思科NAT详解

思科路由器NAT配置详解思科路由器NAT配置详解一、介绍在计算机网络中，网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

NAT主要用于连接不同IP地质的网络之间进行通信，常用于家庭和办公网络。

二、NAT的基本概念1、NAT的作用NAT的主要作用是解决IPv4地质不足的问题，同时也可以提高网络的安全性。

2、NAT的类型NAT有三种类型：静态NAT、动态NAT和PAT（端口地质转换）。

3、静态NAT静态NAT将指定的内部IP地质映射到一个外部IP地质，使得内部网络上的设备可以通过外部IP地质进行访问。

4、动态NAT动态NAT是根据内部网络的需求，将一个或多个内部IP地质动态地映射到一个外部IP地质。

当内部网络设备需要访问外部网络时，才会动态地进行映射。

5、PATPAT是一种特殊的动态NAT，它将多个内部IP地质映射到一个外部IP地质，使用不同的端口号区分不同的内部地质。

三、NAT的配置步骤1、确定NAT的类型在进行NAT配置之前，需要确定所需的NAT类型，是静态NAT、动态NAT还是PAT。

2、配置内部和外部接口需要配置内部和外部接口的IP地质，使路由器能够正确地识别内部和外部网络。

3、配置NAT池对于动态NAT和PAT，需要配置一个NAT池，包含可用的外部IP地质。

4、配置NAT规则根据需求，配置适当的NAT规则，包括内部地质和端口号与外部地质和端口号的映射关系。

四、附件本文档没有涉及到附件。

五、法律名词及注释1、IPv4地质：互联网协议第四版本（Internet Protocol version 4，简称IPv4）中使用的32位地质，用于标识网络上的设备。

2、NAT：网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

随着Internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。

为了解决这个问题，出现了多种解决方案。

下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。

一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS 为11.2版本以上支持NAT功能)。

普通静态NAT（sisco）网络拓朴如下：静态NAT是设置内部IP和外部IP一对一的转换，将某个私有IP地址固定的映射成为一个合法的公有IP。

命令格式：Router(config-if)#ip nat inside ；当前接口指定为内部接口Router(config-if)#ip nat outside ；当前接口指定为外部接口Router(config)#ip nat inside source static <私有IP><公网IP>在内部接口上，静态映射私有IP为公网IP。

思科路由器如何配置NAT功能很多网络技术上的新手，还不知道如何配置思科路由器的NAT功能。

不过没关系，看完小编这个文章应该对你帮助会很大。

那么接下来就让小编来教你如何配置思科路由器NAT功能吧。

首先，小编必须要介绍下什么是NAT。

NAT，英文全称为Network Address Translation，是指网络IP 地址转换。

NAT的出现是为了解决IP日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址。

这样，就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。

如我们局域网中的192.168.1.1地址段属私网地址，就是通过NAT转换过来的。

NAT分为静态地址转换、动态地址转换、复用动态地址转换。

下面是小编将列出思科路由器NAT配置实例，希望对您有所帮助。

Current configuration:!version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname 2611!enable secret 5 $JIeG$UZJNjKhcptJXHPc/BP5GG0enable password 2323ipro!ip subnet-zerono ip source-routeno ip finger!!!interface Ethernet0/0ip address 192.168.10.254 255.255.255.0 secondary ip address 218.27.84.249 255.255.255.248no ip directed-broadcastip accounting output-packetsno ip mroute-cacheno cdp enable!interface Serial0/0ip unnumbered Ethernet0/0no ip directed-broadcastip accounting output-packetsip nat outsideno ip mroute-cacheno fair-queueno cdp enable!interface Ethernet0/1ip address 192.168.2.254 255.255.255.0no ip directed-broadcastip nat insideno ip mroute-cacheno cdp enable!interface Virtual-T okenRing35no ip addressno ip directed-broadcastno ip mroute-cacheshutdownring-speed 16!router ripredistribute connectednetwork 192.168.2.0network 192.168.10.0network 218.27.84.0!ip default-gateway 218.27.127.217ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249ip classlessip route 0.0.0.0 0.0.0.0 Serial0/0ip http serverip http port 9091ip ospf name-lookup!ip access-list extended filterinpermit tcp any host 218.27.84.249 eq www reflect httpfilter access-list 1 permit 192.168.2.0 0.0.0.255no cdp run!line con 0transport input noneline aux 0line vty 0 4password routrlogin!end按照步骤敲完这些代码，那么你应该就会了解到如何配置思科路由器NAT功能了。

不支持故障切换global (outside) 1global (outside) 1global (outside) 1定义内部网络地址将要翻译成的全局地址或地址范围nat (inside) 0 access-list 101使得符合访问列表为101地址不通过翻译，对外部网络是可见的nat (inside) 1 0 0内部网络地址翻译成外部地址nat (dmz) 1 0 0DMZ区网络地址翻译成外部地址static (inside,outside) netmask 0 0static (inside,outside) netmask 0 0static (inside,outside) netmask 0 0设定固定主机与外网固定IP之间的一对一静态转换static (dmz,outside) netmask 0 0设定DMZ区固定主机与外网固定IP之间的一对一静态转换static (inside,dmz) netmask 0 0设定内网固定主机与DMZ IP之间的一对一静态转换static (dmz,outside) netmask 0 0设定DMZ区固定主机与外网固定IP之间的一对一静态转换access-group 120 in interface outsideaccess-group 120 in interface insideaccess-group 120 in interface dmz将访问列表应用于端口conduit permit tcp host anyconduit permit tcp host anyconduit permit tcp host anyconduit permit tcp host any设置管道：允许任何地址对全局地址进行TCP协议的访问conduit permit icmp any设置管道：允许任何地址对rip outside passive version 2rip inside passive version 2route outside设定默认路由到电信端route inside 1route inside 1route inside 1route inside 1route inside 1route inside 1route inside 1route inside 1route inside 1route inside 1设定路由回指到内部的子网timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absoluteaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server LOCAL protocol localno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable trapsfloodguard enablesysopt connection permit-ipsecsysopt connection permit-pptpservice resetinboundservice resetoutsidecrypto ipsec transform-set myset esp-des esp-md5-hmac。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

思科交换机NAT配置介绍及实例CISCONAT 配置一、NAT简介NAT（Network Address Translation）的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、NAT的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），—个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能（本文事例所用路由器为C isco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址(Inside local address )：分配给内部网络中的计算机的内部IP地址。

内部合法地址(Inside global address)：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。

C I S C O N A T配置一、NAT简介NATNetwork Address Translation的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请;在网络内部,各计算机间通过内部的IP地址进行通讯;而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备比如：路由器负责将其内部的IP地址转换为合法的IP地址即经过申请的IP地址进行通信;二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT 设置的内部IP地址;情况2：一个企业申请的合法Internet IP地址很少,而内部网络用户很多;可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信;三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口Inside,一个外部端口Outside;内部端口连接的网络用户使用的是内部IP地址;内部端口可以为任意一个路由器端口;外部端口连接的是外部的网络,如Internet ;外部端口可以为路由器上的任意端口;设置NAT功能的路由器的IOS应支持NAT功能本文事例所用路由器为Ｃisco2501,其IOS为版本以上支持NAT功能;四、关于NAT的几个概念：内部本地地址Inside local address：分配给内部网络中的计算机的内部IP地址;内部合法地址Inside global address：对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址;需要申请才可取得的IP地址;五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换;1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换;如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务;静态地址转换基本配置步骤：1、在内部本地地址与内部合法地址之间建立静态地址转换;在全局设置状态下输入：Ip nat inside source static 内部本地地址内部合法地址2、指定连接网络的内部端口在端口设置状态下输入：ip nat inside3、指定连接外部网络的外部端口在端口设置状态下输入：ip nat outside注：可以根据实际需要定义多个内部端口及多个外部端口;实例1：路由器2501的配置：Current configuration：配置完成后可以用以下语句进行查看：show ip nat statistcsshow ip nat translations2、动态地址转换适用的环境：动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换;动态地址转换基本配置步骤：1、在全局设置模式下,定义内部合法地址池ip nat pool 地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定;2、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换;Access-list 标号 permit 源地址通配符其中标号为1-99之间的整数;3、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换;ip nat inside source list 访问列表标号 pool内部合法地址池名字4、指定与内部网络相连的内部端口在端口设置状态下：ip nat inside5、指定与外部网络相连的外部端口Ip nat outside实例2：Current configuration：3、复用动态地址转换适用的环境：复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址;只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用;注意：当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机;复用动态地址转换配置步骤：在全局设置模式下,定义内部合地址池ip nat pool 地址池名字起始IP地址终止IP地址子网掩码其中地址池名字可以任意设定;在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换;access-list 标号 permit 源地址通配符其中标号为1－99之间的整数;在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换;ip nat inside source list 访问列表标号 pool 内部合法地址池名字overload在端口设置状态下,指定与内部网络相连的内部端口ip nat inside在端口设置状态下,指定与外部网络相连的外部端口ip nat outside2501的配置Current configuration：。

动态、静态NAT体会：1.静态路由：（1）将各个接口的IP地址配置好（并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样）。

Router(config)#interface serial 2/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#clock rate 9600Router(config-if)#no shutdown（2）配置静态路由。

要连通几个与该路由器不直接相连的网段就必须设置几条路由。

Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1目标网段目标网络子网掩码下一跳IP地址（3）查看路由表：Router#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, FastEthernet1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0S 192.168.3.0/24 [1/0] via 192.168.5.2S 192.168.4.0/24 [1/0] via 192.168.5.2C 192.168.5.0/24 is directly connected, Serial2/0（3）各个网段的终端要想相互ping得通，这些终端就得设置网关。

思科交换机NAT配置介绍及实例思科交换机（Cisco Switch）是企业级网络设备中最常用的一种。

与传统的路由器不同，交换机主要用于在局域网（LAN）内部提供数据包的转发和过滤功能。

然而，在一些情况下，我们可能需要使用交换机进行网络地址转换（NAT）来实现特定的网络部署需求。

本文将介绍思科交换机的NAT配置方法，并提供实例说明。

1.NAT概述网络地址转换（NAT）是一种在不同网络之间转换IP地址的技术。

它主要用于解决IPv4地址空间的短缺问题，并允许多个主机通过一个公网IP地址来访问互联网。

NAT实现了将内部网络地址与外部IP地址之间进行映射，使得内部主机可以通过共享公网IP地址来与外部网络进行通信。

2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤：步骤1：创建访问控制列表（ACL）访问控制列表（Access Control List）用于定义需要进行NAT转换的数据包。

我们可以根据源地址、目标地址、端口等条件来配置ACL，以确定哪些数据包需要进行NAT转换。

例如，下面是一条配置ACL的命令示例：access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。

步骤2：创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。

我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。

例如，下面是一条配置NAT池的命令示例：ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池，其中可用的IP地址范围为203.0.113.1至203.0.113.10。

步骤3：创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。

我们可以通过配置NAT类型（静态/动态）、内部地址、外部地址等参数来创建NAT规则。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

一：NAT简介：network address translation 网络地址转换二：NAT分类：静态、动态、PAT.三：网络实验拓扑：四：基本配置;Switch 0:傻瓜式交换机Router 0：interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0ip nat inside //将接口标记为内部接口duplex autospeed auto!interface FastEthernet0/1ip address 202.106.0.1 255.255.255.0ip nat outside ////将接口标记为外部接口duplex autospeed auto!router ripnetwork 202.106.0.0!Router 1：interface FastEthernet0/0ip address 202.106.0.2 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 202.106.1.1 255.255.255.0duplex autospeed auto!router ripnetwork 202.106.0.0network 202.106.1.0!五:静态NAT：配置如上后，PC0 和PC1 只能ping通router0 的FA0/1口，无法ping通PC2 ，而router0 是可以ping通PC2 的，现在在router0 上作nat，使PC0 能够ping通PC2.Router(config)#ip nat inside source static 192.168.0.2 202.106.0.3此时路由器将192.168.0.2这个内网地址转换成了202.106.0.3这个外网地址，则PC0就可以ping通PC2了，但PC1是不可以的，除非也敲个静态转换命令，但假若地址转换过多咧？谁原意一遍遍的重复相同的动作?!六：动态NAT:上面讲到为了节省操作员的工作，动态NAT给我们带来了方便，只需要三个命令即可实现。

NAT详解及CISCO路由器上的实现方法NAT（Network Address Translation）是一种网络协议，用于将私有IP地址转换为公共IP地址，以实现内部网络与外部网络的互联。

NAT的原理是通过在路由器或防火墙中进行IP地址转换，将内部网络的私有IP地址与公共IP地址进行映射。

这样，内部网络的用户可以通过公共IP地址访问互联网，而对外部网络来说，只能看到路由器的公共IP地址，无法直接访问内部网络的私有IP地址，从而提高了网络的安全性。

在CISCO路由器上，可以通过以下步骤实现NAT：1.确定内部网络和外部网络的接口：在CISCO路由器上，需要为内部和外部网络分配两个不同的接口。

内部网络通常是一个局域网，外部网络通常是连接到互联网的广域网接口。

2. 创建ACL（Access Control List）：创建一个ACL，用于定义需要进行NAT转换的内部网络地址范围。

3.创建NAT池：创建一个NAT池，用于分配公共IP地址给内部网络的私有IP地址。

4.创建NAT转换规则：设置NAT转换规则，将内部网络的私有IP地址映射到NAT池中的公共IP地址。

5.将ACL与NAT转换规则绑定：将ACL与NAT转换规则进行绑定，以确保只有满足ACL条件的数据包才会进行NAT转换。

6.应用配置：最后，将配置应用到路由器上，使其生效。

下面是一个详细的例子，展示如何在CISCO路由器上配置NAT：```interface GigabitEthernet0/0ip address 192.168.10.1 255.255.255.0ip nat insideinterface GigabitEthernet0/1ip address 203.0.113.1 255.255.255.0ip nat outsideaccess-list 1 permit 192.168.10.0 0.0.0.255ip nat pool NATPOOL 203.0.113.5 203.0.113.10 netmask255.255.255.0ip nat inside source list 1 pool NATPOOL overload```在上述配置中，GigabitEthernet0/0接口为内部网络接口，GigabitEthernet0/1接口为外部网络接口。

一、NAT简介：1.NAT（Network Address Translation）网络地址转换。

2.最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中。

3.NAT最主要的作用是为了缓解IPv4地址空间的不足。

4.同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换操作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器；5.改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。

6.但是利还是要大于弊的，不然也不会学习它了！最新的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。

二、NAT术语：比较难理解，所以这里用最明了的语言总结如下1.内部本地地址（inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。

（待转换的地址）2.内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。

3.外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。

4.外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。

三、NAT配置详解：1.静态NAT：将一个私有地址和一个公网地址一对一映射的配置方法，这种方式不能节省IP，通常只为需要向外网提供服务的内网服务器配置。

如图所示：PC1地址：192.168.0.2/24PC2地址：192.168.0.3/24R1 E0/0地址：192.168.0.1/24R1 S0/0地址：202.106.0.1/24R2 S0/0地址：202.106.0.2/24R2 E0/0地址：202.106.1.1/24PC3地址：202.106.1.2/24 (模拟公网服务器)各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要为192.1 68.0.0网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也不叫私有地址了）路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S 0/0，再向前就ping不通了。

思科NAT详解6.16 网络地址转换（NAT）NAT也称为IP地址伪装，可以用来将在一个网络（内部网络）中使用的IP地址转换成在另一个网络（外部网络）中使用的IP地址。

NAT技术主要用于隐藏内部网络的IP地址（使用RFC 1918私有地址）。

这种伪装技术可以用来隐藏真实的网络身份，因此可以视为一种安全技术。

NAT设备会执行以下两个进程。

1．用一个映射的地址取代一个真实的地址，这个映射地址是在目的网络中可路由的地址。

2．为返回流量执行反向地址转换。

防火墙状态化监控会通过维护一个转换表来跟踪所有穿越安全设备的连接，同时通过这个列表，设备可以查找到数据包先前出站请求时的源地址，以此来验证入站数据包的目的地址并将它转发过去。

6.16.1 NAT控制（NAT Control）防火墙始终是最应支持NAT的设备，因为它要最大程度地保障网络的灵活性和安全性。

在最新版本的安全设备上，它可以实现NAT控制功能。

当外部通信需要用到地址转换规则的时候，NAT控制功能会接管防火墙，并且确保地址转换行为与7.0之前的版本是一致的。

NAT控制特性按照如下方式工作。

如果禁用NAT控制功能，防火墙在没有配置NAT规则的情况下会转发所有从较高安全级别接口（如内部接口）去往较低安全级别接口（如外部接口）的流量。

当流量从较低安全级别接口去往较高安全级别接口时，防火墙只会放行那些能够与访问列表匹配的流量。

在这种模式下，不需要配置NAT规则。

如果启用NAT控制功能，设备会使用NAT（这种情况下必须配置NAT）来匹配需求。

当NAT 控制功能启用时，从较高安全级别接口（如内部接口）去往较低安全级别接口（如外部接口）的数据包也必须匹配某条NAT规则，否则这个数据包就会被丢弃（把nat命令与global或static命令结合使用）。

从较低安全级别接口去往较高安全级别接口的流量也需要进行NAT 转换，而访问列表中有匹配项的流量可以通过防火墙并得到转发。

网络地址转换NAT企业内网采用私有IP ，不能直接访问互连网。

原因：ISP的路由器没有私有IP地址的路由。

解决办法:→NAT1、当R把数据发向Internet时，将私有IP改写为公有IP,相当于数据是从R发出。

被ISP的R路由到目标。

2、当数据返回时，发给R。

R再依据NA T转换表，将目标改写为原来私有IP送回内网。

NAT的分类及应用：一．动态NAT1. 动态一对一：不节省IP地址，国内不常用no-pat只改写源IP2. 动态多对一：共享上网，常用（通过源端口区分不同用户1024-65535）pat这种方式被称做网络地址端口转换NAPT（network address port translation），同时改写源IP和源端口。

NAT的要点：私IP →公IP 路由NAT转换表区分 IP 区分（一对一）IP + 端口（多对一）NAT的基础配置：配置路由1. .默认路由（必须）R(config )# ip route 0.0.0.0 0.0.0.0 100.1.1.62. 静态路由或动态路由（可选）当内网有三层交换机，存在非直连网段时，需要配置静态路由或RIP\OSPF，来学习内网路由。

NAT配置（一）．设置NAT 接口。

R(config )# int f0/0# ip add 172.16.1.251 255.255.255.0# ip nat inside# no shutR(config )# int f0/1# ip add 100.1.1.1 255.255.255.248# ip nat outside# no shut（二）．配置动态转换，实现共享上网。

1 .定义内部源地址（私有IP）。

R(config )# acc 10 permit 172.16.1.0 0.0.0.255acc 10 permit 172.16.2.0 0.0.0.255acc 10 permit 172.16.3.0 0.0.0.255acc 10 permit 172.16.4.0 0.0.0.2552. 定义地址池(公有IP ).R(config )# ip nat pool rich 100.1.1.5 100.1.1.5 netmask 255.255.255.248名字3. 动态转换。

运维之思科篇——NAT基础配置⼀、 NAT（⽹络地址转换）1、作⽤：通过将内部⽹络的私有IP地址翻译成全球唯⼀的公⽹IP地址，使内部⽹络可以连接到互联⽹等外部⽹络上。

2、优点：节省公有合法IP地址处理地址重叠增强灵活性安全性3、NAT的缺点延迟增⼤配置和维护的复杂性不⽀持某些应⽤，可以通过静态NAT映射来避免4、NAT实现⽅式1）静态转换IP地址的对应关系是⼀对⼀，⽽且是不变的，借助静态转换，能实现外部⽹络对内部⽹络中某些特设定服务器的访问。

静态NAT配置：配置接⼝IP及路由全局：Ip nat inside source static 192.168.1.1 61.159.62.131在内外接⼝上启⽤NAT：进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside端⼝映射：ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 802）动态转换IP地址的对应关系是不确定的，⽽是随机的，所有被授权访问互联⽹的私有地址可随机转换为任何指定的合法的外部IP地址。

（内部⽹络同时访问Internet的主机数少于配置的合法地址中的IP个数时适⽤）动态NAT的配置：1.全局：access-list 1 permit 192.168.1.0 0.0.0.2552.全局：ip nat pool nsd 210.13.114.113 210.13.114.118 netmask 255.255.255.248（定义地址池名称为nsd,地址池IP范围210.13.114.113 到210.13.114.118）3.全局：ip nat inside source list 1 pool nsd4.进⼊出⼝配置：ip nat outside进⼊⼊⼝配置：ip nat inside动态转换NAT配置步骤：1.配置ACL，⽤于限定可以做地址转换的内⽹范围2.配置电信给予的地址池3.设置ACL和地址池的映射关系，匹配做地址转换的数据流4.指定内外部接⼝3）端⼝多路复⽤（PAT）通过改变外出数据包的源IP地址和源端⼝并进⾏端⼝转换，内部⽹络的所有主机均可共享⼀个合法IP地址实现互联⽹的访问，节约IP。

思科CCNA学习笔记之NAT⽹络地址转换原理与实现⽅法图⽂详解本⽂实例讲述了CCNA学习笔记之NAT⽹络地址转换原理与实现⽅法。

分享给⼤家供⼤家参考，具体如下：CCNA基础 NAT⽹络地址转换在计算机⽹络中，⽹络地址转换（Network Address Translation，缩写为NAT），也叫做⽹络掩蔽或者IP掩蔽（IP masquerading），是⼀种在IP数据包通过路由器或防⽕墙时重写来源IP地址或⽬的IP地址的技术。

这种技术被普遍使⽤在有多台主机但只通过⼀个公有IP地址访问因特⽹的私有⽹络中。

根据规范，路由器是不能这样⼯作的，但它的确是⼀个⽅便并得到了⼴泛应⽤的技术。

当然，NAT也让主机之间的通信变得复杂，导致通信效率的降低。

⼀、列举操作系统环境中防⽕墙⽹络层防⽕墙可视为⼀种 IP 数据包过滤器，运作在底层的TCP/IP协议堆栈上。

我们可以以枚举的⽅式，只允许匹配特定规则的数据包通过，其余的⼀概禁⽌穿越防⽕墙。

这些规则通常可以经由管理员定义或修改，不过某些防⽕墙设备可能只能应⽤内置的规则。

我们也能以另⼀种较宽松的⾓度来制定防⽕墙规则，只要数据包不匹配任何⼀项“否定规则”就予以放⾏。

现在的操作系统及⽹络设备⼤多已内置防⽕墙功能。

较新的防⽕墙能利⽤数据包的多样属性来进⾏过滤，例如：来源 IP 地址、来源端⼝号、⽬的 IP 地址或端⼝号、服务类型(如 HTTP 或是 FTP)。

也能经由通信协议、TTL 值、来源的⽹域名称或⽹段...等属性来进⾏过滤。

1-1、Windows 下 Firewall1-2、Linux 下 iptables⼆、关于进出站以及源⽬标认识找了很多资料，都没有很简单的对进出站进⾏解释。

以下为博主⾃⼰对进出站理解：2-1、进站以及出站点假设你是守卫。

前⾯是⼀条桥，后⾯是座城堡。

关于”inside“⼊站策略：守卫需要操作桥上来的⼈。

（这就是⼊站策略。

“它是被动的”）关于”outside“出站策略：守卫需要操作城堡出来的⼈。

CISCONAT配置一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备〔比方：路由器〕负责将其内部的IP地址转换为合法的IP地址〔即经过申请的IP地址〕进行通信。

二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，那么外部用户根本不知道通过NAT设置的内部IP地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口〔Inside〕，一个外部端口〔Outside〕。

内部端口连接的网络用户使用的是内部IP地址。

内部端口可以为任意一个路由器端口。

外部端口连接的是外部的网络，如Internet 。

外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。

四、关于NAT的几个概念：内部本地地址〔Inside local address〕：分配给内部网络中的计算机的内部IP地址。

内部合法地址〔Inside global address〕：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、NAT的设置方法：NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。