网络地址转换（网络地址转换（NAT）网络地址转换网络地址转换(NAT)IP 地址可以是本地（地址可以是本地（Local）地址或全局）地址或全局(Global)地址。地址。本地本地 IPv4 地址在网络内部可见。地址在网络内部可见。全局全局 IPv4 地址在网络外部可见。地址在网络外部可见。端口地址转换端口地址转换(PAT)转换内部源地址转换内部源地址 NAT术语术语Inside local address(内部本地地址)： 一个一个Inside网络中的设备，在网络中的设备，在Inside的的IP地址，即内部主机的实际地址，即内部主机的实际地址地址Inside global address(内部全局地址)： 一个一个Inside网络中的设备，在网络中的设备，在Outside的的IP地址，即内部主机经地址，即内部主机经NAT转换后去往外部的地址转换后去往外部的地址Outside local address(外部本地地址)： 一个一个Outside网络中的设备，在网络中的设备，在Inside的的IP地址，即外部主机由地址，即外部主机由NAT设备转换后的地址设备转换后的地址Outside global address(外部全局地址)： 一个一个Outside网络中的设备，在网络中的设备，在Outside的的IP地址，即外部主机的真地址，即外部主机的真实地址实地址建立内部本地地址与内部全局地址间的静态转换建立内部本地地址与内部全局地址间的静态转换RouterX(config)# ip nat inside source static local-ip global-ip将该接口标记为连接内部网络的接口将该接口标记为连接内部网络的接口RouterX(config-if)# ip nat inside将该接口标记为连接外部网络的接口将该接口标记为连接外部网络的接口RouterX(config-if)# ip nat outside显示活动的转换显示活动的转换 RouterX# show ip nat translations配置和检验静态转换配置和检验静态转换启用静态启用静态 NAT 地址映射示例地址映射示例RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 192.168.1.2 10.1.1.2 - -interface s0ip address 192.168.1.1 255.255.255.0ip nat outside!interface e0ip address 10.1.1.1 255.255.255.0ip nat inside!ip nat inside source static 10.1.1.2 192.168.1.2建立动态源转换，指定上一步定义的建立动态源转换，指定上一步定义的 ACLRouterX(config)# ip nat inside source listaccess-list-number pool name 定义可根据需要进行分配的全局地址池定义可根据需要进行分配的全局地址池RouterX(config)# ip nat pool name start-ip end-ipnetmask netmask | prefix-length prefix-length 定义允许那些要被转换的内部本地地址的标准定义允许那些要被转换的内部本地地址的标准 IP ACLRouterX(config)# access-list access-list-number permitsource source-wildcard 显示活动的转换显示活动的转换RouterX# show ip nat translations配置和检验动态转换配置和检验动态转换动态地址转换示例动态地址转换示例RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 172.19.233.209 192.168.1.100 - - - 172.19.233.210 192.168.1.101 - -过载内部全局地址过载内部全局地址(PAT)配置过载配置过载建立动态源转换，指定上一步定义的建立动态源转换，指定上一步定义的 ACLRouterX(config)# ip nat inside source listaccess-list-number interface interface overload定义允许那些要被转换的内部本地地址的标准定义允许那些要被转换的内部本地地址的标准 IP ACLRouterX(config)# access-list access-list-number permitsource source-wildcard显示活动的转换显示活动的转换 RouterX# show ip nat translations过载内部全局地址示例过载内部全局地址示例RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23 TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25hostname RouterX!interface Ethernet0ip address 192.168.3.1 255.255.255.0ip nat inside!interface Ethernet1ip address 192.168.4.1 255.255.255.0ip nat inside!interface Serial0description To ISPip address 172.17.38.1 255.255.255.0ip nat outside!ip nat inside source list 1 interface Serial0 overload!ip route 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 permit 192.168.4.0 0.0.0.255!清除包含内部转换或同时包含内部转换与外部转换的简单动态转换条目清除包含内部转换或同时包含内部转换与外部转换的简单动态转换条目RouterX# clear ip nat translation inside global-iplocal-ip outside local-ip global-ip清除所有动态地址转换条目清除所有动态地址转换条目RouterX# clear ip nat translation *清除包含外部转换的简单动态转换条目清除包含外部转换的简单动态转换条目RouterX# clear ip nat translation outsidelocal-ip global-ip清除扩展动态转换条目（清除扩展动态转换条目（PAT 条目）条目）RouterX# clear ip nat translation protocol inside global-ipglobal-port local-ip local-port outside local-iplocal-port global-ip global-port 清除清除 NAT 转换表转换表未执行转换：转换表中没有包含转换未执行转换：转换表中没有包含转换检验：检验：不存在拒绝数据包进入不存在拒绝数据包进入 NAT 路由器的入站路由器的入站 ACLNAT 命令所引用的命令所引用的 ACL 是否允许所有必需的网络是否允许所有必需的网络NAT 池中是否有足够的地址池中是否有足够的地址路由器接口是否被正确定义为路由器接口是否被正确定义为 NAT 内部接口或内部接口或 NAT 外部接口外部接口RouterX# show ip nat statistics Total active translations:1 (1 static, 0 dynamic; 0 extended) Outside interfaces:Ethernet0, Serial2 Inside interfaces:Ethernet1 Hits:5 Misses: 0 用用 show 和和 debug 命令显示信息命令显示信息RouterX# debug ip nat NAT:s=192.168.1.95-172.31.233.209, d=172.31.2.132 6825NAT:s=172.31.2.132, d=172.31.233.209-192.168.1.95 21852 NAT:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6826 NAT*:s=172.31.1.161, d=172.31.233.209-192.168.1.95 23311 NAT*:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6827 NAT*:s=192.168.1.95-172.31.233.209, d=172.31.1.161 6828 NAT*:s=172.31.1.161, d=172.31.233.209-192.168.1.95 23312 NAT*:s=172.31.1.161, d=172.31.233.209-192.168.1.95 23313 问题示例：无法问题示例：无法 Ping 通远程主机通远程主机问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）转换表中无任何转换。转换表中无任何转换。RouterA# show ip nat translations Pro Inside global Inside local Outside local Outside global - - - - - -问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）路由器接口错误地定义成了路由器接口错误地定义成了 NAT 内部接口或内部接口或 NAT 外部接口。外部接口。RouterA# show ip nat statistics Total active translations:0 (0 static, 0 dynamic; 0 extended) Outside interfaces:Ethernet0 Inside interfaces:Serial0 Hits:0 Misses: 0 问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）Ping 仍然失败，转换表中仍没有转换。仍然失败，转换表中仍没有转换。在要定义哪些地址要转换的在要定义哪些地址要转换的 ACL 中包含错误的通配符位掩码。中包含错误的通配符位掩码。RouterA# show access-listStandard IP access list 20 10 permit 0.0.0.0, wildcard bits 255.255.255.0问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）转换现在可以执行。转换现在可以执行。Ping 仍然失败。仍然失败。RouterA# show ip nat translations Pro Inside global Inside local Outside local Outside global - 172.16.17.20 192.168.1.2 - -问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）路由器路由器 B 上没有上没有到到转换后的网络地址转换后的网络地址 172.16.0.0 的路由。的路由。RouterB# sh ip routeCodes:C - connected, S - static, R - RIP, M - mobile, B - BGP Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnetsC 10.1.1.0/24 is directly connected, Serial0 192.168.2.0/24 is subnetted, 1 subnetsR 192.168.2.0/24 is directly connected, Ethernet0 192.168.1.0/24 is variably subnetted, 3 subnets, 3 masksR 192.168.1.0/24 120/1 via 10.1.1.1, 2d19h, Serial0问题示例：无法问题示例：无法 Ping 通远程主机（续）通远程主机（续）路由器路由器 A 通告了要被转换的网络通告了要被转换的网络 192.168.1.0，但没有通告路由器要被转换到的网络地址但没有通告路由器要被转换到的网络地址 172.16.0.0。RouterA# sh ip protocolRouting Protocol is ripOutgoing update filter list for all interfaces is not setIncoming update filter list for all interfaces is not setSending updates every 30 seconds, next due in 0 secondsInvalid after 180 seconds, hold down 180, flushed after 240Redistributing:ripDefault version control:send version 1, receive any versionAutomatic network summarization is in effectMaximum path: 4Routing for Networks: 192.168.0.0 10.0.0.0Routing Information Sources:Gateway Distance Last UpdateDistance:(default is 120)解决方案：正确的配置解决方案：正确的配置总结总结有三类有三类 NAT：静态、动态和过载：静态、动态和过载 (PAT)。静静态态 NAT 是是一一对对一一的的地地址址映映射射。动动态态 NAT 地地址址是是从从地地址址池池中中挑挑选的。选的。 NAT 过载过载 (PAT) 允许将许多内部地址映射到一个外部地址。允许将许多内部地址映射到一个外部地址。 使使用用 show ip nat translation 命命令令显显示示转转换换表表，并并检检验验是是否否发发生生转转换。换。要要确确定定是是否否在在使使用用当当前前转转换换条条目目，使使用用 show ip nat statistics 命命令令检检查使用次数计数器。查使用次数计数器。