内部网络可以用IP 协议中规定的任何有效的IP 地址,但是采用与合法IP 地址重复的IP 地址,将增加很多不必要的麻烦,因此,建议采用以下网段进行内部网络地址分配,这些网段已经在RFC 1981规定,在Internet 上无人使用的IP 网段A 类 10.0.0.0-10.255.255.255B 类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255 五.Cisco路由器NAT所支持的应用类型:六.支持NAT的IOS及Cisco产品情况七.NAT 的主要配置方法:1 静态地址转换将指定好的内部或外部本地地址与内部或外部全局地址进行一对一的明确转换.该种方法主要用在内部网络有对外提供服务的服务器,如邮件服务器.但是该种办法不会节省合法IP地址空间,如果某个合法IP地址已经被NAT静态地址转换定义,即使该地址没有被使用,也不能被用作其他的地址转换2 动态地址转换将内部本地地址动态地转换为在一段地址池的某一个未被用过的内部全局地址,该地址为由未被使用的地址组成的地址池中在定义时排在最前面的一个,在数据传输完毕,路由器将把使用完的内部全局地址放回地址池中,以供其他内部本地地址进行转换,但在该地址在使用时,不能使用该地址进行再一次转换3 端口地址转换(PAT)所谓的端口地址转换,从功能上说通过它可以实现多个不同本地地址或具有相同本地地址但具有不同应用端口号的通信进程同时使用一个地址进行转换进行同时通信.Cisco 路由器可以实现大约同时4000个PAT转换4 基于路由图(ROUTE-MAP)的NAT配置八.NAT具体配置步骤1 在端口配置状态下,定义内部端口ip nat inside2 在端口配置状态下,定义外部端口ip nat outside3 定义NAT策略哪些内部本地地址需要转换转换成哪些内部全局地址哪些外部全局地址需要转换转换成哪些外部本地地址所有NAT配置方法都有相同的步骤1和2,只有在定义NAT策略时不同.下面分别举例介绍几种NAT的配置方法:1 静态NAT地址转换配置如下图,其中在R3上有2个loopback端口,地址分别为loopback0:10.1.2.1/32,loopback1:10.1.2.2/32R2作为外部网络的路由器,R1的E0连接内部网络,要求将地址10.1.1.10静态转换为192.1.1.10,10.1.1.212静态转换为192.1.1.212,10.1.2.1静态转换为192.1.3.1,10.1.2.2静态转换为1.1静态地址转换策略定义步骤在全局配置状态下ip nat inside source static 内部本地地址内部全局地址ip nat 关键字inside 关键字,表示对内部地址进行转换source 关键字,表示对源地址进行转换static 关键字,表示进行静态转换1.2 R1具体配置version 11.3!hostname R1ip nat inside source static 10.1.2.2 192.1.3.2!定义将10.1.2.2静态转换为192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1!定义将10.1.2.1静态转换为192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100!定义将10.1.1.10静态转换为192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!定义将10.1.1.212静态转换为192.1.1.212interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!定义该端口为内部端口interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outside!定义该端口为外部端口clockrate 2000000!ip classlessip route 10.1.2.0 255.255.255.0 10.1.1.10!定义指向10.1.2.0网段的静态路由ip route 192.1.0.0 255.255.0.0 192.1.1.2!定义指向192.1.0.0网段的静态路由,该路由为聚合路由R3的具体配置version 11.3!hostname R3!interface Loopback0ip address 10.1.2.1 255.255.255.255!定义该端口,主要是模拟一台IP地址为10.1.2.1的计算机interface Loopback1ip address 10.1.2.2 255.255.255.255!interface Ethernet0ip address 10.1.1.10 255.255.255.0ip classlessip route 0.0.0.0 0.0.0.0 10.1.1.1!定义缺省路由,将所有去到其他网段的数据包均转发给10.1.1.1R2的具体配置version 11.3hostname R2!interface Loopback0ip address 192.1.2.1 255.255.255.0!interface Serial0ip address 192.1.1.2 255.255.255.0ip classlessip route 192.1.3.0 255.255.255.0 192.1.1.1!定义指向192.1.3.0网段的静态路由,指向192.1.1.1即R1,在定义NAT时,需要有指向NAT转换后!的地址的路由1.3检查手段:1 我们首先可以采用show命令进行检查是否NAT定义正确采用show ip nat translations verbose可以看到当前正在进行的NAT的具体情况R1#show ip nat translations verbosePro Inside global Inside local Outside local Outside global (内部全局地址) (内部本地地址) (外部本地地址) (外部全局地址) --- 192.1.1.100 10.1.1.10 --- ---(表示没有转换)create 00:42:43, use 00:01:53, flags: static表示建立了多长时间,已经累计用了多长时间,flag后为转换类型,此处表示为静态转换--- 192.1.1.212 10.1.1.212 --- --- create 00:42:43, use 00:42:43, flags: static--- 192.1.3.1 10.1.2.1 --- --- create 00:31:47, use 00:31:47, flags: static--- 192.1.3.2 10.1.2.2 --- --- create 00:31:29, use 00:31:29, flags: static采用show ip nat statistics可以检查NAT运行情况R1#show ip nat statisticsTotal active translations: 4 (4 static, 0 dynamic; 0 extended)!表示共有4个激活的地址转换,4个静态转换,0个动态转换,0个扩展的转换Outside interfaces:Serial0!表示外部端口为Serial0Inside interfaces:Ethernet0!表示内部端口为Ethernet0Hits: 264 Misses: 0!表示共有264次转换成功,0次失败Expired translations: 0Dynamic mappings:2 我们也可以采用debug命令实时监控NAT工作情况R1#debug ip nat detailedIP NAT detailed debugging is on我们在R3上采用扩展的PING,从10.1.2.1 PING 192.1.1.1R3#pingProtocol [ip]:Target IP address: 192.1.1.1Repeat count [5]: 100000Datagram size [100]: 1000Timeout in seconds [2]:Extended commands [n]: ySource address or interface: 10.1.2.1R1#debug ip nat detailed04:32:47: NAT: i: icmp (10.1.2.1, 14883) -> (192.1.1.1, 14883) [13036]!R1在Ethernet 0端口接收从10.1.1.10转发过来的IP数据包,源地址为10.1.2.1,目的地址!为192.1.1.1,数据包为ICMP类型,PING由ICMP ECHO 及ECHO-REPLY 类型实现04:32:47: NAT: o: icmp (192.1.1.1, 14883) -> (192.1.3.1, 14883) [13036]!R1将10.1.2.1静态转换为192.1.3.1,因此,192.1.1.1发送的ECHO-REPLY数据包的目的地址!为192.1.3.11.4 这里,我们在R1,R2,R3上采用静态路由,也可以采用动态路由,但是需要注意一个问题:因为采用了NAT地址转换,内部本地地址对外部网络来说是不可见的,在绝大多数情况下,内部本地地址为非法地址,因此,内部本地地址不能广播到外部网络中,因此需要采用路由过滤.如上面的配置改成动态路由,不只是静态NAT,所有NAT转换都会碰到这个问题.采用NAT的路由器的路由广播基于以下原则,对于需要转换的内部本地地址,禁止广播出去,对于不需要转换的地址且这些地址需要与外部网络进行通信,外部网络需要知道到达这些地址的路由,即如果用动态路由,需要将这些地址网段广播出去.R1的配置如下version 11.3hostname R1!ip nat inside source static 10.1.2.2 192.1.3.2ip nat inside source static 10.1.2.1 192.1.3.1ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute static!将ip route 192.1.3.0 255.255.255.0 Null0定义的静态路由重定向到RIP中并由RIP广播出去,!由于RIP只把从其他路由器学到的路由及正常工作的物理及逻辑端口的IP网段广播出去,RIP不会!把没有端口的192.1.3.0这个网段加到路由表中广播出去,因此,采用重定向技术,将静态路由加!入到RIP路由表中network 10.0.0.0network 192.1.1.0distribute-list 1 out!引用包过滤规则1,对于目的地址网段符合包过滤规则1的路由,将禁止广播出去distribute-list 1 in! 引用包过滤规则1,对于接收道德目的地址网段符合包过滤规则1的路由,将删掉ip classlessip route 192.1.3.0 255.255.255.0 Null0!该静态路由将下一跳地址指向Null0端口,表示对于发往192.1.3.0网段的数据包,本路由器将丢掉!其实,该路由并无实际路由作用,它只是指明有192.1.3.0这个网段,以供RIP广播出去.该路由器!接收到去192.1.3.0网段的数据包,首先要进行NAT转换,然后才进行路由查找.access-list 1 deny 10.0.0.0access-list 1 permit any!定义包过滤表1,表示10.0.0.0网段将丢掉,其他网段允许通过,该过滤表供RIP过滤使用1.5 静态地址转换适用环境●当与IP公用网进行连接时,有需要对外部网络提供服务的计算机,而且该计算机放在内部网络中,必须采用静态地址转换●需要针对于IP地址进行记费2 动态地址转换具体配置具体配置步骤地址转换策略配置步骤2.1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2.2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字2.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址组成的地址池相关连,表示按照定义的先后顺序将内部本地地址依次与内部本地地址进行一一映射,进行地址转换ip nat inside source list 由2.1.1步骤定义的包过滤序号pool 由2.1.2定义的地址池名字字符串ip nat inside source list 关键字pool 关键字我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24采用动态一对一地址转换方法转换到192.1.3.1/24,这样做,主要为了观察该种NAT转换的特点具体配置实例R1的具体配置version 11.3!hostname R1!ip nat pool test 192.1.3.1 192.1.3.1 netmask 255.255.255.0!定义内部全局地址池从192.1.3.1到192.1.3.1,子网掩码为24位,地址池的名字位testip nat inside source list 2 pool test!将由包过滤2定义的内部本地地址池依次与test地址池中的地址进行一一映射,进行转换ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1 0.0.0.0access-list 2 permit host 10.1.2.2!定义包过滤规则2,允许10.1.2.1/24,10.1.2.2地址,其他均拒绝,该过滤规则提供给NAT转换用! access-list 2 permit 10.1.2.1 0.0.0.0完全等效与access-list 2 permit host 10.1.2.1检查手段:首先,采用sho ip nat translations verbose命令R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ---create 00:34:54, use 00:34:54, flags: static--- 192.1.1.212 10.1.1.212 --- ---create 00:34:54, use 00:34:54, flags: static我们发现没有动态的地址转换的列表,因为,该命令只显示当前正在正在转换的地址列表,静态转换定义好后转换就会始终起作用,但是动态转换只有有数据包穿过NAT内外端口且需要转换时才进行转换.我们在R3上同时采用扩展的ping,从10.1.2.1 ping 192.1.1.2,从10.1.2.2 ping 192.1.1.2我们会发现,如果10.1.2.1转换为192.1.3.1,10.1.2.2就无法进行转换,只有在10.1.2.1数据传输完毕一段时间后,R1才释放192.1.3.1,10.1.2.2才能转换到192.1.3.1,反之亦然.因此,这种转换方法内部本地地址与内部全局地址之间是一一映射的,内部本地地址以定义的先后顺序与内部全局地址进行转换,如果所有内部全局地址正在使用,需要进行转换的内部本地地址只有等待有内部全局地址释放出来.路由器如何确定在内部本地地址传输完数据后到释放内部全局地址的时间间隔呢?我们可以通过设置参数进行控制.在全局配置状态下,定义在内部本地地址传输完数据后到释放内部全局地址的时间间隔.R1(config)#ip nat translation timeout 时间间隔参数(单位秒)ip nat translation timeout 关键字,其后可以跟两种参数ip nat translation timeout ?<0-2147483647> Timeout in secondsnever Never timeout如果,采用never参数,则如果一对内部本地地址与内部全局地址转换成功,则该转换永远有效,除非路由器关掉电源或强行删除该地址转换.这个参数很少使用,也不建议使用.现在,我们看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ------ 192.1.3.1 10.1.2.1 --- ---我们也可以强行删除正在工作的动态生成的地址转换列表在超级权限状态下,删除所有正在工作的动态生成的地址转换列表R1#clear ip nat translation *clear ip nat translation 关键字* 表示所有动态生成的地址转换列表我们再来看一下正在工作的地址转换列表R1#sho ip nat translationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---静态地址转换列表无法用clear命令删除,只能通过删除静态地址转换配置删除.我们也可以将关于地址转换的统计数字清零,以便进行重新计数在超级权限状态下, 将关于地址转换的统计数字清零,以便进行重新计数R1#clear ip nat statistics适用环境内部全局地址多于或等于内部本地地址内部全局地址少于内部本地地址,但是,同时访问外部网络的内部本地地址数目在绝大多数情况下少于内部全局地址2.2 PAT地址转换配置PAT(端口地址转换)是一种扩展的地址转换,路由器将通过纪录地址,应用端口等唯一标识一个转换,通过这种转换可以使多个内部本地地址同时与同一个内部全局地址进行转换同时对外部网网络进行访问.PAT有两种配置方法方法一PAT地址转换策略配置1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,定义内部全局地址所组成的地址池ip nat pool 地址池名字字符串起始IP地址终止IP地址netmask 子网掩码ip nat pool 关键字netmask 关键字其中起始IP地址与终止IP地址应为同一个IP地址,终止IP地址也可以大于起始IP地址,但是路由器只使用第一个IP地址进行PAT转换.3 在全局配置状态下,将包过滤定义的内部本地地址与由内部全局地址相关连,进行PAT地址转换ip nat inside source list 由步骤1定义的包过滤序号pool 由步骤2定义的地址池名字字符串overloadip nat inside source list 关键字pool 关键字overload 关键字,表示PAT地址转换.这种PAT地址转换与动态一对一地址转换配置步骤唯一的区别就是这个参数.我们仍然采用静态地址例子的拓扑结构,并且要求将内部本地地址10.1.2.1/24,10.1.2.2/24,10.1.2.3/24采用动态一对多地址转换方法转换到192.1.3.1/24.在R3上添加一个loopback端口,地址为10.1.2.3/32这样做,主要为了观察该种NAT转换的特点具体配置实例version 11.3hostname R1!ip nat translation timeout 10ip nat pool test 192.1.3.1 192.1.3.2 netmask 255.255.255.0!这里起始IP地址与终止IP地址并不是一个,好像可以用两个内部全局地址进行转换,其实路由器只!使用192.1.3.1进行转换,并不使用192.1.3.2,因此,建议两个地址为同一个地址ip nat inside source list 2 pool test overload!将由list 2定义的内部本地地址范围与由test定义的内部全局地址进PAT转换ip nat inside source static 10.1.1.10 192.1.1.100ip nat inside source static 10.1.1.212 192.1.1.212!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat traslationsPro Inside global Inside local Outside local Outside global--- 192.1.1.100 10.1.1.10 --- ------ 192.1.1.212 10.1.1.212 --- ---icmp 192.1.3.1:6631 10.1.2.2:6631 192.1.1.2:6631 192.1.1.2:6631icmp 192.1.3.1:5973 10.1.2.1:5876 192.1.1.2:5876 192.1.1.2:5973icmp 192.1.3.1:8537 10.1.2.3:8537 192.1.1.2:8537 192.1.1.2:8537icmp 192.1.3.1:6630 10.1.2.2:6630 192.1.1.2:6630 192.1.1.2:6630icmp 192.1.3.1:5972 10.1.2.1:5875 192.1.1.2:5875 192.1.1.2:5972这里我们可以看到我们虽然定义了192.1.3.1,192.1.3.2两个内部全局地址,但是路由器只使用192.1.3.1一个地址进行转换. icmp 192.1.3.1:6631,冒号后应用端口号适用环境:NAT内外部端口,均有独立的IP地址,并且有专门的IP地址用来进行PAT转换.NAT内外部端口,均有独立的IP地址,没有专门的IP地址用来进行PAT转换.所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.方法二:1 在全局配置状态下,定义标准包过滤,包过滤表中包含有允许进行地址转换的内部本地地址access-list 包过滤序号[permit|deny] 内部本地地址集合2 在全局配置状态下,将包过滤定义的内部本地地址与由NAT外部端口相关连,,进行地址转换ip nat inside source list 由步骤1定义的内部本地地址集合interface 端口号overload具体配置实例version 11.3!hostname R1!ip nat inside source list 2 interface Serial0 overload!表示将包过滤规则2定义的内部本地地址集合,转换为Serial0的IP地址,允许多个内部本地地址!同时转换为Serial 0的地址ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!router ripredistribute staticnetwork 10.0.0.0network 192.1.1.0distribute-list 1 out Serial0distribute-list 1 in Serial0!ip classlessip route 192.1.3.0 255.255.255.0 Null0!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 2 permit 10.1.2.1access-list 2 permit 10.1.2.3access-list 2 permit 10.1.2.2检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.1:12245 10.1.2.1:12245 192.1.1.2:12245 192.1.1.2:12245 create 00:00:00, use 00:00:00, left 00:00:59, flags: extendedicmp 192.1.1.1:7850 10.1.2.2:7850 192.1.1.2:7850 192.1.1.2:7850 create 00:00:00, use 00:00:00, left 00:00:59, flags: extended这里,我们可以看到PAT转换的详细资料.Flag:extended,表示扩展的NAT转换,所谓的扩展NAT,是指路由器在转换过程中,不但纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址,而且纪录它们相应的应用段口号,以便唯一识别每一个转换.再看下一个例子,如果内部网络有多个出口去到外部网络,我们需要到达某些外部网络的内部本地地址转换为一个端口地址,而到达另外一些外部网络转换为另一个端口地址,我们可以通过配置多个PAT 来解决本例要求,10.1.2.1,10.1.2.2到达192.1.2.0/24网段的数据包,转换为192.1.1.1,通过Serial 0转发出去,而它们到达192.1.3.0/24网段的数据包,转换为192.1.10.1,通过Serial 1转发出去.具体配置实例 version 11.3 !hostname R1 !ip nat translation timeout 240!将NAT 转换保存时间变为240秒,主要为了能够有足够的时间抓取转换列表的内容 ip nat inside source list 102 interface Serial0 overload!符合包过滤102的内部本地地址采用PAT 地址转换为Serial0的IP 地址, 这里采用扩展的包过滤, !只有源地址,目的地址甚至段口号全部符合的内部本地地址才进行转换,而且进行完全扩展转换, !即纪录内部本地地址,内部全局地址,外部本地地址,外部全局地址和相应的端口号 ip nat inside source list 103 interface Serial1 overload!符合包过滤103的内部本地地址采用PAT 地址转换为Serial1的IP 地址 ip nat inside source static 10.1.1.212 192.1.1.212 ip nat inside source static 10.1.1.10 192.1.1.100 !interface Ethernet0ip address 10.1.1.1 255.255.255.0 ip nat inside !interface Serial0ip address 192.1.1.1 255.255.255.0 ip nat outside clockrate 2000000 !interface Serial1ip address 192.1.10.1 255.255.255.0R4 loopback0 192.1.3.1/24R2ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255!定义扩展的包过滤规则102以供PAT转换使用,允许从10.1.2.1及10.1.2.2到192.1.2.0的数据包,其!他拒绝access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255!这里必须如果采用标准的包过滤,路由器在转换之前按照扩展包过滤的所有定义的选项,如源地址即内部本地地址,目的地址,即外部本地地址,应用端口号依次搜索转换列表中是否有符合的转换.比!如,如果采用标准的包过滤,从10.1.2.1到192.1.3.1及10.1.2.1到192.1.2.1的数据流无法区分出来!,如果已经有了对于10.1.2.1的转换,由于转换纪录只保存内部本地地址与内部全局地址的映射如!下,这时从10.1.2.1到外部网络不同地点又有数据流,则路由器只检查内部本地地址是否在转换列!表中存在,如果存在依然采用该转换Pro Inside global Inside local Outside local Outside global--- 192.1.3.1 10.1.2.1 --- ---!这里需要说明一点,在动态地址转换中即使采用扩展的包过滤,路由器也只检查源地址即内部本!地地址部分检查手段R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.10.1:4724 10.1.2.2:4724 192.1.3.1:4724 192.1.3.1:4724 create 00:00:05, use 00:00:05, left 00:00:54, flags: extendedicmp 192.1.10.1:1250 10.1.2.1:1250 192.1.3.1:1250 192.1.3.1:1250 create 00:00:36, use 00:00:36, left 00:00:23, flags: extendedicmp 192.1.1.1:2603 10.1.2.2:2603 192.1.2.1:2603 192.1.2.1:2603 create 00:00:21, use 00:00:21, left 00:00:38, flags: extendedicmp 192.1.1.1:1245 10.1.2.1:1245 192.1.2.1:1245 192.1.2.1:1245 create 00:00:53, use 00:00:53, left 00:00:06, flags: extended适用环境NAT内外部端口具有独立的IP地址,无额外的内部全局地址供转换所有内部用户需要同时访问外部网络,并且内部本地地址远远多于内部全局地址.4 基于路由图(ROUTE-MAP)的NAT配置我们知道动态的地址转换的缺陷在于他只能使用标准的包过滤检查源地址即内部本地地址以下场合,动态地址转换并不适合使用●内部网络有多个NAT外部端口,而且同一个内部本地地址从不同的NAT外部端口出去,需要转换为不同的内部全局地址●同一个内部本地地址针对于不同的应用, 需要转换为不同的内部全局地址通过采用基于路由图(ROUTE-MAP)的NAT配置可以解决这个问题,因为这种地址转换方法采用的是完全扩展的地址转换.基于路由图(ROUTE-MAP)的NAT的策略配置●定义扩展包过滤规则,确定符合条件的内部本地地址集合●定义路由图,引用扩展包过滤规则, 确定符合条件的内部本地地址集合在全局配置状态下,route-map 路由图名字字符串[permit|deny] 序列号route-map 关键字match ip address 扩展的包过滤规则match ip address 关键字,检查数据包是否符合扩展的包过滤规则●符合路由图的内部本地地址采用PAT转换或地址池转换采用PAT转换,这种方法与以上介绍的PAT转换效果完全一致.在全局配置状态下ip nat inside source route-map 路由图名字字符串interface 端口号overloadip nat inside source route-map 关键字interface 关键字overload 关键字地址池转换ip nat inside source route-map 路由图名字字符串pool 地址池名字ip nat inside source route-map 关键字pool 关键字配置实例1如图,要求10.1.2.1,10.1.2.2,10.1.2.3到达192.1.2.0/24网段,转换为192.1.1.100至192.1.1.101,它们到达192.1.3.0/24网段时,转换为192.1.10.100至192.1.10.101具体配置实例!version 11.3!hostname R1!ip nat translation timeout 10ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0!将路由图test0定义的内部本地地址与地址池t0关联,进行一对一地址转换,如果所有的内部!全局地址用完,则需要转换的内部本地地址只有等待由地址池t0定义的内部全局地址释放!该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.2.0/24网段的数据包转换为192.1.1.100或!192.1.1.101ip nat inside source route-map test1 pool t1! 该条语句表示从10.1.2.1,10.1.2.2,10.1.2.3到192.1.3.0/24网段的数据包转换为192.1.10.100!或192.1.10.101ip nat inside source static 10.1.1.212 192.1.1.212ip nat inside source static 10.1.1.10 192.1.1.100!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit ip host 10.1.2.1 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.2 192.1.2.0 0.0.0.255access-list 102 permit ip host 10.1.2.3 192.1.2.0 0.0.0.255access-list 103 permit ip host 10.1.2.1 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.2 192.1.3.0 0.0.0.255access-list 103 permit ip host 10.1.2.3 192.1.3.0 0.0.0.255route-map test0 permit 10match ip address 102!路由图test0引用扩展包过滤规则102对进行地址转换检查route-map test1 permit 10match ip address 103配置实例2要求如果从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,内部本地地址转换为192.1.1.100-192.1.1.101; 如果从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 内部本地地址转换为192.1.10.100-192.1.10.101具体配置version 11.3hostname R1ip nat pool t0 192.1.1.100 192.1.1.101 netmask 255.255.255.0ip nat pool t1 192.1.10.100 192.1.10.101 netmask 255.255.255.0ip nat inside source route-map test0 pool t0ip nat inside source route-map test1 pool t1!interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial0ip address 192.1.1.1 255.255.255.0ip nat outsideclockrate 2000000!interface Serial1ip address 192.1.10.1 255.255.255.0ip nat outsideclockrate 2000000!router ripnetwork 10.0.0.0network 192.1.1.0network 192.1.10.0distribute-list 1 outdistribute-list 1 in!ip classless!access-list 1 deny 10.0.0.0access-list 1 permit anyaccess-list 102 permit icmp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255!扩展包过滤102表示对于从10.1.1.0/24网段到192.1.3.0/24网段的数据包为ICMP类型,允许!检查通过access-list 103 permit tcp 10.1.1.0 0.0.0.255 192.1.3.0 0.0.0.255 eq telnet! 扩展包过滤103表示从10.1.1.0/24,到192.1.3.0/24网段的数据包为telnet类型, 允许!检查通过route-map test0 permit 10match ip address 102!route-map test1 permit 10match ip address 103检查手段我们可以通过sho ip nat translations verbose检查NAT转换情况R1#sho ip nat translations verbosePro Inside global Inside local Outside local Outside globalicmp 192.1.1.100:5764 10.1.1.10:5764 192.1.3.1:5764 192.1.3.1:5764 create 00:00:35, use 00:00:35, left 00:00:24, flags: extended!我们在从10.1.1.10 ping 192.1.3.1 ,路由器将10.1.1.10转换为192.1.1.100,ping 是通过!ICMP 的ECHO 及ECHO-REPLY实现的tcp 192.1.10.100:58371 10.1.1.10:58371 192.1.3.1:23 192.1.3.1:23。