NAT端口映射配图详解

ISG1000(V3.0)端口映射功能配置
1、如果内部有服务器需要映射到互联网，需要配置NAT端口映射。

2、缺省情况下，ISG1000在0口上设置了一个地址192.168.1.200/24，初始情况下使用网线
将PC机和ISG1000的0口相连，电脑上本地连接配置一个192.168.1.x/24网段的地址，如下图：
3、打开浏览器（推荐使用IE），在地址栏中输入https://192.168.1.200进入ISG1000的管理
界面，如果有证书校验，请直接选择跳过。

4、默认的用户名密码为admin/admin，输入此用户名和密码后，进入管理界面。

5、在资源管理---服务中，选择“自定义服务”标签，点击“新建”，新增一个服务，端口号为通过互联网访问服务器时需要使用的端口号，处于运营商限制等考虑，此处建议不要使用80，8000,8080等知名端口。

6、在资源管理---地址中，选择IPv4地址对象，选择“新增”增加地址选项，定义互联网接口地址。

7、在网络管理---NAT中，选择“地址池”标签，新增地址池，地址为服务器地址。

8、在网络管理---NAT中，选择“目的NAT”标签，源地址选择为any，目的地址选择为互联网接口地址，服务选择为之前定义的服务，接口选择为接入互联网的接口，转换类型选择为端口映射，转换后IP选择为服务器IP，端口输入提供服务的端口。

42张图详解NAT：换个马甲就能上网初识 NATIP 地址分为公网地址和私有地址。

公网地址有 IANA 统一分配，用于连接互联网；私有地址可以自由分配，用于私有网络内部通信。

随着互联网用户的快速增长，2019 年11 月25 日全球的公网IPv4 地址已耗尽。

在IPv4 地址耗尽前，使用NAT（Network Address Translation ）技术解决IPv4 地址不够用的问题，并持续至今。

NAT 技术的是将私有地址转换成公网地址，使私有网络中的主机可以通过少量公网地址访问互联网。

但NAT只是一种过渡技术，从根本上解决问题，是采用支持更大地址空间的下一代 IP 技术，即IPv6 协议，它提供了几乎用不完的地址空间。

NAT 技术IP 地址中预留了 3 个私有地址网段，在私有网络内，可以任意使用。

其余的 IP 地址可以在互联网上使用，由 IANA 统一管理，称为公网地址。

NAT 解决了 IPv4 地址不够用的问题，另外 NAT 屏蔽了私网用户真实地址，提高了私网用户的安全性。

典型的NAT 组网模型，网络通常是被划分为私网和公网两部分，各自使用独立的地址空间。

私网使用私有地址 10.0.0.0/24 ，而公网使用公网地址。

为了让主机 A 和 B 访问互联网上的服务器 Server ，需要在网络边界部署一台 NAT 设备用于执行地址转换。

NAT 设备通常是路由器或防火墙。

基本 NAT基本NAT是最简单的一种地址转换方式，它只对数据包的IP 层参数进行转换，它可分为静态 NAT和动态 NAT。

静态 NAT是公网 IP 地址和私有 IP 地址有一对一的关系，一个公网 IP 地址对应一个私有 IP 地址，建立和维护一张静态地址映射表。

动态 NAT是公网 IP 地址和私有 IP 地址有一对多的关系，同一个公网IP 地址分配给不同的私网用户使用，使用时间必须错开。

它包含一个公有 IP 地址池和一张动态地址映射表。

无线路由器NAT设置NAT （Network Address Tran slation ，网络地址转换）是1994 年提出的。

当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（in ternet）上正常使用，NAT可以使多台计算机共享In ter net 连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入In ternet 中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。

我以JCGJHR-N926R这款无线路由器为例跟大家分享分享NAT设置。

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN 口（接ADSL线口），而访问不到内部服务器。

要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。

这就是端口映射/端口转发。

有时也称为虚拟服务。

下面有三种NAT 的设置方案。

第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。

下面可以选择三种方案中的一种进行设置使用。

第二步：路由器的设置第一方案：端口转发 连接好路由器，进入路由器的设置界面 点 击“高级设置”一一点击“ NAT ，出现如下界面网搭瞰査无撲祓齐 MAT訪火煜 QOS| 幡口柚|DMZ1UPnPJ肆理■“IP 地址”这里填入您给服务器指定的 IP 地址（这个IP 必须的固定的，否则话，您的端口转发就不能成功）。

以此拓扑为例需求：1.在switch核心交换上划分3个vlan 分别是vlan2，vlan3，vlan4。

Vlan2为192.168.1.0网段，vlan3为192.168.2.0网段，vlan4为192.168.3.0网段2.配置基于端口的nat转发和端口映射。

Wan口IP：202.103.25.2 网关202.103.25.13.在router路由器上配置dhcp服务使各个vlan通过dhcp获得不同子网的ip。

Switch上的配置Router>en 进入特权模式Router#config terminal 进入全局模式Router(config)#host switch 改名以下几条为优化命令Switch(config)#no ip domain lookup 关闭域名查询Switch(config)#line console 0 进入控制通道Switch(config-line)#logging synchronous日志同步，光标跟随Switch(config-line)#exec-timeout 0 永不超时Switch(config-line)#exit 退出Switch(config)#exit 退出到特却模式创建vlanSwitch#vlan database 进入vlan数据库Switch（vlan）#vlan 2 name design 创建vlan2 给个名字design默认不加数字的话都是vlan1 所以vlan一般从 2开始,也可以不给名字直接（switch#vlan 2）创建一个vlan2Switch(vlan)#vlan 3 创建vlan3 不给名字Switch(vlan)#vlan 4 同理Switch(vlan)#exit 已经创建了3个vlan退出vlan数据库Switch#config ter 进入全局模式这里假设switch的fastEthernet0/0端口与router的fastethernet0/0口相连Switch(config)#interface f0/0 进入f0/0口的配置Switch(config-if)#switchport trunk encapsulation dot1q 封装trunk协议Switch(config-if)#switchport mode trunk 端口模式调成trunkSwitch(config-if)#no shut 开启Switch(config-if)#exit 退出Switch(config)#int range f0/1 – 5 同时配置f0/0到f0/1口Switch(config-if)#switchport access vlan 2 加入vlan2Switch(config-if)#no shutSwitch(config-if)#exit 退出Switch(config)#int range f0/6 – 10Switch(config-if)#switchport access vlan 3 6到10口加入vlan3Switch(config-if)#no shutSwitch(config-if)#exitSwitch(config)#int range f0/11 – 15 11到15口加入vlan4Switch(config-if)#switchport access vlan 4Switch(config-if)#no shutSwitch(config-if)#endSwitch#wr到此switch的配置全部完成假设router的f0/0端口与switch的f0/0连接，router的f1/0口连接外网,外网的IP地址是202.103.25.2/24 网关是202.103.25.1/24 需要将内网IP是192.168.1.2的设备的80端口映射到外网。

映射端口：介绍端口映射的作用及其配置采用端口映射（Port Mapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP 地址是属于局域网中服务器独有的。

所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。

所以解决这个问题的方法就是采用PM了。

端口映射在思科设备的配置：映射端口：路由器端口映射的原理及设置方法介绍端口映射其实就是我们常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

这时ADSL的外部地址只有一个，比如61.177.0.7。

而内部的IP是私有地址，比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。

在宽带路由器上如何实现NAT功能呢？一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。

虚拟服务器一般可以由用户自己按需定义提供服务的不同端口，而开放主机是针对IP地址，取消防火墙功能，将局域网的单一IP地址直接映射到外部IP之上，而不必管端口是多少，这种方式只支持一台内部电脑。

最常用的端口映射是在网络中的服务器使用的是内部私有IP地址，但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器，这里，我们就需要搞清楚所用服务的端口号，比如，HTTP服务是80，FTP 服务则是20和21两个端口。

这里我们以最常用的80端口为例，设置一个虚拟HTTP服务器，假设内部HTTP 服务器IP地址为10.0.0.10。

NAT、PAT、DMZ、端⼝映射、端⼝转发、UPNP前⾔：⼀般运营商宽带分为“运营商公⽹宽带”和“运营商内⽹宽带”，企业或者家庭中⽤公⽹宽带可以实现⼀些对外的服务器环境，但因为全球⽹络设备的增多，ipv4⽆法给所有⽹络设备分配地址，这时候便出现了“运营商内⽹宽带”，通过NAT和内⽹（局域⽹）、公⽹的⽅法解决了ipv4地址紧张问题，⽬前家庭宽带⼀般都是内⽹宽带（电信、联通个⼈可以申请公⽹IP，移动基本⽆法申请成功），也正是因为“运营商内⽹宽带”，所以⼀般家⽤宽带现在均⽆法实现在家建设对外服务器，不过可以通过内⽹穿透等技术实现，本⽂不做过多阐述。

本⽂中的DMZ、端⼝映射、端⼝转发、UPNP只有在“运营商公⽹宽带”中⽤来做对外web服务器或远程跳板机等才有意义，所以⽤它们之前，你得有个公⽹宽带。

这⾥提供⼀种如何查看⾃⼰是否有公⽹IP的⽅法：打开百度输⼊“IP”进⾏搜索，会跳出来⼀个IP地址，然后你打开路由器设置界⾯，查看WAN的IP地址，如果这两个IP地址⼀模⼀样，那么恭喜你，你拥有⼀个公⽹IP。

如果不⼀样就不是公⽹IP。

下⾯是简单画的俩张运营商宽带⽹络图：对⽐这俩张图可以发现内⽹宽带⽐公⽹宽带在运营商那边多了⼀个NAT，相当于保留地址实际就是运营商那边的⼀个局域⽹IP，当然图⽚只是⽰意，运营商那边可能不⽌⼀个NAT（某动的宽带就有⼤量这种⾏为，⼀层⼀层的NAT，这也是为什么某动宽带有些⽹站打不开的原因之⼀），⽽这也是为什么内⽹宽带⽆法做对外服务器的原因，左图公⽹宽带只要设置路由器中的NAT（静态端⼝映射）内⽹IP+内⽹端⼝和公⽹IP+端⼝对应就能实现内⽹主机与公⽹主机的双向访问，⽽右图中尽管路由设置了NAT（静态端⼝映射），此时也只是实现了保留地址与局域⽹的对应关系，在运营商部分的NAT是PAT（动态端⼝映射），即⼀个公⽹IP，通过多个不同端⼝来映射内⽹设备，当没有连接时，映射将会取消，再次连接时再⾃动分配⼀个映射端⼝，且个⼈⽆法进⾏设置对应关系，所以内⽹IP+端⼝映射到最后的公⽹IP+未知端⼝上，此时局域⽹中的主机只能访问公⽹中其他主机，⽽公⽹中其他主机因为找不到局域⽹中映射的公⽹具体端⼝，不能访问局域⽹主机，针对这种情况，我个⼈有个想法，就是通过扫描最后的公⽹IP开放端⼝，然后⼀个端⼝⼀个端⼝进⾏连接测试，最终应该会找到映射的那个端⼝，不过这种⽅法不够现实。

nat网关添加端口映射 [BitComet] NAT网关添加端口映射BitComet自动端口映射•BitComet"选项"->"网络连接“中设置允许使用UPnP自动端口映射。

公网用户不需要进行端口映射，建议关闭。

注意：用户所使用的宽带路由器/ADSL Modem必须支持UPnP功能，设备是否具备此功能可查阅说明书或者直接咨询厂家。

•使用UPnP自动端口映射成功后，在BitComet"任务信息面板"->"统计“，可以看到NAT端口映射”已添加”。

•步骤一：进入路由器设置界面，启用UPNP功能。

【没有权限设置路由器的用户跳过】•步骤二：网上邻居：左侧”网络任务”最下面一行“显示联网的UPNP设备图标”，点击安装组件，打开相关服务。

•提示：如何验证安装成功？1.打开Windows“控制面板”→“添加或删除程序”→“添加删除Windows组件”：“Windows组件向导”→“网络服务”→“详细信息”。

确认已经安装”Internet网关设备发现和控制客户端”和”UPnP用户界面”。

2.打开Windows“控制面板”→“管理工具”→“服务”。

确认”SSDP Discovery Service”“已启动”。

3. 打开Windows“控制面板”→“Windows防火墙”→“例外”：确认已勾选”UPnP 框架”。

•步骤三：断开网络连接，重新连接网络。

你会看到Windows系统托盘提示找到新设备，同时在”网络连接”中看到Internet网关设备。

【若看不到网关设备，可能是路由器没有打开UPnP功能，或者第三方防火墙阻止】•步骤四：在”网络连接”中，Internet网关设备图标鼠标右键，选择”属性”。

再在网关连接属性对话框中，点击”设置”。

•步骤五：在高级设置对话框中，点击”添加”。

依次输入：服务名称、本机在局域网中的IP地址、BitComet监听端口号、协议类型。

TP-LINK TL-R410 端口映射以架设web server 为例：路由器内网ip 192.168.1.1，web server的内网地址为192.168.1.50；1。

首先登陆到路由器的Web管理界面2。

点击左边“转发规则”前面的‘＋’号3。

在展开的菜单里面点击‘虚拟服务器’4。

在右边服务器端口下面填‘211’，ip地址下面填‘50’，协议选择‘TCP’，在‘启用’下面打勾5。

点击‘保存’之后即可TP-LINK TD-8800NA T端口映射以架设web server为例，路由器内网地址192.168.1.1，web server的内网地址为192.168.1.2：首先登陆路由器Web管理界面:在服务表单单击网络地址转换，在NA T Option选择NA T Rule Entry。

点击添加，并填入相应参数：请参照下图：管家婆软件请将端口改为（211）设置完成后点击提交就行了。

具体参数说明如下：Rule Flavor: 规则种类。

Basic Rule：提供保留IP到W AN IP的地址翻译，但是端口不发生变化。

Filter Rule：象Basic Rule一样提供保留IP到公网IP的转换，但是这种翻译只有当本地相应IP发出访问特定IP和特定服务（Web/FTP）时才发生。

NAPT Rule：系统的出厂缺省设置。

这种设置将局域网的保留IP地址和端口翻译为公网的单一IP地址和在NA T全局配置中规定的端口。

这种方式提供对LAN的最安全的保护。

Bimap Rule：此方式将局域网中的某台PC（IP）完全透明对应到公网的IP，这样许多复杂的应用如MSN 话音，网络游戏可以在这台PC正常运行。

RDR Rule：通过地址和端口的配置，使Internet上的用户可以通过访问路由器的广域网IP来访问内部网络提供的诸如Web Server或FTP Server服务。

Pass Rule：尽管很多设定的规则会翻译局域网保留IP到公网IP，但可以通过设置PASS rule将某些固定IP 不能翻译为W AN IP。

VMware NAT端口映射外网可以访问内网虚拟机在虚拟机VMware上安装了win2003的web服务器，为了使因特网上的其他主机能够访问我的虚拟机上的web服务，需要对这个虚拟机VMware NAT 端口映射配置。

具体如下：首先说明一下我的操作系统环境，主机是一台winxp，安装了虚拟机软件Vmware6.5版，虚拟机是win2003版的web服务器，虚拟机利用VMnet8网络连接主机。

要求：用户通过因特网上的其他主机能够访问我在虚拟机中架设的win2003的WEB服务，就是我的网站。

虚拟机WIN2003的IP为 192.168.10.4，真实主机XP系统有两个IP，内网连接虚拟IP地址为192.168.10.1，外网真实IP为221.196.193.220。

外网其他计算机可以通过访问我的真实主机221.196.193.220，访问到虚拟机win2003的WEB网站。

再来说下原理，因为 WEB服务是利用80端口，所以在Win2003上建立了WEB服务，80也就自动被打开，因为Win2003是内网虚拟ip（192.168.10.4），外网无法直接访问这个地址，也就无法直接访问我的虚拟机上的网站服务，但是可以通过外网地址（221.196.193.220）访问我的XP系统，XP又能连接到Win2003，所以把80映射到我的Winxp的系统上是有可能的!接下来说实际操作，打开--编辑--虚拟网络设置--NAT选项卡，选择编辑，打开NAT设置，这里保持默认就可以，如果你对你自己的网络很熟悉，可以更改网关等项目。

直接打开端口转递，这里就是NAT的端口映射配置了，用实例的WEB服务举例，因为WEB属TCP连接，所以在TCP上做个转换，点击添加主机端口，填入真实主机要被转换的端口8001，这里我在真实的主机上http:// 221.196.193.220:8001举了个例子。

虚拟机IP地址192.168.10.4,填入内网虚拟机的IP,服务端口80,对应那个服务就填入哪个端口,你可以参考其他文章,常用端口。

网外(Internet)访问代理服务器内部的实现方法作者：Zealous JulyEmail：zsj008od@鲨鱼丸ID：zsj008odThursday, May 30, 2002 由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

映射端口介绍端口映射的作用及其配置采用端口映射（PortMapping）的方法，可以实现从Internet到局域网内部机器的特定端口服务的访问。

例如，你所使用的机子处于一个连接到Internet的局域网内，你在机子上所开的所有服务（如FTP），默认情况下外界是访问不了的。

这是因为你机子的IP是局域网内部IP，而外界能访问的只有你所连接的服务器的IP，由于整个局域网在Internet上只有一个真正的IP地址，而这个IP地址是属于局域网中服务器独有的。

所以，外部的Internet登录时只可以找到局域网中的服务器，那你提供的服务当然是不起作用的。

所以解决这个问题的方法就是采用PM了。

端口映射在思科设备的配置：[pre]router(config)#ip nat inside source static tcp 10.10.10.1 22 210.10.8.1 22 extendablerouter(config)#ip nat inside source static tcp 10.10.10.2 80 210.10.8.1 80 extendable[/pre]映射端口：路由器端口映射的原理及设置方法介绍端口映射其实就是我们常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址，采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。

这时ADSL的外部地址只有一个，比如61.177.0.7。

而内部的IP是私有地址，比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。

在宽带路由器上如何实现NAT功能呢？一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。

虚拟服务器一般可以由用户自己按需定义提供服务的不同端口，而开放主机是针对IP地址，取消防火墙功能，将局域网的单一IP地址直接映射到外部IP之上，而不必管端口是多少，这种方式只支持一台内部电脑。

端口映射1. 什么是端口映射？端口映射又称端口转发。

端口映射过程就如同你家在一个小区里B栋2410室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的保安，保安很客气的告诉了他你家详细门牌号，这样你朋友很轻松的找到了你家。

这个过程就是外网访问内网通过端口映射的形象说法。

2. 为什么要做端口映射？目前的网络接入主要有2种：1.ADSL连接猫再直接连接主机，这种情况主机是直接进行ADSL宽带拨号，连接上网通过运行CMD执行ipconfig /all命令可以查看到，PPP拨号连接所获取到得是一个公网IP地址，这种类型的网络是不需要做端口映射的（如图）2.ADSL通过路由器来进行拨号，主机通过路由器来进行共享上网，这种情况下主机获取到得通常会是一个192.168.x.x类型的私有内网IP地址，这类情况下，是需要在路由器做端口映射，转发端口到对应的服务器上；3内网IP的端口映射设置方法一要进行端口映射，首先需要了解清楚服务程序所需要映射的端口是多少以下列举了部分服务需要映射的默认服务端口号网站TCP80FTP TCP21(控制端口) TCP20（此端口为数据传输端口，不需要映射）管家婆财务软件TCP211 TCP80 TCP1433海康威视硬盘录像机TCP80（WEB端口）TCP8000（视频数据端口）邮件服务SMTP TCP25 POP3 TCP110MSSQL数据库TCP1433视频采集卡不同厂家所使用的默认端口均不一样5050 8000 9000-9002 37777等TP-Link、D-Link、LINKSYS主流品牌端口映射设置3.1 Tp-link R460+内网192.168.1.101是WEB服务器，TP-LINK系列路由器的默认管理地址为192.168.0.1，账号admin密码admin 登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目(如图)。

端口映射设置如下：服务端口号填写80，如果填写为80-82则代表映射80、81、82端口，IP地址填写内网WEB服务器的IP地址192.168.1.101，协议设置为TCP,若对端口协议类型不了解可以设置选择为ALL，代表所有（包括TCP 和UDP），状态必须设置为生效。

内网的一台电脑要上因特网，就需要端口映射端口映射分为动态和静态动态端口映射:内网中的一台电脑要访问新浪网，会向NAT网关发送数据包，包头中包括对方(就是新浪网)IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。

然后再把数据发给新浪网，新浪网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯.当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实就是NAT网关的工作方式。

静态端口映射:就是在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网哪个IP和端口，不管有没有连接，这个映射关系都会一直存在。

就可以让公网主动访问内网的一个电脑NAT网关可以是交换机、路由器或电脑。

现在很多关于端口映射的文章都严重的误导人，许多不懂的人把端口映射软件用在自己的电脑上，其实端口映射是要在网关上做的！！！而网关很少是电脑，大部分人也不能控制网关，所以那几个端口映射的软件基本没用。

什么是内网、内网TrueHost、什么是公网、什么是NAT公网、内网是两种Internet的接入方式。

内网接入方式：上网的计算机得到的IP地址是Inetnet上的保留地址，保留地址有如下3种形式：10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。

内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。

公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。

公网的计算机和Internet上的其他计算机可随意互相访问。

NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网IP地址，减少对公网IP地址的占用。

nat转换和端口映射 2012年03月31日来源：作者：佚名收藏本文R1(config)#ip Nat inside source static 192.168.1.100 202.99.65.34 这就将外网的ip202.99.65.34对应到了内网的192.168.1.100，所有访问202.99.65.34的流量都会转发到192.168.1.100上，是一个完整的地址映射。

但我们往往不需要访问所有的端口，命令如下R1(config)# ip Nat inside source static tcp 192.168.1.100 80 202.99.65.34 80 只映射了80端口，也可以把80端口映射到另外的端口比如8080，命令如下R1(config)# ip Nat inside source static tcp 192.168.1.100 80 202.99.65.34 8080 上面说的是有另外的ip的时候。

当只有一个外网ip，而且这个外网IP已经做了接口Nat转换，命令就要改一改了：R1(config)# ip Nat inside source static tcp 192.168.1.100 80 202.99.65.34 80 extendable 要加上extendable这个关键词。

其中192.168.1.100代表内网地址，202.99.65.34代表外网或公网地址。

一例：cisco#show runBuilding configuration...Current configuration : 4468 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecservice password-encryption!hostname cisco!boot-start-markerboot-end-marker!enable secret 5 $1$uCl3$pSK7YYoEBEZ/zXM3gNpIM1!no network-clock-participate aim 0no network-clock-participate aim 1no aaa new-modelip subnet-zero!!ip cef!ip dhcp pool matsushnetwork 192.168.1.0 255.255.255.0default-router 192.168.1.254dns-server 202.96.209.6 202.96.209.133!!vpdn enable!vpdn-group matsu!no ftp-server write-enable!!!!interface FastEthernet0/0description connect to ispip address 222.66.83.10 255.255.255.252ip access-group 110 inip Nat outsideduplex autospeed auto!interface FastEthernet0/1description connect to lanip address 192.168.1.254 255.255.255.0ip Nat insideduplex autospeed auto!ip classlessip route 0.0.0.0 0.0.0.0 222.66.83.9ip http serverip Nat log translations syslogip Nat service allow-h323-keepaliveip Nat inside source list 101 interface FastEthernet0/0 overloadip Nat inside source static tcp 192.168.1.88 21 222.66.83.10 21 extendableip Nat inside source static tcp 192.168.1.88 25 222.66.83.10 25 extendableip Nat inside source static tcp 192.168.1.88 80 222.66.83.10 80 extendableip Nat inside source static tcp 192.168.1.251 1720 222.66.83.10 1720 extendable ip Nat inside source static tcp 192.168.1.251 1721 222.66.83.10 1721 extendable ip Nat inside source static tcp 192.168.1.251 3230 222.66.83.10 3230 extendable ip Nat inside source static udp 192.168.1.251 3230 222.66.83.10 3230 extendable ip Nat inside source static tcp 192.168.1.251 3231 222.66.83.10 3231 extendable ip Nat inside source static udp 192.168.1.251 3231 222.66.83.10 3231 extendable ip Nat inside source static tcp 192.168.1.251 3232 222.66.83.10 3232 extendable ip Nat inside source static udp 192.168.1.251 3232 222.66.83.10 3232 extendable ip Nat inside source static tcp 192.168.1.251 3233 222.66.83.10 3233 extendable ip Nat inside source static udp 192.168.1.251 3233 222.66.83.10 3233 extendableip Nat inside source static tcp 192.168.1.251 3234 222.66.83.10 3234 extendable ip Nat inside source static udp 192.168.1.251 3234 222.66.83.10 3234 extendable ip Nat inside source static tcp 192.168.1.251 3235 222.66.83.10 3235 extendable ip Nat inside source static udp 192.168.1.251 3235 222.66.83.10 3235 extendable ip Nat inside source static udp 192.168.1.251 3236 222.66.83.10 3236 extendable ip Nat inside source static udp 192.168.1.251 3237 222.66.83.10 3237 extendable ip Nat inside source static udp 192.168.1.251 3238 222.66.83.10 3238 extendable ip Nat inside source static udp 192.168.1.251 3239 222.66.83.10 3239 extendable ip Nat inside source static udp 192.168.1.251 3240 222.66.83.10 3240 extendable ip Nat inside source static udp 192.168.1.251 3241 222.66.83.10 3241 extendable ip Nat inside source static udp 192.168.1.251 3242 222.66.83.10 3242 extendable ip Nat inside source static udp 192.168.1.251 3243 222.66.83.10 3243 extendable ip Nat inside source static udp 192.168.1.251 3244 222.66.83.10 3244 extendable ip Nat inside source static udp 192.168.1.251 3245 222.66.83.10 3245 extendable ip Nat inside source static udp 192.168.1.251 3246 222.66.83.10 3246 extendable ip Nat inside source static udp 192.168.1.251 3247 222.66.83.10 3247 extendable ip Nat inside source static udp 192.168.1.251 3248 222.66.83.10 3248 extendable ip Nat inside source static udp 192.168.1.251 3249 222.66.83.10 3249 extendable ip Nat inside source static udp 192.168.1.251 3250 222.66.83.10 3250 extendable ip Nat inside source static udp 192.168.1.251 3251 222.66.83.10 3251 extendable ip Nat inside source static udp 192.168.1.251 3252 222.66.83.10 3252 extendable ip Nat inside source static udp 192.168.1.251 3253 222.66.83.10 3253 extendable ip Nat inside source static tcp 192.168.1.88 3389 222.66.83.10 3389 extendable ip Nat inside source static 192.168.1.88 222.66.83.10!!access-list 101 permit ip 192.168.1.0 0.0.0.255 anyaccess-list 101 permit tcp any host 222.66.83.10 eq smtpaccess-list 103 permit tcp any host 222.66.83.10 eq ftpaccess-list 110 permit ip any host 192.168.1.88access-list 110 permit ip any anyaccess-list 110 permit tcp any 0.0.0.2 255.255.255.252 eq www!control-plane!!line con 0password 7 0834484C0C0D02loginline aux 0password 7 0834484C0C0D02loginline vty 0 4⊙该文章转自[大赛人网站(技能大赛技术资源网)] 原文链接：/ruijie/21021512061.html。

华为路由器网络地址转换（NAT）配置easy IP 多对一静态NAT配置：1、AR1、AR2配置地址<Huawei>sy[Huawei]undo info-center enable[Huawei]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.1 24 //配置外网地址[Huawei-GigabitEthernet0/0/0]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip add 192.168.1.1 24 //配置内网地址[Huawei-GigabitEthernet0/0/1]quitAR2：[Huawei]undo info-center enable[Huawei]int l0[Huawei-LoopBack0]ip add 2.2.2.2 24[Huawei-LoopBack0]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24[Huawei-GigabitEthernet0/0/0]quit2、AR1上配置NAT[Huawei]acl 2000[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //允许用于转换的内网地址[Huawei-acl-basic-2000]rule deny[Huawei-acl-basic-2000]quit[Huawei]interface g0/0/0[Huawei-GigabitEthernet0/0/0]nat outbound 2000 //nat转换的为acl2000中的地址默认将acl2000中的内网地址转换为外网接口地址1.1.1.1[Huawei-GigabitEthernet0/0/0]quit[Huawei][Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 //配置缺省路由配置端口映射，将内网服务器的80端口映射为一个外网地址的80端口，从而使外网能够访问内网的www服务器。

网外(Internet)访问代理服务器内部的实现方法由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。