CISCO多出口做NAT的地址池问题

思科路由器NAT配置详解思科路由器NAT配置详解一、介绍在计算机网络中，网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

NAT主要用于连接不同IP地质的网络之间进行通信，常用于家庭和办公网络。

二、NAT的基本概念1、NAT的作用NAT的主要作用是解决IPv4地质不足的问题，同时也可以提高网络的安全性。

2、NAT的类型NAT有三种类型：静态NAT、动态NAT和PAT（端口地质转换）。

3、静态NAT静态NAT将指定的内部IP地质映射到一个外部IP地质，使得内部网络上的设备可以通过外部IP地质进行访问。

4、动态NAT动态NAT是根据内部网络的需求，将一个或多个内部IP地质动态地映射到一个外部IP地质。

当内部网络设备需要访问外部网络时，才会动态地进行映射。

5、PATPAT是一种特殊的动态NAT，它将多个内部IP地质映射到一个外部IP地质，使用不同的端口号区分不同的内部地质。

三、NAT的配置步骤1、确定NAT的类型在进行NAT配置之前，需要确定所需的NAT类型，是静态NAT、动态NAT还是PAT。

2、配置内部和外部接口需要配置内部和外部接口的IP地质，使路由器能够正确地识别内部和外部网络。

3、配置NAT池对于动态NAT和PAT，需要配置一个NAT池，包含可用的外部IP地质。

4、配置NAT规则根据需求，配置适当的NAT规则，包括内部地质和端口号与外部地质和端口号的映射关系。

四、附件本文档没有涉及到附件。

五、法律名词及注释1、IPv4地质：互联网协议第四版本（Internet Protocol version 4，简称IPv4）中使用的32位地质，用于标识网络上的设备。

2、NAT：网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

Cisco路由器ipnat命令-电脑资料ip natip nat inside destinationip nat inside source listip nat inside source staticip nat outside source listip nat outside source staticip nat poolip nat translationip nat 语法：ip nat {inside | outside}no ip nat {inside | outside}本命令用于设置应用NAT的内网和外网的接口，。

使用no 选项可使接口不再应用NAT。

参数：inside：表示该接口连接内部网络。

outside：表示该接口连接外部网络。

缺省值：接口上没有应用NAT。

命令模式：接口配置模式。

说明：数据包只有在 outside 接口和 inside 接口之间路由时，并且符合一定规则的，才会进行NAT转换。

所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口，也可配置多个。

范例：Router(config)#interface f0/0Router(config-if)#ip address 192.168.10.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutdownRouter(config-if)#interface f0/1Router(config-if)#ip address 200.19.12.17 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#no shutdown本例路由器的 fastethernet 0/0 连接的是内网，被定义为 inside 接口， fastethernet 0/1 连接的是外网，被定义为 outside 接口。

static 静态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.然后设置NA T静态转换conf# ip nat ins source static 192.168.1.10 10.0.0.1 将内部地址192.168.1.1 转换成10.0.0.1conf# ip nat ins source static 192.168.1.20 10.0.0.13.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside4.设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0完成，可以show ip nat translations 查看动态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.定义内部网络中允许访问外部网络的IPConf#access-list permit 192.168.1.10 0.0.0.255(允许192.168.1.10 访问外部网络，0.0.0.255 为反子网掩码具体参考ACCESS链路访问规则)Conf#access-list permit 192.168.1.20 0.0.0.2553.定义地址池Conf# ip nat pool jiangqi 192.168.1.10 192.168.1.20 netmask 255.255.255.0(将192.168.1.10 到192.168.1.20 的IP 定义为地址池jiangqi 子网为255.255.255.0)4．实现网络地址转换Conf# ip nat inside source list 1 pool jiangqi(将ACCESS LIST 制定的内部地址，与制定的全局地址进行转换)5.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside6. 设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0。

思科交换机NAT配置介绍及实例CISCONAT 配置一、NAT简介NAT（Network Address Translation）的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），—个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能（本文事例所用路由器为C isco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址(Inside local address )：分配给内部网络中的计算机的内部IP地址。

内部合法地址(Inside global address)：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

1.设备之间的地址如图所示，按照拓扑图配置IP地址2.R1和R2之间属于area 8，R1和SW1，SW2之间属于area 0，SW1和SW2上所有VLAN接口属于area 10.SW1和R3之间是属于RIP区域的。

要求配置RIP和OSPF实现网络之间能够通信。

把Area 8配置完全末梢区域3.在R3上存在着10.100.0.0/24到10.100.7.0/24这8个网段。

要求在R1上看到这8个网段是汇总的。

4.在SW1、SW2、SW3、SW4上配置VTP，SW1和SW2是server模式，SW3和SW4是客户机模式。

域名为benet，密码为cisco。

添加VLAN 10、VLAN 50、VLAN 80、VLAN 90这4个VLAN5.另外在SW1和SW2上配置HSRP，要求SW1是VLAN 10和VLAN 50的活跃路由器，SW2是VLAN 80和VLAN 90的活跃路由器6.配置PVST实现流量的负载均衡，在配置PVST时请注意与HSRP对应7.R4是模拟ISP在R4上配置LO0:200.1.20.1/24，在R1上配置PAT实现内网的所有PC能够去访问200.1.20.1这个地址。

另外实现R4可以telnet到Server上8.配置ACL要求在周一到周五的8:30到17:30之间禁止员工去登录QQ，除此以外在所有时间段要求保证员工能够正常的去访问外网的WWW,FTP,SMTP,TELNET这些服务，禁止员工去访问其他的服务。

我先用GNS3搭建起来的拓扑图注意，实验说明：本文中的所有命令都是简写的，因为思科的命令都是支持简写的先敲所有网络设备的预配命令先EnConfig tEnable password 1234No ip domain-loLine con 0Password 1234No exec-tLogging syn配置地址R1Inter f0/0Ip add 10.255.0.5 255.255.255.252No shutInter f1/0Ip add 10.255.0.9 255.255.255.252No shutInter f2/0Ip add 10.255.0.1 255.255.255.252No shutInter f3/0Ip add 202.1.10.1 255.255.255.252 No shutR2Inter f0/0Ip add 10.255.0.2 255.255.255.252 No shutR3Inter f0/0Ip add 10.255.0.13 255.255.255.252 No shutInter lo0Ip add 10.100.0.3 255.255.255.0 No shutInter lo1Ip add 10.100.1.3 255.255.255.0 No shutInter lo2Ip add 10.100.2.3 255.255.255.0 No shutInter lo3Ip add 10.100.3.3 255.255.255.0 No shutInter lo4Ip add 10.100.4.3 255.255.255.0 No shutInter lo5Ip add 10.100.5.3 255.255.255.0 No shutInter lo6Ip add 10.100.6.3 255.255.255.0 No shutInter lo7Ip add 10.100.7.3 255.255.255.0 No shutR4Inter f0/0Ip add 202.1.10.2 255.255.255.252 No shutInter lo0Ip add 200.1.20.1 255.255.255.255ExitSw1Ip routing (三层交换机开启路由功能)Inter f0/0No switchport (开启三层路由功能)Ip add 10.255.0.6 255.255.255.252No shutInter f0/10No switchport (开启三层路由功能)Ip add 10.255.0.14 255.255.255.252No shutInter range f0/14 -15 （做以太通道）Sw mo tr (接口做为trunk模式)Inter range f0/1 -2Sw mo trExitSw2Ip routingInter f0/0No swIp add 10.255.0.9 255.255.255.252No shutInter range f0/14 -15Sw mo trInter range f0/1 -2Sw mo trExitSw3Inter range f0/0 -1Sw mo trSw4Inter range f0/1 -2Sw mo trExit在SW1、SW2、SW3、SW4上配置VTP，SW1和SW2是server模式，SW3和SW4是客户机模式。

一般我们实际工作中都使用复用NAT，即复用端口NAT，也叫PNAT.所以掌握最后配置就可以了。

静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP. 外网使用公网IP. 并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

最后，指定其默认路由。

格式：静态模式在内部本地地址与内部合法地址之间建立静态地址转换。

在全局设置状态下输入：router(config)#Ip nat inside source static 内部本地地址内部合法地址router(config)#ip nat inside source static 10.1.1.2 192.168.1.2指定连接网络的内部端口在端口设置状态下输入：Router(config-if)#ip nat insideRouter(config)#int e0Router(config)#ip add 10.1.1.1 255.255.255.0Router(config-if)#ip nat inside指定连接外部网络的外部端口在端口设置状态下输入：Router(config-if)#ip nat outsideRouter(config)#int s0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat outsideRouter(config)#ip route 0.0.0.0 0.0.0.0 s0 (指定出口的默认路由，这是容易漏掉的地方)Enter configuration commands, one per line. Endwith CNTL/Z.Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1100.0.0.1（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

多媒体通讯中防火墙和NAT问题的解决随着近年IP网宽带业务的蓬勃发展，基于分组的多媒体通信系统标准H.323广泛运用于视频会议和IP电话中。

V oIP业务的应用也带来一个值得关注的问题：绝大部分企业部门从网络安全考虑配置了专用防火墙，但H.323很难通过传统专用防火墙。

原因在于，复杂的H.323协议动态分配端口并产生和维护多个UDP数据流。

同时由于Internet快速膨胀，IPv4地址空间处于严重耗尽的境况。

为解决这个问题，人们设计出了网址转换器(NA T)。

然而NA T后的IP语音和视频设备仅有私有IP地址，这些地址在公众网上是不可路由的。

这样一来，多媒体通讯中的防火墙和NA T问题严重地制约了IP电话和视频会议的应用。

解决这个问题也就成为多业务宽带IP网络至关重要的事情。

在这里，我们先简要回顾一下防火墙和NA T设备是如何保护网络安全的和为什么实时多媒体通讯协议是对安全问题的一个挑战。

一．网络防火墙和ＮＡＴ如何工作防火墙为了网络的安全性，公司一般都安装防火墙，它是一个放于私有网的设备，用来保护网络资源免受外部的恶意破坏。

防火墙检查从外部进来的每个数据包的IP地址和目的端口号，它经常如此设置：假如防火墙内的一台计算机A向防火墙外的一台计算机B主动发出请求要数据，防火墙会让外部计算机B的数据包通过，而且当且仅当数据包的目的地址和端口号与防火墙内发起请求的计算机A的地址和端口号相同；假如计算机B发来的数据包仅仅目的地址是防火墙内发起请求的计算机A的地址，而端口号不是计算机A发出请求的那个端口号，防火墙也将会丢弃那个外来的数据包。

防火墙总是被配置过滤掉所有不请自到的网络通信，有一个例外是在防火墙内提供Web Server供外部访问。

在这种情况下，公司会配置防火墙答应目的地址是Web Server的IP地址且目的端口号为80的数据包通过，这就使得公司外部可以主动向公司的Web Server发起请求得到一些公司放在Server上的数据。

Cisco设备静态NAT基本配置步骤以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书，或者于明年将出版的《Cisco/H3C 路由器配置与管理完全手册》一书.当你与外部网络进行通信时，你可以转换自己的私有IP地址到全态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。

一、静态NAT工作原理静态NAT是最基本的NAT方式,也是最常用的NAT方式之一.本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT基本配置步骤。

示例中的基本网络拓扑结构如图1所示。

NAT 路由器的两个接口（s0和s1）分别连接了内、外两个不同的网络(10。

10。

10。

0/24和171.16.68。

1/24）。

现要使内部网络中的10。

10.01.1主机和外部网络中的171。

16.68。

5主机间进行数据包传输。

图1 静态NAT基本配置示例网络结构在上一篇说到了，NAT的应用可以是单方向(包括正向或反向)，也可以是双方向的地址转换.我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换，使用的NAT命令为“ip nat inside source static {local—ip global—ip}”，把本地网络的本地址转换成外部网络的全局地址。

把外部网络中的地址转换成内部网络中的地址称之为反向转换,使用的NAT命令为“ip nat outside source static global—ip local-ip}”，把外部网络的全地址转换成本地网络的本地地址.对比可以看出，两个命令中的本地IP地址（local-ip）和全局IP地址（global—ip)的位置是相互调换的。

而把需要同时具有两方面的转换，称之为双向转换。

正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时则需要定义外部本地址和外部全局地址；双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。

NAT技术及配置指南ZDNet 网络频道频道更新时间：2008-06-09 作者：来源：路由器技术资讯网本文关键词：NAT网络地址转换什么是nat最早出现的NAT（Network Address Translation，网络地址翻译）技术，是用来解决互联网IP地址耗尽问题的，随着网络技术的发展，安全需求的提升，NAT逐渐演变为隔离内外网络、保障网络安全的基本手段，而且采用这种技术，无须额外投资，单纯利用现有网络设备，即可轻松达到安全目的。

本文将从典型应用入手，详细介绍实现安全保护的办法，并分析什么应用适合选用NAT技术。

一、免费的NAT技术NAT可以将局域网中的内部地址节点翻译成合法的IP地址在Internet上使用（即把IP包内的地址域用合法的IP地址来替换），或者把一个IP地址转换成某个局域网节点的地址，从而可以帮助网络超越地址的限制，合理地安排网络中公有Internet地址和私有IP地址的使用。

通常，NAT功能会被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中，所以，只要购买了这些网络产品，您就可以免费享用NAT技术带来的网络安全了。

NAT设备可以维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

每个数据包在NAT设备中都将被翻译成正确的IP地址，然后再发往下一级设备。

（一）相关概念为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址在内部网上分配到一个主机的IP地址。

这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。

参加考试- EWAN Chapter 7 - CCNA Exploration: 接入WAN (版本 4.0)1主管要求技术人员在尝试排除NAT 连接故障之前总是要清除所有动态转换。

主管为什么提出这一要求？主管希望清除所有的机密信息，以免被该技术人员看见。

因为转换条目可能在缓存中存储很长时间，主管希望避免技术人员根据过时数据进行决策。

转换表可能装满，只有清理出空间后才能进行新的转换。

清除转换会重新读取启动配置，这可以纠正已发生的转换错误。

2请参见图示。

技术人员使用SDM 为一台Cisco 路由器输入了NAT 配置。

哪种说法正确描述了配置结果？内部用户会看到192.168.1.3 使用端口8080 发来了一个web 流量。

地址172.16.1.1 会被转换为以192.168.1.3 开头的地址池中的一个地址。

外部用户会看到192.168.1.3 使用端口80 发来了一个请求。

外部用户必须将流量发往端口8080 才能到达地址172.16.1.1。

3请参见图示。

R1 为网络10.1.1.0/24 执行NAT，R2 为网络192.168.1.2/24 执行NAT。

主机A 与网络服务器通信时，主机A 在其IP 报头中加的地址是什么？10.1.1.1172.30.20.2192.168.1.2255.255.255.2554网络管理员应该使用哪种NAT 来确保外部网络一直可访问内部网络中的web 服务器？NAT 过载静态NAT静态NATPAT5请参见图示。

流出R1 的流量转换失败。

最可能出错的是配置的哪个部分？ip nat pool语句access-list语句ip nat inside配置在错误的接口上接口s0/0/2 应该拥有一个私有IP 地址6网络管理员希望将两个IPv6 岛连接起来。

最简单的方式是通过仅使用IPv4 设备的公共网络来连接。

哪种简单的解决方案可解决此问题？将公共网络中的设备替换为支持IPv6 的设备。

Cisco–NAT和PAT的配置下面是实验拓扑图：相关说明：NAT用于提供几乎无限的地址空间并掩藏内部网络寻址方案，地址管理更加容易，它允许严格控制进入和离开网络的流量；但是静态或动态NAT都存在一个问题，它只能提供一对一的地址转换。

使用端口地址转换PA T可以实现地址复用的功能，使用PAT后，所有通过地址转换设备的机器都拥有了分配给它们相同IP地址，因此源端口号用来区分不同的连接。

实验过程：I：配置各路由器的IP地址，确保直连接口能Ping通。

II：KC-R1模拟企业网关路由器。

KC-R1(config)#ip route 0.0.0.0 0.0.0.0 173.16.1.128 #指向外网的静态路由IV：配置NAT。

方法一：静态NA TKC-R1(config)#int f0/0KC-R1(config-if)#ip nat inside #将f0/0设置为内网口*Mar 1 00:05:49.875: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to upKC-R1(config-if)#exitKC-R1(config)#int s1/0KC-R1(config-if)#ip nat outside #将s1/0设置为外网口KC-R1(config-if)#exitKC-R1(config)#ip nat inside source static 10.1.1.1 173.16.1.56 #静态NATKC-R1(config)#exitPing测试:PC-1#ping 202.101.1.149 #测试证明能通Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.101.1.149, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 120/122/132 ms此时PC-1能通，PC-2不能通。

一、NAT简介：1.NAT（Network Address Translation）网络地址转换。

2.最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中。

3.NAT最主要的作用是为了缓解IPv4地址空间的不足。

4.同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换操作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器；5.改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。

6.但是利还是要大于弊的，不然也不会学习它了！最新的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。

二、NAT术语：比较难理解，所以这里用最明了的语言总结如下1.内部本地地址（inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。

（待转换的地址）2.内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。

3.外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。

4.外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。

三、NAT配置详解：1.静态NAT：将一个私有地址和一个公网地址一对一映射的配置方法，这种方式不能节省IP，通常只为需要向外网提供服务的内网服务器配置。

如图所示：PC1地址：192.168.0.2/24PC2地址：192.168.0.3/24R1 E0/0地址：192.168.0.1/24R1 S0/0地址：202.106.0.1/24R2 S0/0地址：202.106.0.2/24R2 E0/0地址：202.106.1.1/24PC3地址：202.106.1.2/24 (模拟公网服务器)各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要为192.1 68.0.0网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也不叫私有地址了）路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S 0/0，再向前就ping不通了。

（一）相关概念为了更好地认识NA T技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址在内部网上分配到一个主机的IP地址。

这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。

图1展示了NA T相关术语的图解。

对于NA T技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式1．静态翻译是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PA T）。

4．重叠地址翻译翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”现在，我们以常见Cisco路由器为例，阐述典型应用中NA T技术的实现。

1．配置共享IP地址应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NA T转换方式。

图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。

如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。

清单1展示了具体配置方法。

NA T路由器配置清单1interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.10.64 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24!-- 定义名为ovrld的NA T地址池和地址池重的地址172.16.10.1ip nat inside source list 1 pool ovrld overload!--指出被access-list 1 允许的源地址会转换成NA T地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

思科策略路由实现双地址双出口+NAT推荐文章Cisco路由器如何设置时间控制策略热度：思科3640策略路由如何配置热度：cisco ROS动态ADSL+固定IP怎么做策略路由热度：思科策略路由的使用方式热度： cisco怎么策略路由实现定向路由热度：思科是世界领先的通讯大公司，他的设备也是世界一流的，那么你知道思科策略路由实现双地址双出口+NAT吗?下面是店铺整理的一些关于思科策略路由实现双地址双出口+NAT的相关资料，供你参考。

设置思科策略路由实现双地址双出口+NAT的方法：现使用Ethernet 1/0 端口连接内部局域网，模拟内部拥有100.100.23.0 255.255.0.0 与100.100.24.0 255.255.0.0 两组客户机情况下基于原地址的策略路由。

Fastethernet 0/0 模拟第一个ISP接入端口，Fastethernet 0/1模拟第二个ISP接入端口，地址分别为Fastethernet 0/0 的ip地址192.168.1.2 255.255.255.0 对端ISP地址192.168.1.1 255.255.255.0 Fastethernet 0/1 的ip地址192.168.2.2 255.255.255.0 对端ISP 地址192.168.2.1 255.255.255.0通过策略路由后对不同原地址数据流量进行分流，使得不同原地址主机通过不同ISP接口访问Internet，并为不同原地址主机同不同NAT地址进行转换。

具体配置：version 12.2service timestamps debug uptimes效果检验：察看路由表Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile,B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static route100.0.0.0/16 is subnetted, 1 subnetsC 100.100.0.0 is directly connected, Ethernet1/0C 192.168.1.0/24 is directly connected, FastEthernet0/0C 192.168.2.0/24 is directly connected, FastEthernet0/1S* 0.0.0.0/0 [1/0] via 192.168.1.1[1/0] via 192.168.2.1发现静态路由存在两条路径!察看ip Nat translationsRouter#sho ip nat translationsPro Inside global Inside local Outside local Outside globalicmp 192.168.1.2:1024 100.100.23.23:1024 1.1.1.1:1024 1.1.1.1:1024icmp 192.168.2.2:1280 100.100.24.23:1280 1.1.1.1:1280 1.1.1.1:1280由于路由器外部存在1.1.1.1的地址，用于模拟Internet公网地址，发现不同网段内部主机流量确实已经从不同出口访问外部资源，并且使用了不同Nat进行地址转换!注：大部分多ISP情况下都要使用NAT地址转换功能，但有些特殊情况下不需使用NAT功能，如果不是用NAT，就将配置中的有关NAT的配置去掉，如此配置中去掉ip nat inside source list 1 interface FastEthernet0/0 overload 和ip nat inside source list 2 interface FastEthernet0/1 overload以及在端口上去掉ip Nat outside和ip nat inside的配置，就可以实现不用NAT的策略路由。