思科路由器NAT配置详解

思科交换机NAT配置介绍及实例CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

Cisco系列路由器NAT配置详解-电脑资料INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器(proxyserver)即可，但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题，。

下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：一、直接通过路由器访问INTERNET资源的配置1.总体思路和设备连接方法一般情况下，单位内部的局域网都使用INTERNET上的保留地址：10.0.0.0/8：10.0.0.0～10.255.255.255172.16.0.0/12：172.16.0.0～172.31.255.255192.168.0.0/16：192.168.0.0～192.168.255.255在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。

解决这一问题的办法是利用路由操作系统提供的NAT （Network AddressTranslation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。

这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。

NAT有两种类型：Single模式和global模式。

使用NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址，电脑资料《Cisco系列路由器NAT配置详解》(https://www.)。

局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。

本地局域网内的主机继续使用本地地址。

使用NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。

思科路由器如何配置NAT功能很多网络技术上的新手，还不知道如何配置思科路由器的NAT功能。

不过没关系，看完小编这个文章应该对你帮助会很大。

那么接下来就让小编来教你如何配置思科路由器NAT功能吧。

首先，小编必须要介绍下什么是NAT。

NAT，英文全称为Network Address Translation，是指网络IP 地址转换。

NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。

这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。

如我们局域网中的192.168.1.1地址段属私网地址，就是通过NAT转换过来的。

NAT分为静态地址转换、动态地址转换、复用动态地址转换。

下面是小编将列出思科路由器NAT配置实例，希望对您有所帮助。

Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码，那么你应该就会了解到如何配置思科路由器NAT功能了。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

静态NAT配置步骤：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、静态NAT1）定义内外部接口R1(config)#int e0/0R1(config-if)#ip nat insideR1(config-if)#int e0/1R1(config-if)#ip nat outside2）手动配置NAT的转换表项R1(config)# ip nat inside source static 192.168.1.1 12.1.1.11R1(config)# ip nat inside source static 192.168.1.2 12.1.1.121、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置NAT地址池===NAT的地址池配置的是公网地址 12网段R1(config)#ip nat pool yyds 12.1.1.100 12.1.1.100 netmask 255.255.255.04、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出的内网地址关联到地址池中去R1(config)#ip nat inside source list 1 pool yyds第一种配置方法和动态相同:R1(config)#ip nat inside source list 1 pool yyds overload如果配置命令报错，请输入：clear ip nat translation第二种配置方法：1、配置IP地址2、在R1上配置默认路由，保证R1可以ping通pc6R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.23、配置访问控制列表匹配出局域网当中的地址R1(config)#access-list 1 permit 192.168.1.0 0.0.0.2555、定义内外部接口R1(config)#int e0/1R1(config-if)#ip nat outsideR1(config-if)#int e0/0R1(config-if)#ip nat inside6、将列表匹配出来的地址转换到外部接口地址R1(config)#ip nat inside source list 1 interface e0/1 overload1、配置所有设备的IP地址ASA(config)# int e0ASA(config-if)# ip add 192.168.1.100 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif LANASA(config-if)# security-level 100ASA(config-if)# int e1ASA(config-if)# ip add 12.1.1.1 255.255.255.0ASA(config-if)# no shuASA(config-if)# nameif WAN2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、将ICMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、无需定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用1）host XXXXXXXXX:某一个具体的主机地址2）range xxxxxxxx:某一段地址（192.168.1.1-192.168.1.10）3）subnet xxxxxxx:某一网段的地址（192.168.1.0/24）ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联ASA(config)# nat (LAN,WAN) source static LAN WAN1、配置所有设备的IP地址2、在ASA上配置默认路由保证ASA和pc6可以通信ASA(config)# route WAN 0 0 12.1.1.23、CMP协议放入到状态化检测当中ASA(config)# sh run policy-mapASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp4、定义内外部接口，需要配置一个叫做项目组的配置通过项目组匹配出内网地址设置出外网地址然后直接调用ASA(config)# object network LAN //创建项目组名字为LANASA(config-network-object)# range 192.168.1.1 192.168.1.2//匹配了一段地址：192.168.1.1-192.168.1.2ASA(config)# object network WANASA(config-network-object)# range 12.1.1.11 12.1.1.125、将两个项目组进行关联asa(config)# nat (LAN,WAN) source dynamic LAN WAN。

cisco路由器nat配置本文档涉及附件：1、NAT配置范例（附件1）2、Cisco路由器配置指南（附件2）本文所涉及的法律名词及注释：1、NAT：网络地质转换，是一种将私有IP地质转换为公有IP 地质的技术。

它允许私有网络中的多个设备共享一个公有IP地质，并通过在数据包中修改IP地质和端口号来实现通信。

2、Cisco路由器：Cisco公司生产的网络设备，用于在计算机网络中转发数据包。

3、IP地质：Internet Protocol Address的缩写，是互联网上每一个设备的唯一标识。

4、公有IP地质：用于公共互联网上的网络设备的IP地质，由互联网服务提供商分配。

5、私有IP地质：用于局域网内部设备的IP地质，根据RFC 1918标准规定为以下三个范围.10：0：0：0 - 10.255.255.255，172.16：0：0 - 172.31.255.255，192.168：0：0 -192.168.255.255：6、端口号：在计算机网络中，用于标识不同应用程序或服务的数字。

端口号范围从0到65535：7、ACL：访问控制列表（Access Control List）是一种网络安全机制，用于限制或允许网络流量通过网络设备。

它基于规则集对数据包进行过滤和重定向。

8、PAT：端口地质转换（Port Address Translation）是一种NAT技术，用于将多个私有IP地质映射到一个公有IP地质。

它通过修改数据包中的IP地质和端口号来实现。

9、NAT池：一组可用于NAT转换的公有IP地质。

10、NAT超时：NAT超时是指在NAT转换表中保留NAT会话的时间。

一旦超时时间到达，相应的NAT转换将被删除。

11、Source NAT：源地质转换（Source Network Address Translation）操作将源IP地质和端口号更改为公有IP地质和端口号。

12、Destination NAT：目的地质转换（Destination Network Address Translation）操作将目的IP地质和端口号更改为私有IP 地质和端口号。

动态、静态NAT体会：1.静态路由：（1）将各个接口的IP地址配置好（并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样）。

Router(config)#interface serial 2/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shutdown（2）配置静态路由。

要连通几个与该路由器不直接相连的网段就必须设置几条路由。

Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1目标网段目标网络子网掩码下一跳IP地址（3）查看路由表：Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, FastEthernet1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0S 192.168.3.0/24 [1/0] via 192.168.5.2S 192.168.4.0/24 [1/0] via 192.168.5.2C 192.168.5.0/24 is directly connected, Serial2/0（3）各个网段的终端要想相互ping得通，这些终端就得设置网关。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

运维之思科篇——NAT基础配置⼀、 NAT（⽹络地址转换）1、作⽤：通过将内部⽹络的私有IP地址翻译成全球唯⼀的公⽹IP地址，使内部⽹络可以连接到互联⽹等外部⽹络上。

2、优点：节省公有合法IP地址处理地址重叠增强灵活性安全性3、NAT的缺点延迟增⼤配置和维护的复杂性不⽀持某些应⽤，可以通过静态NAT映射来避免4、NAT实现⽅式1）静态转换IP地址的对应关系是⼀对⼀，⽽且是不变的，借助静态转换，能实现外部⽹络对内部⽹络中某些特设定服务器的访问。

静态NAT配置：配置接⼝IP及路由全局：Ip nat inside source static 192.168.1.1 61.159.62.131在内外接⼝上启⽤NAT：进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside端⼝映射：ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 802）动态转换IP地址的对应关系是不确定的，⽽是随机的，所有被授权访问互联⽹的私有地址可随机转换为任何指定的合法的外部IP地址。

（内部⽹络同时访问Internet的主机数少于配置的合法地址中的IP个数时适⽤）动态NAT的配置：1.全局：access-list 1 permit 192.168.1.0 0.0.0.2552.全局：ip nat pool nsd 210.13.114.113 210.13.114.118 netmask 255.255.255.248（定义地址池名称为nsd,地址池IP范围210.13.114.113 到210.13.114.118）3.全局：ip nat inside source list 1 pool nsd4.进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside动态转换NAT配置步骤：1.配置ACL，⽤于限定可以做地址转换的内⽹范围2.配置电信给予的地址池3.设置ACL和地址池的映射关系，匹配做地址转换的数据流4.指定内外部接⼝3）端⼝多路复⽤（PAT）通过改变外出数据包的源IP地址和源端⼝并进⾏端⼝转换，内部⽹络的所有主机均可共享⼀个合法IP地址实现互联⽹的访问，节约IP。

思科路由开启NAT的2种方法（命令行）在使用思科路由器设备的时候，有时需要开通nat功能，下面是店铺整理的一些关于思科路由开启NAT的2种方法（命令行），供你参考。

思科路由开启NAT的2种方法（命令行）的方法一router(config)#enrouter(config)#conf trouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255 建立访问控制列表准备做nat转换Router(config)#ip nat inside source list 1 interface F0/1 建立NAT转换，将192.168.1.0的地址转换为接口的地址Router(config)#int F0/1 #进入接口模式Router(config-if)#ip nat inside #设定F0/1为NAT内部接口Router(config-if)#int s1/1 #进入F0/1的接口模式Router(config-if)#ip nat outside #设定F0/1为NAT外部接口router(config)#ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendable思科路由开启NAT的2种方法（命令行）的方法二ip nat inside source list 1 interface F0/1 overload (将192.168.0.0的地址转换为接口F0/1的地址)access-list 1 permit 192.168.0.0 0.0.0.255 建立访问控制列表允许192.168.0.0的地址做nat转换)ip nat inside source static tcp 192.168.0.101 21 202.99.111.2 2121 extendableip nat inside source static tcp 映射地址映射端口外网地址对外映射端口 extendable命令show ip nat translations可以查看nat转换情况。