05-NAT命令

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

NAT命令手册目录1简介 (3)1.1NAT概述 (3)1.2NAT实现的功能 (3)1.2.1静态NAT (3)1.2.2动态源NAT (3)1.2.3动态目的NAT (4)1.2.4ALG (4)2配置NAT (7)3典型配置 (12)1 简介1.1 NAT 概述NAT （Network Address Translation ，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。

在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IPv4地址空间的枯竭。

NAT 负责把内部主机的数据包的源地址(私有IP 地址)按照一定的规则翻译成合法的、唯一的公网IP 地址，源数据包的端口转换成NAT 的一个端口，目的IP 地址和端口不变，最终数据包经过路由器发送到目的地址。

同时，NAT 也负责把外部主机返回的数据包的目的地址和端口转换成内网的私有地址和端口，源地址和端口不变。

这种变换的本质是在NAT 内部维护着一张转换表，负责由内到外和由外到内的IP 地址与端口的转换。

1.2 NAT 实现的功能 1.2.1 静态NAT设备将网络的将一个内部地址L 映射到一个外部地址G 上。

从内部网络发送以L 为源的数据包的源地址会被替换成地址G 。

同时，从外部发往内部网络的目的地址为G 的数据包的目的地址会被替换成L 。

这样内部主机就可以伪装成G 与外部网络通信。

ABL->GL<-G10.10.10.2192.168.2.100图1、静态NAT 示意图1.2.2 动态源NAT将内部网络访问外部网络数据包的源地址L 替换成设定好的全局地址G 。

使内部网络主机可以用这个全局地址G 访问外部网络 ，但外部主机无法用G 地址访问内部主机L 。

AL->GL<-G10.10.10.2192.168.2.100B图2、动态NAT 示意图1.2.3 动态目的NAT将外部主机访问设定好的全局地址G 的数据包的目的地址替换成内部主机的地址L ，也就是常见的虚拟服务器，可对转换业务进行端口映射。

配置IP NAT命令1. 1. 配置相关命令IP NAT配置包含以下命令：⏹< href="Cap15.htm#_address" target="b">address⏹< href="Cap1.htm#_clear_ip_nat_translation"target="b">clear ip nat translation⏹< href="Cap15.htm#_ip_nat" target="b">ip nat⏹< href="Cap1.htm#_ip_nat_application" target="b">ipnat application⏹< href="Cap1.htm#_ip_nat_inside_destination"target="b">ip nat inside destination⏹< href="Cap1.htm#_ip_nat_inside_source"target="b">ip nat inside source⏹< href="Cap1.htm#_ip_nat_outside_source"target="b">ip nat outside source⏹< href="Cap1.htm#_ip_nat_p2p-rate-limit"target="b">ip nat p2p-rate-limit⏹< href="Cap15.htm#_ip_nat_pool" target="b">ip natpool⏹< href="Cap1.htm#_ip_nat_translation" target="b">ipnat translation1. 2. address要配置一个NAT空地址池的地址范围，用NAT地址池配置命令address。

NAT配置命令详解⼀、静态NAT的配置1、设置外部端⼝的IP地址2、设置内部端⼝的IP地址3、在内部局部地址和外部全局地址之间建⽴静态地址转换router(config)#ip nat inside sourcestatic local-ip global-iprouter(config)#ip nat inside source static192.168.1.2 61.159.62.130(将内部局部地址192.168.1.2转换为内部全局地址61.159.62.130 )4、在内部和外部端⼝上启⽤NATrouter(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat inside⼆、动态NAT的配置1、设置外部端⼝的IP地址2、设置内部端⼝的IP地址3、定义内部⽹络中允许访问外部⽹络的访问控制列表router(config)#access-list 1 permit 102.168.1.0 0.0.0.2554、定义合法IP地址池router(config)#ip nat pool pool-name star-ipend-ip netmask [type rotary]pool-name:放置转换后地址的地址池的名称star-ip/end-ip:地址池内起始和结束的IP地址netmask:⼦⽹掩码type rotary（可选）:地址池中的地址为循环使⽤router(config)#ip nat pool test0 61.159.62.13061.159.62.190 netmask 255.255.255.192 5、实现⽹络地址转换router(config)#ip nat inside source listaccess-list-number pool pool-name [overload] access-list-number:为1--99之间的整数pool-name:池名overload（可选）:使⽤地址复⽤，⽤于PATrouter(config)#ip nat inside source list 1 pooltest06、在内部和外部端⼝上启⽤NATrouter(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat inside三、PAT的配置A、使⽤外部全局地址1、设置外部端⼝的IP地址2、设置内部端⼝的IP地址3、定义内部⽹络中允许访问外部⽹络的访问控制列表router(config)#access-list 1 permit 102.168.1.00.0.0.2554、定义合法IP地址池router(config)#ip nat pool onlyone 61.159.62.13061.159.62.130 netmask 255.255.255.248在这⾥合法地址池的名称是onlyone，合法地址范围是61.159.62.130 ,掩码是255.255.255.248 ,由于只有⼀个地址，所以起始地址与结束地址相同。

一步步教你配置NAT（服务器篇）一步步教你配置NAT（服务器篇）【网友提问】我是一名公司的网管,想问一下NAT技术一般都在什么时候用，在windows 2 003和路由器上如何配置NAT？希望IT168能够帮助我解答！谢谢！经常听身边的网管朋友谈论NAT技术，那么什么时候用到NAT技术呢？主要有两方面，第一是公网IP地址不够用，当企业只租用到了数量有限的公网IP时，不可能为内部每台计算机都分配一个公网IP，如何解决IP地址不够用的问题呢？这时就可以采用NAT技术，多个内部计算机在访问INTERNET时使用同一个公网IP 地址；第二是当公司希望对内部计算机进行有效的安全保护时可以采用NA T技术，内部网络中的所有计算机上网时受到路由器或服务器（防火墙）的保护，黑客与病毒的攻击被阻挡在网络出口设备上，大大提高了内部计算机的安全性。

接下来笔者将带领大家一步步在Windows 2003 Server服务器上配置并启用NAT功能。

具体网络环境：电信的ADSL，交换机一个，服务器一台，客户机若干，网线已经做好，所有机器上用的都是windows2000或是XP。

配置服务器NAT地址转换第一步：启动“路由和远程访问”，通过“开始->程序->管理工具->路由和远程访问”，默认状态下，将本地计算机列出为服务器。

如果要添加其他服务器，请在控制台目录树中，右键单击“服务器状态”，然后单击“添加服务器”。

第二步：右击要启用的服务器（这里是本地服务器），然后单击“配置并启用路由和远程访问”，启动配置向导。

第三步：出现欢迎页面后单击下一步。

出现选择服务器角色设置页面，选择“网络地址转换（NAT）”，接着单击下一步。

第四步：在Internet连接页面中选择“使用Internet连接”，在下面的Internet列表中选项“外网连接”，我们将让客户机通过这条连接访问Internet，界面如下图。

单击下一步继续。

小提示：这一点非常重要，一定不能把内网与外网的接口选择错误，否则配置的NA T就无法生效，因此我们在上面将本地连接的名称进行了修改，这里就显得一目了然了。

nat技术命令、单臂路由命令NAT（Network Address Translation）技术命令和单臂路由（one-armed routing）命令是计算机网络中常用的命令，用于配置和管理网络设备。

以下将详细介绍这两种命令，以及它们在网络环境中的应用和配置方法。

一、NAT技术命令NAT是一种广泛应用于网络环境中的技术，主要用于解决IP地址不足的问题。

它通过将内部网络的私有IP地址转换成公共IP地址，实现了内部网络与外部网络之间的通信。

以下是一些常用的NAT技术命令：1. nat source命令该命令用于配置源地址转换，将内部网络中的私有IP地址转换成公共IP地址。

格式如下：nat source static [内部IP地址范围] [公共IP地址]2. nat destination命令该命令用于配置目的地址转换，将外部网络中的公共IP地址转换成内部网络的私有IP地址。

格式如下：nat destination static [公共IP地址范围] [内部IP地址]3. nat pool命令该命令用于配置连接池，将一组公共IP地址与内部网络的私有IP 地址进行动态映射。

格式如下：nat pool [连接池名称] start [起始IP地址] end [结束IP地址] netmask [子网掩码]4. nat overload命令该命令用于配置负载均衡，将内部网络中的多个私有IP地址通过一个公共IP地址进行转换。

格式如下：nat overload [内部接口]5. show nat命令该命令用于显示和查看NAT配置信息。

格式如下：show nat以上是一些常用的NAT技术命令，通过这些命令可以实现NAT功能的配置和管理。

二、单臂路由命令单臂路由是一种特殊的网络架构，通过使用一个物理接口实现两个逻辑接口的功能。

单臂路由常用于网络监测、流量分析和用户流量控制等场景。

以下是一些常用的单臂路由命令：1. interface命令该命令用于配置物理接口的参数，包括接口类型、IP地址、MTU 等。

H3C-NAT命令配置配置地址池：<H3C>system-view[H3C]nat address-group group-number start-add end-add 配置一对一静态地址转换1.<H3C>system-view[H3C]nat static local-ip(本地IP) global-ip(通用IP)[H3C]interface (端口号)[H3C-inter]nat outbound static (把这个端口设置为出站)2.<H3C>system-view[H3C]interface nat interface-number[H3C-NAT]nat static local-ip golbal-ip[H3C-NAT]quit[H3C]interface (端口号)[H3C-INT]nat outbound static (把这个端口设置为出站) cisco:ip nat inside source static local-ip global-ipint (端口号)ip nat insideint (端口号)ip nat outside配置网段对静态地址的转换1.<H3C>system-view[H3C]interface nat interface-number[H3C-NAT]nat static net-to-net local-network global-network[H3C-NAT]quit[H3C]interface (接口地址号)[H3C-int]nat outbound static (把这个端口设置为出站)2.<H3C>system-view[H3C]nat static net-to-net local-start-address local-end-address global global-network[H3C]interface (端口号)[H3C-INT]nat outbound static (把这个端口设置为出站)配置动态NAT1.EASY IP<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number [next-hop ip-address(可选，按设备定)]2.NOPAT<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number address-group group-number nopat或者在入接口配置[H3C-INT]nat inbound acl-number address-group group-number nopat3.NAPT<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number address-group group-number或者在入接口配置[H3C-INT]nat inbound acl-number address-group group-number。