静态NAT配置实例与详解

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

如何设置路由器的静态NAT路由器的静态NAT是一种在私有网络和互联网之间建立映射关系的方法。

此映射关系使得内部私有网络中的主机能够通过外网 IP 访问互联网。

因此，路由器的静态NAT常见于公司和家庭网络中。

下面将介绍如何设置路由器的静态NAT。

1. 获取路由器的管理权限首先需要在浏览器中通过路由器的IP 地址登录路由器的管理页面。

登录界面通常会要求输入用户名和密码，这些信息通常可以在购买路由器时得到。

登录成功后，即可进入路由器的管理页面。

2. 打开静态NAT设置在路由器的管理页面中找到“端口转发”、“虚拟服务器”或“静态NAT”等选项，点击进入。

3. 添加映射规则进入静态NAT设置界面后，可以看到当前路由器上已经存在的映射规则；同时可以添加新的规则。

对于每一条新规则，都需要填写一些信息：- 内网 IP：需要映射的私有网络主机的 IP 地址；- 内网端口：需要映射的私有网络主机的端口号；- 外网 IP：该规则映射的外网 IP 地址；- 外网端口：该规则映射的外网端口号；- 协议：映射的协议（一般为 TCP 或 UDP）。

根据需要，可添加一条或多条静态NAT映射规则。

4. 保存设置添加完静态NAT规则后，记得保存设置。

在某些路由器上，需要点击“提交”或“应用”按钮才能生效。

静态NAT设置完成后，内网主机就会通过绑定的外网IP地址进行访问，另外需要注意的是，静态NAT会占用公网IP地址，因此需要按需规划IP地址资源。

总之，通过以上几个步骤，完成了路由器的静态NAT设置后，内网主机就可以通过互联网访问网络，同时对于一些安全性较高的网络要求，静态NAT映射也有一定的保护作用。

Cisco设备静态NAT根本配置步骤以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书，或者于明年将出版的《Cisco/H3C路由器配置与管理完全手册》一书。

当你与外部网络进展通信时，你可以转换自己的私有IP地址到全态NAT在内部本地址和内部全局地址之间建立一对一的映射关系，而动态NAT建立一个内部本地址到一个全局地址池的映射关系。

一、静态NAT工作原理静态NAT是最根本的NAT方式，也是最常用的NAT方式之一。

本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT根本配置步骤。

示例中的根本网络拓扑结构如图1所示。

NAT 路由器的两个接口〔s0和s1〕分别连接了内、外两个不同的网络〔10.10.10.0/24和171.16.68.1/24〕。

现要使内部网络中的10.10.01.1主机和外部网络中的171.16.68.5主机间进展数据包传输。

图1 静态NAT根本配置示例网络结构在上一篇说到了，NAT的应用可以是单方向〔包括正向或反向〕，也可以是双方向的地址转换。

我们把内部网络中的地址转换成外部网络中的地址，称之为正向转换，使用的NAT命令为“ip nat inside source static {local-ip global-ip}〞，把本地网络的本地址转换成外部网络的全局地址。

把外部网络中的地址转换成内部网络中的地址称之为反向转换，使用的NAT命令为“ip nat outside source static global-ip local-ip}〞，把外部网络的全地址转换本钱地网络的本地地址。

比照可以看出，两个命令中的本地IP地址〔local-ip〕和全局IP地址〔global-ip〕的位置是相互调换的。

而把需要同时具有两方面的转换，称之为双向转换。

正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时如此需要定义外部本地址和外部全局地址；双向转换时如此需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

NAT详解、实例（⽹管必看）-Ralap的⽇志-⽹易博客NAT详解、实例（⽹管必看）电脑⽹络 2010-11-03 10:58:44 阅读70 评论0 字号：⼤中⼩订阅NAT详解、实例（⽹管必看）1、配置实例（如果看不明⽩，别急，看完通篇⼀定会明⽩）version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname nat-r1!enable secret 5 $1$FEQr$INhRecYBeCb.UqTQ3b9mY0!ip subnet-zero!!!!interface Ethernet0ip address 172.18.150.150 255.255.0.0no ip directed-broadcastip nat inside /* 定义此为⽹络的内部端⼝ */!interface Serial0ip address 192.1.1.161 255.255.255.252no ip directed-broadcastip nat outside /* 定义此为⽹络的外部端⼝ */no ip mroute-cacheno fair-queue!interface Serial1no ip addressno ip directed-broadcastshutdown! /* 定义从ISP那⾥申请到的IP在企业内部的分配策阅 */ip nat pool tech 192.1.1.100 192.1.1.120 netmask 255.255.255.0ip nat pool deve 192.1.1.121 192.1.1.150 netmask 255.255.255.0ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0ip nat pool soft-1 192.1.1.170 192.1.1.179 netmask 255.255.255.0ip nat pool soft-2 192.1.1.151 192.1.1.159 netmask 255.255.255.0ip nat pool temp-user 192.1.1.160 192.1.1.160 netmask 255.255.255.0/* 将访问列表与地址池对应，以下为动态地址转换*/ip nat inside source list 1 pool techip nat inside source list 2 pool deveip nat inside source list 3 pool managerip nat inside source list 4 pool soft-1ip nat inside source list 5 pool soft-2/* 将访问列表与地址池对应，以下为复⽤动态地址转换*/ip nat inside source list 6 pool temp-user overload/* 将访问列表与地址池对应，以下为静态地址转换*/ip nat inside source static 172.18.100.168 192.1.1.168ip nat inside source static 172.18.100.169 192.1.1.169ip classlessip route 0.0.0.0 0.0.0.0 Serial0 /* 设置⼀个缺省路由 */! /* 内部⽹访问地址表，他指出内部⽹络能访问外部⽹的地址段，分别定义是为了对应不同的地址池 */access-list 1 permit 172.18.107.0 0.0.0.255access-list 2 permit 172.18.101.0 0.0.0.255access-list 3 permit 172.18.108.0 0.0.0.255access-list 4 permit 172.18.103.0 0.0.0.255access-list 4 permit 172.18.102.0 0.0.0.255access-list 4 permit 172.18.104.0 0.0.0.255access-list 5 permit 172.18.105.0 0.0.0.255access-list 5 permit 172.18.106.0 0.0.0.255access-list 6 permit 172.18.111.0 0.0.0.255!line con 0transport input noneline 1 16line aux 0line vty 0 4login!end2、NAT的原理IP地址耗尽促成了CIDR的开发，但CIDR开发的主要⽬的是为了有效的使⽤现有的internet地址。