CISCO NAT配置命令

在CISCO路由器上配置NA T功能随着internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。

为了解决这个问题，出现了多种解决方案。

下面几绍一种在目前网络环境中比较有效的方法即地址转换(NA T)功能。

一、NA T简介NA T(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。

在网络内部，各计算机间通过内部的IP地址进行通讯。

而当内部的计算机要与外部internet网络进行通讯时，具有NA T功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的I P地址（即经过申请的IP地址）进行通信。

二、NA T的应用环境情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NA T将内部网络与外部Internet隔离开，则外部用户根本不知道通过NA T设置的内部I P地址。

情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。

可以通过NA T功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。

三、设置NA T所需路由器的硬件配置和软件配置：设置NA T功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。

内部端口连接的网络用户使用的是内部IP地址。

一般来说内、外部端口可以为任意指定。

设置NA T功能的路由器的IOS应支持NA T功能(本文示例所用路由器为Ｃisco2811)。

四、关于NA T的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。

内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。

需要申请才可取得的IP地址。

五、CISC O路由器NA T的设置方法：CISCO各种型号路由器NA T设置方法及命令基本相同。

static 静态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.然后设置NA T静态转换conf# ip nat ins source static 192.168.1.10 10.0.0.1 将内部地址192.168.1.1 转换成10.0.0.1conf# ip nat ins source static 192.168.1.20 10.0.0.13.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside4.设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0完成，可以show ip nat translations 查看动态NA T配置：1.首先设定R1的ip地址和开启端口conf#inter e0/0if# ip add 192.168.1.1 255.255.255.0if# no shutconf#inter e0/1if# ip add 10.0.0.1 255.255.255.0if# no shut2.定义内部网络中允许访问外部网络的IPConf#access-list permit 192.168.1.10 0.0.0.255(允许192.168.1.10 访问外部网络，0.0.0.255 为反子网掩码具体参考ACCESS链路访问规则)Conf#access-list permit 192.168.1.20 0.0.0.2553.定义地址池Conf# ip nat pool jiangqi 192.168.1.10 192.168.1.20 netmask 255.255.255.0(将192.168.1.10 到192.168.1.20 的IP 定义为地址池jiangqi 子网为255.255.255.0)4．实现网络地址转换Conf# ip nat inside source list 1 pool jiangqi(将ACCESS LIST 制定的内部地址，与制定的全局地址进行转换)5.再开启NA Tconf# inter e0/0conf# ip nat insideconf# inter e0/1conf# ip nat outside6. 设置静态路由conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0。

ASA的NA T配置配置1.nat-control命令解释命令解释pix7.0版本前默认为nat-control,并且不可以更改并且不可以更改nat-control。

可以类似路由器一样，直接走路由；如果启用no nat-controlpix7.0版本后默认为no nat-control，那就与pix7.0版本前同。

版本前同。

2.配置动态nat 把内部网段：172.16.25.0/24 转换成为一个外部的地址池转换成为一个外部的地址池200.1.1.1-200.1.1.99 NA T配置命令配置命令ASA(config)# nat (inside) 1 172.16.25.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 200.1.1.1-200.1.1.99 （定义地址池）（定义地址池）注意：id必须匹配，并且大于1，这里先使用1 检测命令：检测命令：ASA(config)# show run nat ASA(config)# show run global ASA(config)# show xlate ASA(config)# show connect 3.配置P A T 把内部网段：172.16.26.0/24 转换成为一个外部的一个地址：200.1.1.149 NA T配置命令配置命令ASA(config)# nat (inside) 2 172.16.26.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 2 200.1.1.149 （定义地址）（定义地址）ASA(config)# global (outside) 2 interface（或者直接转换为外网接口地址）（或者直接转换为外网接口地址）注意：id必须匹配，并且大于2，这里先使用2 4.配置sta c NAT 把内部网段：172.16.27.27/24 转换成为一个外部的一个地址：200.1.1.100 NA T配置命令配置命令ASA(config)# sta c (inside,outside) 200.1.1.100 172.16.27.27 命令格式是内外对应的，红色的接口和红色的地址对应。

思科配置(NAT和ACL)实操1、看懂下面代码；2、把红色的重点代码写一遍R1(config)#interface f0/0R1(config-if)#no shutdownR1(config-if)#R1(config-if)#ip add 192.168.40.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/1R1(config-if)#no shutdownR1(config-if)#ip add 200.168.10.1 255.255.255.0R1(config-if)#R1(config-if)#exitR1(config)#router rip 动态路由配置R1(config-router)#network 192.168.40.0R1(config-router)#network 200.168.10.0R1(config-router)#exitR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R1(config)#ip access-list extended NOtelnet 禁止外网远程登录R1(config-ext-nacl)#denyR1(config-ext-nacl)#deny tcp any any eq 23R1(config-ext-nacl)#permit ip any anyR1(config-ext-nacl)#exitR1(config)#interface f0/1R1(config-if)#ip access-group NOtelnet inR1(config)#ip nat inside source static 192.168.10.10 88.88.88.88 静态NATR1(config)#ip nat inside source static 192.168.10.20 99.99.99.99R1(config)#R1(config)#access-list 10 permit 192.168.30.0 0.0.0.255 动态NATR1(config)#ip nat pool XXB 110.110.110.110 110.110.110.210 netmask 255.255.255.0 R1(config)#ip nat inside source list 10 pool XXBR1(config)#R1(config)#access-list 20 permit 192.168.20.0 0.0.0.255 PATR1(config)#ip nat pool RSB 58.58.58.58 58.58.58.58 netmask 255.255.255.0R1(config)#ip nat inside source list 20 pool RSB overloadR1(config)#R1(config)#interface f0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface f0/1R1(config-if)#ip nat outside三层交换机（SW-3）代码如下：Switch>Switch>enSwitch#conf tSwitch(config)#hostname SW-3SW-3(config)#SW-3(config)#interface range f0/1-4SW-3(config-if-range)#no switchportSW-3(config-if-range)#SW-3(config-if-range)#exitSW-3(config)#SW-3(config)#interface f0/1SW-3(config-if)#ip address 192.168.10.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/2SW-3(config-if)#ip address 192.168.20.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/3SW-3(config-if)#ip address 192.168.30.1 255.255.255.0 SW-3(config-if)#exitSW-3(config)#interface f0/4SW-3(config-if)#ip address 192.168.40.2 255.255.255.0 SW-3(config-if)#exitSW-3(config)#ip routingSW-3(config)#router ripSW-3(config-router)#network 192.168.10.0SW-3(config-router)#network 192.168.20.0SW-3(config-router)#network 192.168.30.0SW-3(config-router)#network 192.168.40.0SW-3(config-router)#exitSW-3(config)#SW-3(config)#ip access-list extended JFACL 信息部员工可以访问机房，人事部员不能访问机房SW-3(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exit、信息部员工不能访问外网，但可以访问机房；4、人事部员可以访问外网，但不能访问机房；SW-3(config)#interface f0/1SW-3(config-if)#ip access-group JFACL outSW-3(config-if)#exitSW-3(config)#SW-3(config)#ip access-list extended WWACL 人事部和信息部经理可以访问外网，信息部不能访问外网SW-3(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#permit ip host 192.168.30.20 200.168.10.0 0.0.0.255SW-3(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 200.168.10.0 0.0.0.255 SW-3(config-ext-nacl)#permit ip any anySW-3(config-ext-nacl)#exitSW-3(config)#SW-3(config)#interface f0/4SW-3(config-if)#ip access-group WWACL out。

NAT配置目录目录第1章配置NAT (2)1.1 NAT概述 (2)1.1.1 NAT应用 (2)1.1.2 NAT的优点 (2)1.1.3 NAT术语 (2)1.1.4 NAT规则匹配顺序 (3)1.2 NAT配置任务表 (3)1.2.1 翻译内部源地址 (3)1.2.2 配置静态转换 (4)1.2.3 PAT的配置 (5)1.2.4 改变翻译超时及限制连接数目 (6)1.2.5 监视和维护NAT (6)1.2.6 动态转换配置实例 (7)第1章配置NATInternet面临的两个关键问题是IP地址空间的缺乏和路由的度量。

网络地址翻译(NAT)是一种允许一个组织的IP网络从外部看上去使用不同的IP地址空间而不是它实际使用的地址空间的特性。

这样，通过将这些地址转换到全局可路由的地址空间，NAT允许一个具有非全局可路由地址的组织连接到Internet。

NAT也允许一个更好的重编码策略，为组织机构更改服务提供商或自动编码到CIDR块。

NAT也在RFC 1631中讲述。

1.1 NAT概述1.1.1 NAT应用NAT的应用主要有以下几种：z需要连接到Internet网上，但是并非所有主机都有唯一的全局IP地址。

NAT 使得使用非注册的IP地址的私有IP互联网络能够连接到互联网上。

NAT一般在单连接域(即内部网络)上和公共网络(即Internet) 的边界交换机上配置。

在发送报文到外部网络之前，NAT将内部本地地址转换到全局唯一的IP地址。

z必须改变内部地址。

可以通过使用NAT完成地址的转换，而无须改变它们，因为那将费时太多。

z要实现基本的TCP传输负载均衡。

可以通过使用TCP负载分布特性将单个全局IP地址映射到多个本地IP地址。

z作为连接问题的解决方案，只有在单连接的域中相对少的主机同时与域外通信时，NAT有实用价值。

此时，只有在需要和外部通信时，内部少量主机的IP才被转换成全局唯一的IP地址。

当不再使用时这些地址又可以被重新使用。

一般我们实际工作中都使用复用NAT，即复用端口NAT，也叫PNAT.所以掌握最后配置就可以了。

静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP. 外网使用公网IP. 并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

最后，指定其默认路由。

格式：静态模式在内部本地地址与内部合法地址之间建立静态地址转换。

在全局设置状态下输入：router(config)#Ip nat inside source static 内部本地地址内部合法地址router(config)#ip nat inside source static 10.1.1.2 192.168.1.2指定连接网络的内部端口在端口设置状态下输入：Router(config-if)#ip nat insideRouter(config)#int e0Router(config)#ip add 10.1.1.1 255.255.255.0Router(config-if)#ip nat inside指定连接外部网络的外部端口在端口设置状态下输入：Router(config-if)#ip nat outsideRouter(config)#int s0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat outsideRouter(config)#ip route 0.0.0.0 0.0.0.0 s0 (指定出口的默认路由，这是容易漏掉的地方)Enter configuration commands, one per line. Endwith CNTL/Z.Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 191.168.1.1100.0.0.1（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址)R3(config)#exit动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

CISCONAT配置命令CISCO NAT 配置命令21.1.在路由器上启用基本的NAT功能Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overloadRouter(config)#interface FastEthernet0/2Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet0/0Router(config-if)#ip address 172.16.1.5 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释例子中的配置实现了对地址段192.168.0.0/16访问外部网络重写为172.16.1.5的功能，基本的地址翻译功能21.2. 动态分配外部地址Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0Router(config)#ip nat inside source list 15 pool NATPOOLRouter(config)#interface FastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface FastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#exitRouter(config)#interface Ethernet1/0Router(config-if)#ip address 172.16.1.2 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#endRouter#注释ip nat inside source list 15 pool NATPOOL 定义了翻译出去的地址池，如果地址池可以地址用完新的翻译将不成功，如果加上了overload参数将会从第一个地址开始翻译进行复用。

cisco路由器nat配置本文档涉及附件：1、NAT配置范例（附件1）2、Cisco路由器配置指南（附件2）本文所涉及的法律名词及注释：1、NAT：网络地质转换，是一种将私有IP地质转换为公有IP 地质的技术。

它允许私有网络中的多个设备共享一个公有IP地质，并通过在数据包中修改IP地质和端口号来实现通信。

2、Cisco路由器：Cisco公司生产的网络设备，用于在计算机网络中转发数据包。

3、IP地质：Internet Protocol Address的缩写，是互联网上每一个设备的唯一标识。

4、公有IP地质：用于公共互联网上的网络设备的IP地质，由互联网服务提供商分配。

5、私有IP地质：用于局域网内部设备的IP地质，根据RFC 1918标准规定为以下三个范围.10：0：0：0 - 10.255.255.255，172.16：0：0 - 172.31.255.255，192.168：0：0 -192.168.255.255：6、端口号：在计算机网络中，用于标识不同应用程序或服务的数字。

端口号范围从0到65535：7、ACL：访问控制列表（Access Control List）是一种网络安全机制，用于限制或允许网络流量通过网络设备。

它基于规则集对数据包进行过滤和重定向。

8、PAT：端口地质转换（Port Address Translation）是一种NAT技术，用于将多个私有IP地质映射到一个公有IP地质。

它通过修改数据包中的IP地质和端口号来实现。

9、NAT池：一组可用于NAT转换的公有IP地质。

10、NAT超时：NAT超时是指在NAT转换表中保留NAT会话的时间。

一旦超时时间到达，相应的NAT转换将被删除。

11、Source NAT：源地质转换（Source Network Address Translation）操作将源IP地质和端口号更改为公有IP地质和端口号。

12、Destination NAT：目的地质转换（Destination Network Address Translation）操作将目的IP地质和端口号更改为私有IP 地质和端口号。