路由器 NAT 配置课程目标： 掌握静态 NAT 的配置方法 掌握动态 NAT 的配置方法 掌握动态 NAT overload 方式的配置方法 掌握 PAT 的配置方法i目 录第 1 章 NAT 配置方法 .11.1 NAT 配置方法 .11.2 静态 NAT 配置方法和实例 .11.3 动态 NAT 配置方法和实例 .21.4 动态 NAT(overload)配置方法和实例 .31.5 PAT 配置 .31.6 NAT 的监控和维护 .41第 1 章 NAT 配置方法 知识点 静态 NAT 配置方法。 动态 NAT 配置方法。 动态 NAT overload 配置方法。 PAT 配置方法。1.1 NAT 配置方法NAT 的配置方法包含静态配置与动态配置两种方式。静态方式用手工配置一对一指定转换关系。内部网络对外提供 Internet 网络服务必须采用静态配置方式。静态方式并没有起到节约公网地址的作用。动态配置方式由路由器自动建立转换关系，需要使用访问控制列表来决定那些主机地址可以被转换，那些不能被转换。需要在路由器上定义公网地址池与ACL。在动态配置方式中还有一种 overload 方式，即多个内部地址映射到一个外部地址上去，这是通过建立内部地址、内部地址的端口号和外部地址、外部地址的端口号来建立一一映射来实现的。1.2 静态 NAT 配置方法和实例假设在路由器上要配置静态 NAT 将内部地址 10.1.1.1 转换成外部地址179.16.2.2。接口 fei_1/1 是连接内部网络的接口，地址是 10.1.1.10；接口Serial_2/1 是连接外部网络的接口，地址是 179.16.2.1。配置步骤如下：第一步：在全局配置模式下配置 ip nat start，启动 NAT 功能。第二步：配置静态 NAT 转换规则，将内部主机 10.1.1.1 发出的数据包中的源地址转换为 179.16.2.2 发送到外部网络。ip nat inside source static 10.1.1.1 179.16.2.2NAT 原理及配置（路由器 NAT 配置）2第三步：进入接口配置模式，配置 IP 地址，指定此接口为 NAT 的内部接口。interface fei_1/1ip address 10.1.1.10 255.255.255.0ip nat inside第三步：进入另一个接口的配置模式，配置 IP 地址，指定此接口为 NAT 的外部接口。interface Serial_2/1ip address 179.16.2.1 255.255.255.0ip nat outside1.3 动态 NAT 配置方法和实例假设我们需要将从 10.0.0.0/8 网段发出的数据包动态映射到外部地址段199.168.2.2-199.168.2.254/24。接口 fei_1/1 是连接内部网络的接口，地址是10.1.1.10；接口 Serial_2/1 是连接外部网络的接口，地址是 179.16.2.1。配置步骤如下：第一步：在全局配置模式下配置 ip nat start，启动 NAT 功能。第二步：配置名为 dyn-nat 的地址池，将合法外部地址段 199.168.2.2 至199.168.2.254 加入地址池。ip nat pool dyn-nat 199.168.2.2 199.168.2.254 prefix-length 24第三步：配置标准 ACL，列表号为 1，匹配从源地址网段 10.0.0.0/8 发出的数据包access-list 1 permit 10.1.1.0 0.0.0.255第四步：配置 NAT 转换语句，将内网的符合 ACL 1 的数据包的源地址转换为地址池 dyn-nat 中的地址。ip nat inside source list 1 pool dyn-nat第五步：进入接口配置模式，配置 IP 地址，指定此接口为 NAT 的内部接口。interface fei_1/1ip address 10.1.1.10 255.255.255.0第 1 章 NAT 配置方法3ip nat inside第六步：进入另一个接口的配置模式，配置 IP 地址，指定此接口为 NAT 的外部接口。interface Serial_2/1ip address 199.168.2.1 255.255.255.0ip nat outside1.4 动态 NAT(overload)配置方法和实例动态 NAT（overload ）配置就不再是一个内部 IP 地址动态地对应一个外部地址，而是多个内部地址可以同时对应一个外部地址，通过端口号区分不同的内部地址。配置步骤与前述动态 NAT 配置过程一致，只是在 NAT 转换规则语句上加上参数 overload，启动一对多的转换方式。如下所示，即在下面这条语句后面加上overload 这个关键字。ip nat inside source list 1 pool dyn-nat overload ：注意启用 overload 的动态 NAT，是我们平时使用比较广泛的地址转换方式。1.5 PAT 配置PAT（端口地址转换） ，当一个公司或组织没有获得合法外部地址段时，可使用PAT 将内部主机地址转换为路由器 WAN 接口上的合法外部地址，对外进行访问。PAT 使没有分配合法外部地址的网络中的内部主机可以利用一个路由器外连接口上的合法外部 IP 地址进行地址转换，提供内部主机对 Internet 的访问能力，最大限度节省 IP 地址资源。假设我们要将内部地址 10.0.0.0/8 映射到路由器的外连接口地址 199.168.2.2 上面去。配置步骤如下：第一步：在全局配置模式下配置 ip nat start，启动 NAT 功能。NAT 原理及配置（路由器 NAT 配置）4第二步：首先配置只包含一个地址（路由器外连口的地址）的地址池，地址池的名字为：test-pool(zxr10-config)#ip nat pool test-pool 199.168.2.2 199.168.2.2 prefix-length 24第三步：配置 NAT 转换语句，将内网的符合 ACL 1 的数据包的源地址转换为地址池 test-pool 中的地址，注意由于是一对多的对应关系，必须使用参数overload。(zxr10-config)#ip nat inside source list 1 pool test-pool overload第四步：配置标准 ACL，列表号为 1，匹配从源地址网段 10.0.0.0/8 发出的数据包(zxr10-config)#access-list 1 permit 10.0.0.0 0.0.0.255第五步：还需要在接口配置模式下配置 NAT 的内部及外部接口，分别对应内网与外网。1.6 NAT 的监控和维护使用以下命令来显示 NAT 的配置信息：1 显示地址转换配置show ip nat translations。2 设置地址转换连接有效时间ip nat translation timeout class a time-value。3 显示 NAT 的统计数据show ip nat statistics。4 NAT 的诊断和调试Debug ip nat。其中对 NAT 地址转换连接有效时间进行设定时要注意：如果此时间设置过大可能导致通讯结束后很长时间还占用着合法 IP 地址或端口号，当有其他内部主机试图对外访问时可能没有可用的合法 IP 地址或端口号资源而无法与外界通讯；而如果此数值设定过低可能导致正常通讯还没有结束时计时器到期，路由器删除内部地址与外部地址之间的对应关系，导致返回的数据无法送达内部主机，造成通讯中断。第 1 章 NAT 配置方法5 ：注意NAT 的老化时间在实际使用中不能过大，也不能过小。