思科设备NAT配置全集

1.NAT的应用场景及工作原理

2.静态/动态 PAT的配置方法

3.静态端口映射的配置方法

4.效果综合测试

c1变成服务器，可能需要静态公网ip地址

不管是动态NAT还是静态NAT 都不能节省ip地址，主要作用还是提高ipv4利用效率，节省ip。企业网或者家里使用的是pat技术

实验拓扑图

查看R2回程路由：R2#show ip route

静态NAT: 不能节省ip地址，一对一公网地址映射，例如：192.168.1.10到达R1 f0/1替换成一个公网地址，R2里有公网地址，就会回包给R1，R1再将公网ip替换为私网，由于它不能节省Ip地址，一般服务器ip地址可能会用到，花钱买

实验步骤：在R1标记内（NAT转换）外（运营商）接口

R1(config-if)#int fa0/0

R1(config-if)#ip nat inside( f0/0变为内部接口)

R1(config-if)#int fa0/1

R1(config-if)#ip nat outside（f0/1变为外部接口）

R1(config)#ip nat inside source static 192.168.1.10 218.8.8.8（ip地址转换）

R1#show ip nat translations（查看映射条目）

Pro Inside global      Inside local      Outside local      Outside global

--- 218.8.8.8          192.168.1.10      ---                ---

在R2上添加静态路由

R2(config)#ip route 218.8.8.8 255.255.255.255 202.106.1.2

R1上开通nat地址转换测试R1#debug ip nat

IP NAT debugging is on 可以看到地址转换如下：

*Mar  1 00:32:47.707: NAT*: s=192.168.1.10->218.8.8.8, d=202.106.1.1 [57912]

*Mar  1 00:32:47.771: NAT*: s=202.106.1.1, d=218.8.8.8->192.168.1.10 [57912]

动态NAT（1对1）不是一条一条加入路由器，所有公网地址放入一个地址池，做一个访问控制列表绑定地址池，由控制列表来控制谁可以进入地址池拿地址，省去了管理员一个个去配的时间。

删掉R1静态NAT地址：

R1(config)#no ip nat inside source static 192.168.1.10 218.8.8.8 这条命令导致c1上不了网。

做R1地址池：R1(config)#ip nat pool aqbbb 218.8.8.1 218.8.8.10 netmask （长度）255.255.255.0 （这个地址池从218.8.8.1 - 218.8.8.10 长度选择用netmask掩码表示）

做访问控制列表：R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255（访问控制列表只允许192.168.1.0段访问）

地址池和访问控制列表关联：R1(config)#ip nat inside source list 10 pool aqbbb

R2上做回程路由：R2(config)#ip route 218.8.8.0 255.255.255.0 202.106.1.2

c2去ping 202.106.1.1：:R1#

*Mar  1 00:51:00.179: NAT*: s=192.168.1.20->218.8.8.2, d=202.106.1.1 [59004]

*Mar  1 00:51:00.251: NAT*: s=202.106.1.1, d=218.8.8.2->192.168.1.20 [59004]

c2 ping通，拿的是地址池中的第二个地址R2(config)#do ping 218.8.8.1也能通

家中上网PPOE拨号（运营商将地址放在地址池中，拨号时随机分配地址池中的地址给用户，如果用户不上网地址又将会被回收，别人会拿到去用，因此每次上网拨号可能不是同一个地址，但是总会有地址用，动态nat也不能节省ip地址，因此企业或家中会用到pat地址映射，使用一个地址或者几个地址让一大批用户上网。通过R1#show run 2 section nat查看，在test后加overload,例如会对218.8.8.1这个地址进行复用，通过不同端口号进行区分）

清掉所有转换条目：R1#clear ip  nat translation *

清掉刚才的地址池R1(config)#no ip nat pool aqbbb 218.8.8.1 218.8.8.10 netmask 255.255.255.0

还要清除掉R1(config)#no ip nat inside source list 10 pool aqbbb

以上语句清除掉了所有动态nat ,下面做pat