NAT配置实例

实验报告——实验⼀：NAT配置实验⼀：NAT配置实验⽬的1、掌握NAT相关概念、分类和⼯作原理2、学习配置NAT的命令和步骤3、查看NAT转换配置情况4、练习配置动态NAT和PAT实验要求1、NAT拓扑与地址规划；2、NAT基本配置和PAT配置3、验证NAT和PAT配置并给出配置清单实验拓扑实验设备（环境、软件）路由器2台，交叉线3条，serial DCE线⼀条。

Pc机2台，www服务器⼀台。

实验设计到的基本概念和理论NAT技术使得⼀个私有⽹络可以通过internet注册IP连接到外部世界，位于inside⽹络和outside ⽹络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。

内部⽹络的主机不可能同时于外部⽹络通信，所以只有⼀部分内部地址需要翻译。

NAT的主要⽤途是让⽹络能使⽤私有IP地址⼀节省IP地址。

NAT将不可路由的私有内部地址转换成可路由的NAT的翻译可以采取静态翻译（static translation）和动态翻译（dynamic translation）两种。

静态翻译将内部地址和外部地址⼀对⼀对应。

当NAT需要确认哪个地址需要翻译，翻译时采⽤哪个地址pool时，就使⽤了动态翻译。

采⽤portmultiplexing技术，或改变外出数据的源port技术可以将多个内部IP地址影射到同⼀个外部地址，这就是PAT（port address translator）。

当影射⼀个外部IP到内部地址时，可以利⽤TCP的load distribution技术。

使⽤这个特征时，内部主机基于round-robin机制，将外部进来的新连接定向到不同的主机上去。

注意：load distributiong 只有在影射外部地址到内部的时候才有效。

实验过程和主要步骤步骤⼀：主机与服务器的IP地址配置1、PC0上IP的配置192.168.3.12、PC1上IP的配置192.168.2.13、服务器IP的配置222.22.22.1步骤⼆：Router0的配置1、端⼝配置Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface f0/0Router(config-if)#ip address 192.168.3.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#exitRouter(config)#interface f1/0Router(config-if)#ip address 192.168.2.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upRouter(config-if)#exitRouter(config)#interface s2/0Router(config-if)#ip address 202.196.32.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to downRouter(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]Router#2、配置静态默认路由Router#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip route 0.0.0.0 0.0.0.0 s2/0Router(config)#endRouter#步骤三：Router1的配置1、端⼝配置Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface s2/0Router(config-if)#ip address 202.196.32.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to upRouter(config-if)#exitRouter(config)#interface f0%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up /0Router(config-if)#exitRouter(config)#interface f0/0Router(config-if)#ip address 222.22.22.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed stateto upRouter(config-if)#end%SYS-5-CONFIG_I: Configured from console by consoleRouter#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]步骤四：NAT配置把路由器Router0作为局域⽹的边界路由，在其上配置静态NAT转换，⽬的是形成如下对⽐，使得PC1可以通信，⽽PC0不能通信。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

首先,什么是单口nat,各位,不知道你们遇到过这种情况没有,就是有一条adsl线路,但是每台机器只有一块网卡,想实现所有机器共享上网,你们说怎么办呢?^_^,可以花5块钱再买块网卡,这当然简单了,但是我们做技术的就要想想其他方法,呵呵呵.挑战一下自己.单口nat说白了就是路由上就一个口,还必须要做nat以便访问外网,这和传统的两口nat,一个inside,一个outside的方式不一样了,一个口,一条链路,必须承载两个网络的信息,一个是内网,一个是公网.所以,要求这个口设两个地址,一个与内网交互,一个与isp交互.实际的拓扑是这样的:isp过来的线路直接接入交换机,而不是路由器,路由器也接入交换机的一个口,它的作用只是做nat,把包的原地址和回包的目的地址重新封装一下,如图所示(见原帖),内网主机如果要向外网主机发包,这些包到了路由的以太口后,经过一系列的转换,最终又从以太口出来,到了isp端.下面详细分析一个包的来去流程,这样大家就都明白了.内网一台主机(172.16.1.1)要向公网一个地址发包,他当然是先转发给网关了,所以网关收到了包,按照顺序,路由器先检查策略路由项,然后才走正常路由,现在路由发现,这个包匹配了access-list 101 permit ip 172.16.1.0 0.0.0.255 any这一句,所以他把这个包路由到loopback口.说明一下:loopback之所以叫回环接口,就是因为,到了这个口的包会从这个口出去,立即又回来了,哈哈哈,可能不好理解,因为这是个虚拟口,路由器怎么使唤他都行,所以有这个功能,在这里,包从这个口出去的时候,由于包的来源是以太口(nat inside),出口是loopback口(nat ouside),所以在这个回环口包做了一次nat,源地址被变成池中地址(ip nat pool pool1 192.168.0.2 192.168.0.3)的一个,好,这个nat后的包从环口出去,转了转(俺也实在不知道他到哪儿去转去了),又准备从loopback口再回到路由内部,但是这一次,路由对包不作任何改变,因为nat outside,ip nat inside "source"......只对从路由内部出去的包做nat.好了,现在包的源地址是,比如192.168.0.2,目的地址还是公网的那个你要访问的地址,这个包下一步还要接受路由的检查,由于loopback口没有配置ip policy route-map,所以这次只匹配常规路由,好,看看原帖…………,除了直连路由外,就是缺省路由了(ip route 0.0.0.0 0.0.0.0 192.168.0.6 ),所以他终于把这个包成功路由到了isp.(好累啊).再说说回来的包,外网要给本地的对外地址(192.168.0.2)回应了,本地路由的以太口通过交换机收到了isp发过来的包,由于这个包对于路由器来说是从内向外走得(路由并不知道其实以太连接的是isp),所以要先路由,后nat,好,路由器同样先匹配策略路由,看看原帖.................,他匹配了这一句:access-list 101 permit ip any 192.168.0.0 0.0.0.7,因为原地址是公网地址,也就是"any",所以他路由到loopback口,在环口,这个包又将要被nat一次了,但是,请注意,这里,这个包不符合nat的要求,请看看:ip nat inside source list 10 pool pool1 overload ,access-list 10 permit 172.16.1.0 0.0.0.255,由于这个包的原地址并不在access-list 10所规定的范围内,所以包没有被nat,这也是这个技术最巧妙的地方,这样包保留了原地址的真实性!! 好,这个包又从环口又溜达回来了,注意::!!!由于路由器已经做过nat动作了,所以本身保存了一张nat表,由于包从loopback进来的,所以对于路由器来说是从外流向内,所以路由器要先nat,后路由,所以他要匹配nat表了,好,他检查到目的地址192.168.0.2实际上对应着内部主机172.16.1.1,所以他把包的目的地址nat成172.16.1.1,好, 现在接受路由匹配(好麻烦啊!呵呵),看看...................,由于从loopback 口进入不用匹配策略路由,所以查常规路由,发现目的地址172.16.1.1存在于直连路由中,所以最终发到了以太口,最终到达目的主机:172.16.1.1.对于adsl单网卡代理,也是同样的道理,只不过路由器还成了主机而已,而且装了些代理软件,比如ccproxy,这些软件的功能就是和上述的路由器一样,实现单口nat.单接口NAT配置实例精典，转贴大家测试下单接口NA T配置实例条件：1、IOS在12.1(5)T9及以上版本。

Router(config)#interface f0/0
Router(config-if)#ip nat insice
二、 动态NAT配置
如图内部局域网使用的IP是172.16.100.1—172.16.255.254,路由器局域网端口（默认网关）的
Router(config)#interface f0/0
Router(config)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
(2) 定义内部访问列表：
Router(config)#access-list 99 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source static 192.168.100.4 61.159.62.132
Router(config)#ip nat inside source static 192.168.100.5 61.159.62.133
(4)定义合法的IP地址池：
Router(config)#ip nat pool zhou 61.159.62130 61.159.62.190 netmask 255.255.255.192(定
义地址池的名字为zhou)
(5)实现网络地址转换：
Router(config)#ip nat inside source list 99 pool zhou 【overload】（overload:地址复用
(3) 设置复用动态IP:
Router(config)ip nat inside source list 99 interface s0/0 overload(由于直接使用路由器的

nat的配置案例一、网络环境说明。

咱这个办公室有个内部网络，好多电脑啊、打印机啥的都连着呢。

内部网络的IP 地址范围是192.168.1.0/24，这就好比是一个小区，里面住着好多“网络居民”（设备）。

然后呢，我们只有一个公网IP地址，比如说203.0.113.5，这个公网IP就像是这个小区对外的一个大招牌，所有内部设备要和外面的互联网世界打交道，都得靠这个招牌来帮忙。

二、路由器上的NAT配置（假设是基于Cisco路由器的命令行，其他设备原理类似哦）1. 我们要进入路由器的配置模式。

就像你要进入一个魔法房间，去施展网络魔法一样。

在路由器的命令行界面输入：enable.configure terminal.这就好比是先敲敲门（enable），然后走进房间（configure terminal）准备开始配置。

2. 接下来，我们要定义一下内部网络的接口，也就是那些连着内部设备的接口。

比如说这个接口是FastEthernet 0/0（这是接口名字，不同路由器可能会有不同的接口命名方式），我们就输入：interface FastEthernet 0/0.ip address 192.168.1.1 255.255.255.0.no shutdown.这里的“ip address”就是给这个接口设置内部网络的IP地址和子网掩码，“no shutdown”呢，就像是打开这个接口的开关，让它开始工作，不然这个接口就像睡着了一样，没法传递数据。

3. 然后，我们要定义外部网络的接口，这个接口连接着公网。

假设是FastEthernet 0/1，输入：interface FastEthernet 0/1.ip address 203.0.113.5 255.255.255.248.no shutdown.同样的，给这个接口设置公网的IP地址和子网掩码，再把开关打开。

4. 现在，重点来了，配置NAT。

我们要让内部网络的设备能够通过这个公网IP出去访问互联网。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

NAT技术详解及配置实例NAT技术详解及配置实例2007年02⽉26⽇ 22:17:00阅读数：28241NAT作为⼀种减轻IPv4地址空间耗尽速度的⽅法，最早出现在Cisco IOS 11.2版本中。

为什么要使⽤NAT1 内⽹中主机过多，没有⾜够的合法IP地址可⽤。

2 当ISP发⽣变化时，使⽤NAT技术避免了IP地址的重新编址。

3 当两个合并的⽹络中出现了重复地址的时候。

4 利⽤NAT来解决TCP的负载均衡问题。

5 隐藏内部⽹络，增强安全性。

NAT就是将内⽹中使⽤的私有地址转换成可在Internet上进⾏路由的合法地址的技术。

私有地址范围：10.0.0.0 ~ 10.255.255.255172.16.0.0 ~ 172..31.255.255192.168.0.0 ~ 192.168.255.255NAT技术主要分为NAT和PAT。

NAT是从内部本地地址到内部全局地址的⼀对⼀转换。

PAT是从多个内部本地地址到内部全局地址的多对⼀转换。

通过端⼝号确定其多个内部主机的唯⼀性。

NAT术语Inside network：需要翻译成外部地址的内部⽹络。

Outside network：使⽤合法地址进⾏通信的外部⽹络。

Local address：内部⽹络使⽤的地址。

Global address：外部⽹络使⽤的地址。

Inside local address：内部本地地址。

数据在内部⽹络使⽤的地址，⼀般为private ip address。

Inside global address：内部全局地址。

数据为了到达外部⽹络，⽤来代表inside local address的地址，⼀般为ISP提供的合法地址。

Outside local address：外部本地地址，不必是合法地址。

当外部⽹络数据到达内部⽹络，外部⽹络中的主机IP地址与内部⽹络中的主机处在同⼀⽹段时，为防⽌内部主机误认外部主机与⾃⼰在同⼀⽹段⽽⼴播ARP请求，造成⽆法通信，将外部主机的地址转换成外部本地地址之后再与内部主机进⾏通信。

出口网关双链路接入不同运营商举例一USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还可以实现外网用户访问内网服务器，并保护内网不受网络攻击。

组网需求某学校网络通过USG连接到Internet，校内组网情况如下：∙校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。

图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。

∙学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了5个IP地址。

ISP1分配的IP地址是200.1.1.1～200.1.1.5，ISP2分配的IP地址是202.1.1.1～202.1.1.5，掩码均为24位。

该学校网络需要实现以下需求：∙校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

∙当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。

∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。

∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。

图1 出口网关双链路接入不同运营商举例一组网图项目数据说明（1）接口号：GigabitEthernet 0/0/0IP地址：10.1.1.1/16安全区域：Trust 接口（1）是连接内网汇聚交换机的接口。

校内用户分配到网段为10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24，部署在Trust区域。

（2）接口号：GigabitEthernet 0/0/1IP地址：192.168.1.1/24安全区域：DMZ 接口（2）是连接图书馆内服务器的接口。

图书馆区部署在DMZ区域。

（3）接口号：GigabitEthernet 0/0/2IP地址：200.1.1.1/24安全区域：ISP1安全优先级：15 接口（3）是连接ISP1的接口，去往ISP1所属网段的数据通过接口（3）转发。

（1）全部三个部门旳电脑都能访问Internet；
（2）部门3旳电脑能够访问部门1和部门2旳电脑；
（3）部门1和部门2旳电脑能够互访，但是不能访问 部门3旳电脑。
3 项目需求分析
（1）Internet接入方式分析
为了实现三个部门旳电脑都能（使用一 种IP地址）访问Internet，要使用局域网互 换机将三个部门旳电脑构成一种局域网，并 在局域网中使用私有IP地址，然后经过路由 器转换为唯一旳外网地址（222.17.240.5/24） 联入Internet，为此必须使用PAT技术。
（2）内网规划
部门1
部门2
部门3
VLAN VLAN 10
VLAN 20
VLAN 30
VLAN名 Department1 Department2 Department3
IP
192.168.10.2/24以上 192.168.20.2/24以上 192.168.30.2/24以上
互换机 f0/1-3
f0/4-6
f0/7-9
端口
网关 192.168.10.1 192.168.20.1
192.168.30.1
（3）访问控制
为了实现部门间旳访问控制，必须在互换机配 置访问控制列表。
访问控制列表 (Access Control List，ACL)一 般用来规划网络中旳访问层次，以期到达优化网络 流量,加强网络安全旳作用。ACL能够绑定在物理端 口上，也可绑定在Vlan接口上。
因为使用NAT之后，外部网络地址与内部网络地 址旳相应关系是动态变化旳，所以无法精确了解指 定内部网络设备旳运营情况，会对内部网络旳远程 管理带来一定旳不便。
（3）PAT
PAT(Port Address Translation)是一种 动态地址转换技术，也称NAT复用，它能够使 多种内部私有IP地址共用一种或几种NIC注册 IP地址，经过不同旳协议端标语映射不同旳 内部网络地址，全部不同旳TCP和UDP信息流 好像都起源于一种或几种IP地址。PAT理论上 能够支持64500个TCP／IP、UDP／IP连接，但 实际能够支持旳工作站数约为4000。

思科交换机NAT配置介绍及实例思科交换机（Cisco Switch）是企业级网络设备中最常用的一种。

与传统的路由器不同，交换机主要用于在局域网（LAN）内部提供数据包的转发和过滤功能。

然而，在一些情况下，我们可能需要使用交换机进行网络地址转换（NAT）来实现特定的网络部署需求。

本文将介绍思科交换机的NAT配置方法，并提供实例说明。

1.NAT概述网络地址转换（NAT）是一种在不同网络之间转换IP地址的技术。

它主要用于解决IPv4地址空间的短缺问题，并允许多个主机通过一个公网IP地址来访问互联网。

NAT实现了将内部网络地址与外部IP地址之间进行映射，使得内部主机可以通过共享公网IP地址来与外部网络进行通信。

2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤：步骤1：创建访问控制列表（ACL）访问控制列表（Access Control List）用于定义需要进行NAT转换的数据包。

我们可以根据源地址、目标地址、端口等条件来配置ACL，以确定哪些数据包需要进行NAT转换。

例如，下面是一条配置ACL的命令示例：access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。

步骤2：创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。

我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。

例如，下面是一条配置NAT池的命令示例：ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池，其中可用的IP地址范围为203.0.113.1至203.0.113.10。

步骤3：创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。

我们可以通过配置NAT类型（静态/动态）、内部地址、外部地址等参数来创建NAT规则。

配置NAT Outbound示例组网需求如图1所示，某公司A区的网络通过AR200-S的地址转换功能访问广域网。

使用公网地址池中的地址（202.169.10.100～202.169.10.200）采用一对一的方式替换A区内部的主机地址（网段为192.168.20.0/24），访问广域网。

B区的网络通过AR200-S的地址转换功能访问广域网。

结合B区的公网IP地址比较少的情况，使用公网地址池（202.169.10.80～202.169.10.83）采用IP地址和端口的替换方式替换B区内部的主机地址（网段为10.0.0.0/24），访问广域网。

其中AR200-S上接口Ethernet2/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。

图1 配置NAT Outbound组网图配置思路采用如下思路配置NAT Outbound：1.配置接口IP地址。

2.配置缺省路由。

3.在WAN侧接口下配置NAT Outbound，实现内部主机访问外网服务功能。

操作步骤1.在AR200-S上配置接口IP地址。

2.<Huawei> system-view3.[Huawei] vlan 1004.[Huawei-vlan100] quit5.[Huawei] interface vlanif 1006.[Huawei-Vlanif100] ip address 192.168.20.1 247.[Huawei-Vlanif100] quit8.[Huawei] interface Ethernet 0/0/09.[Huawei-Ethernet0/0/0] port link-type access10.[Huawei-Ethernet0/0/0] port default vlan 10011.[Huawei-Ethernet0/0/0] quit12.[Huawei] vlan 20013.[Huawei-vlan200] quit14.[Huawei] interface vlanif 20015.[Huawei-Vlanif200] ip address 10.0.0.1 2416.[Huawei-Vlanif200] quit17.[Huawei] interface Ethernet 0/0/118.[Huawei-Ethernet0/0/1] port link-type access19.[Huawei-Ethernet0/0/1] port default vlan 20020.[Huawei-Ethernet0/0/1] quit21.[Huawei] interface Ethernet 2/0/022.[Huawei-Ethernet2/0/0] ip address 202.169.10.1 2423.[Huawei-Ethernet2/0/0] quit24.在AR200-S上配置缺省路由，指定下一跳地址为202.169.10.2。

实验报告实验名称网络地址转换及配置实验拓扑图：一、按照拓扑结构图组网，给各设备接口和主机分配好IP地址、子网掩码等，完成基本配置，测试直连链路连通性。

（1）RTA：为s0/0/1配置IP地址RTA(config)#int s0/0/1RTA(config-if)#ip add 202.101.100.1 255.255.255.224RTA(config-if)#clock rate 64000RTA(config-if)#no shut为f0/0配置IP地址RTA(config)#int f0/0RTA(config-if)#ip add 10.0.0.1 255.0.0.0RTA(config-if)#no shut（2）RTB和PCB：为s0/2/1配置IP地址RTB(config)#int s0/2/1RTB(config-if)#ip add 202.101.100.2 255.255.255.224RTB(config-if)#no shut为f0/0配置IP地址RTB(config)#int f0/0RTB(config-if)#ip add 192.168.3.1 255.255.255.0RTB(config-if)#no shut把PCB的IP地址改成192.168.3.2 255.255.255.0测试连通性（3）RTC：为f0/0配置IP地址RTC(config)#int f0/0RTC(config-if)#ip address 10.0.0.2 255.0.0.0RTC(config-if)#no shut（4）PCA：把IP地址改成10.0.0.11 255.0.0.0二、在三台路由器上配置静态路由（1）RTA：配置到RTB的静态路由：RTA(config)#ip route 0.0.0.0 0.0.0.0 202.101.100.2测试连通性ping RTBRTA#ping 192.168.3.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 msping RTCRTA#ping 10.0.0.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms （2）RTB：配置到RTA的静态路由：RTB(config)#ip route 202.101.100.32 255.255.255.224 202.101.100.1 RTB ping RTARTB#ping 202.101.100.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.101.100.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms （3）RTC：配置到RTA的静态路由：RTC(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1测试连通性RTC ping RTARTB#ping 202.101.100.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.101.100.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms 分析：RTB和RTA不能相互ping通，因为RTB处于外网三、配置路由器RTA作为NAT服务器，RTA将把该公司的内部地址（10.0.0.0/8）转换为ISP所分配的全局地址（202.101.100.32/27）RTA：RTA(config)#ip nat inside source static 10.0.0.2 202.101.100.34RTA(config)#ip nat inside source static 10.0.0.11 202.101.100.35RTA(config)#int s0/0/1RTA(config-if)#ip nat outsideRTA(config)#int f0/0RTA(config-if)#ip nat inside3.1 在配置动态NAT之前，先为主机A和路由器RTC设置静态NA T作为测试。

1.8 NAT典型配置举例1.8.1 静态一对一地址转换典型配置举例1. 组网需求内部网络用户10.110.10.8/24使用公网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 配置一对一静态地址转换映射。

<Router> system-view[Router] nat static 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet3/1/2上生效。

[Router] interface gigabitethernet 3/1/2[Router-GigabitEthernet3/1/2] nat outbound static[Router-GigabitEthernet3/1/2] quit1.8.2 普通内部服务器典型配置举例1. 组网需求某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。

公司内部网址为10.110.0.0/16。

其中，内部FTP服务器地址为10.110.10.3/16，内部Web服务器1的IP地址为10.110.10.1/16，内部Web服务器2的IP地址为10.110.10.2/16，内部SMTP 服务器IP地址为10.110.10.4/16。

公司具有202.38.1.1/24至202.38.1.3/24三个IP 地址。

需要实现如下功能：外部的主机可以访问内部的服务器。

选用202.38.1.1作为公司对外提供服务的IP地址，Web服务器2对外采用8080端口。

2. 组网图图1-6 普通内部服务器典型配置组网3. 配置步骤# 进入接口GigabitEthernet1/1/2。

<Router> system-view[Router] interface gigabitethernet 1/1/2# 设置内部FTP服务器。

NAT典型配置举例关键词：NAT、ALG、PAT、No-PAT摘要：本文描述了H3C S12500 NAT特性的产品基础、典型配置方法和注意点。

缩略语：目录1特性简介 (4)1.1 NAT和NAPT (4)1.2源NAT/NAPT和目的NAT/NAPT (4)1.3动态NAT/NAPT和静态NAT/NAPT (4)1.4内网和外网 (4)1.5内网地址和外网地址 (5)1.6 EASY IP (5)1.7 NAT ALG处理 (5)1.8内部服务器 (5)1.9静态NAT和内部服务器区别 (6)2应用场合 (6)2.1支持企业网中少量用户上网 (6)3注意事项 (6)4基础配置举例 (6)4.1 NAPT方式/NOPAT方式/EASYIP方式配置举例 (6)4.1.1组网需求 (6)4.1.2配置思路 (7)4.1.3使用版本 (7)4.1.4配置步骤 (7)4.1.5验证结果 (9)4.2静态地址转换配置举例 (9)4.2.1组网需求 (9)4.2.2配置思路 (9)4.2.3使用版本 (9)4.2.4配置步骤 (9)4.2.5验证结果 (10)4.3 NAT连接限制配置举例 (11)4.3.1组网需求 (11)4.3.2配置思路 (11)4.3.3使用版本 (11)4.3.4配置步骤 (11)NAT典型配置举例4.3.5验证结果 (12)4.4 ALG配置举例 (12)4.4.1组网需求 (12)4.4.2配置思路 (13)4.4.3使用版本 (13)4.4.4配置步骤 (13)4.4.5验证结果 (13)4.5 NAT SERVER配置举例 (14)4.5.1组网需求 (14)4.5.2配置思路 (14)4.5.3使用版本 (14)4.5.4配置步骤 (14)4.5.5验证结果 (15)4.6 NAT日志配置举例 (15)4.6.1组网需求 (15)4.6.2配置思路 (16)4.6.3使用版本 (16)4.6.4配置步骤 (16)4.6.5验证结果 (17)5典型应用配置举例 (17)5.1私网访问公网典型配置举例 (17)5.1.1组网需求 (17)5.1.2配置思路 (18)5.1.3使用版本 (18)5.1.4配置步骤 (18)5.1.5验证结果 (19)6相关协议和标准 (19)7其它相关资料 (19)NAT典型配置举例1特性简介H3C S12500支持软件NAT（Network Address Translation，网络地址转换），不需要特殊的业务板，只需普通的业务板即可使用，本文介绍软件NAT的典型配置及注意事项。

NAT的3种实现方式配置示范网络地址转换（NAT）是一种网络协议，用于将私有IP地址转换为公共IP地址，以实现多台设备共享一个公共IP地址的功能。

NAT有三种实现方式：静态NAT、动态NAT和PAT（端口地址转换）。

1.静态NAT静态NAT是将一个私有IP地址映射到一个公共IP地址，实现一对一的映射关系。

静态NAT适用于需要固定映射关系的情况，如将内部服务器映射到公共IP地址，以便外部用户可以访问该服务器。

示范配置：1.配置内部接口的IP地址和子网掩码。

2.配置外部接口的IP地址和子网掩码，该接口将使用公共IP地址。

3.创建一个静态NAT转换规则，将内部服务器的IP地址映射到外部接口的公共IP地址。

例如，假设内部服务器的IP地址为192.168.1.10，外部接口的公共IP地址为203.0.113.10，配置如下：```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat inside source static 192.168.1.10 203.0.113.10```2.动态NAT动态NAT是将内部设备的私有IP地址动态映射到可用的公共IP地址，实现一对多的映射关系。

动态NAT适用于多个内部设备共享有限的公共IP地址的情况。

示范配置：1.配置内部接口的IP地址和子网掩码。

2.配置外部接口的IP地址和子网掩码，该接口将使用公共IP地址。

3.配置一个动态NAT池，指定可用的公共IP地址范围。

4.创建一个动态NAT转换规则，将内部设备的IP地址映射到动态NAT池中的公共IP地址。

例如，假设内部子网的IP地址范围为192.168.1.0/24，外部接口的公共IP地址为203.0.113.1，配置如下：```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat pool dynamic-nat-pool 203.0.113.10 203.0.113.20 netmask 255.255.255.0ip nat inside source list 1 pool dynamic-nat-pool overload access-list 1 permit 192.168.1.0 0.0.0.255```3.PAT（端口地址转换）PAT是一种特殊的动态NAT方法，它除了将内部设备的IP地址映射到公共IP地址外，还使用端口号来区分不同的连接。

华为静态NAT、动态NAT、NAPT、EasyNAT配置实例华为静态NAT、动态NAT、NAPT、Easy NAT配置实例NoobMaster--CISSP 2020-03-22 16:32:03 7160 收藏 76分类专栏： HCIP ⽂章标签：路由器版权HCIP专栏收录该内容23 篇⽂章1 订阅订阅专栏⼀、NAT的四种类型1，静态NAT（服务器地址转换）静态NAT实现了私有地址和公有地址的⼀对⼀转换，⼀个公⽹地址对应⼀个私⽹地址2，动态NAT动态NAT基于地址池来实现私有地址和公有地址的转换，转换是随机的3，NAPT（⽹络地址端⼝转换）NAPT允许多个私⽹地址转换到同⼀个公有地址的不同端⼝，私⽹利⽤端⼝号来区分。

4，Easy IP：转换成出接⼝地址利⽤端⼝号来识别不⽤的私⽹地址，NAPT的特例。

直接将内⽹私有地址转换为出接⼝的公⽹IP地址。

⼆、NAT配置1，实验拓扑以及IP地址分配如下：2，静态NAT配置步骤：1，进⼊“出接⼝”：interface s4/0/02，地址转换：nat static（静态） global（公⽹IP：未分配的IP地址）172.16.2.3 inside （内⽹需要转换的PC的私有IP地址）192.168.1.1 3，动态NAT配置：1.设置公⽹地址池：nat address-group 1 172.16.2.3 172.16.2.2542.创建ACL：acl 20003.允许⽹段1.0的数据进⾏转换：rule 5 permit source 192.168.1.0 0.0.0.255：rule 10 deny //华为acl最后有⼀条默认的隐藏命令：permit any 与思科相反4.进⼊接⼝（出⽅向）：interface serial4/0/05.匹配ACL：nat outbound 2000 address-group 1 no-pat //no-pat的作⽤：（不进⾏端⼝转换）4，NAPT的配置：1，公⽹地址池被缩减为只包含⼀个IP地址： nat address-group 1 172.16.2.254 172.16.2.2542，在动态NAT的第五步进⾏接⼝转换，nat outbound 2000 address-group 15,Easy IP的配置：1.创建ACL：acl 20002.允许1.0的数据进⾏转换：rule 5 permit source 192.168.1.0 0 .0.0.255：rule 10 deny3.进⼊接⼝（出⽅向）：interface serial4/0/04.匹配ACL：nat outbound 2000三、验证Easy IP：⽤PC1 ping AR2，分别在接⼝g0/0/1和接⼝s4/0/0抓包查看源IP地址：接⼝G0/0/1接⼝S4/0/0————————————————。

NAT的3种实现方式配置示范网络地址转换（NAT）是一种用于将私有IP地址转换为公共IP地址的技术，以实现局域网内多个设备共享一个公共IP地址的目的。

以下是NAT的三种实现方式的配置示范。

1. 静态NAT（Static NAT）静态NAT是将一个私有IP地址映射到一个公共IP地址的一对一映射。

这个公共IP地址可以用于让外部网络访问内部网络中的特定设备。

以下是一个静态NAT的配置示例：首先，假设我们有一个私有网络，其IP地址范围是192.168.1.0/24，而我们有一个公共IP地址203.0.113.10。

1.在NAT设备上配置一个静态NAT规则：configure terminalip nat inside source static 192.168.1.5 203.0.113.102.配置内部接口和外部接口：interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside3.验证配置：show ip nat translations这个配置会将该私有网络中的设备192.168.1.5映射到公共IP地址203.0.113.10上，使其可以从外部访问该设备。

2. 动态NAT（Dynamic NAT）动态NAT是一种将私有IP地址动态映射到公共IP地址的方式，根据内部网络设备的需要，由NAT设备动态分配公共IP地址。

以下是一个动态NAT的配置示例：配置一个全局IP地址池：configure terminalip nat pool NAT-POOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0配置NAT规则：ip nat inside source list 1 pool NAT-POOL overload配置访问控制列表（ACL）以指定内部网络：access-list 1 permit 192.168.1.0 0.0.0.255配置内部接口和外部接口：interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside这个配置会将内部网络192.168.1.0/24中的设备动态映射到IP地址池中的公共IP地址，可以实现内部网络中的多个设备共享有限数量的公共IP地址。