一、概述

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

这种方法需要在专用网（私网IP）连接到因特网（公网IP）的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址（公网IP地址）。这样，所有使用本地地址（私网IP地址）的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

另外，这种通过使用少量的全球IP地址（公网IP地址）代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。

二、NAT作用

将内部（私有）地址转换成外部（公有）地址

三、NAT应用方向

没有足够的公网IP连接到internet

当更换ISP需要重新编址

合并两个使用重叠地址空间的内部网络

使用单个IP地址支持基本的负载分担 四、NAT优点

节省了公网IP地址

能够处理编址方案重叠的情况

网络发生改变时不需要重新编址

隐藏了真正的IP地址

五、实例

1.静态NAT（一个内网地址对一个公网地址）

1、PC配置

PC1：IP：192.168.1.10 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC1，设置IP：192.168.1.10 子网掩码：255.255.255.255，网关指向192.168.1.1

PC2：IP：192.168.1.20 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC2，设置IP：192.168.1.20 子网掩码：255.255.255.255，网关指向192.168.1.1

2、R1配置：

[R1]int g0/0/0 //进入接口g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/0]undo shut//开启物理接口

[R1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]ip add 202.10.10.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/1]undo shut//开启物理接口

[R1-GigabitEthernet0/0/1]nat static global 15.0.0.10 inside 192.168.1.10 netmask 255.255.255.255 //添加PC1到15.0.0.10的IP映射

[R2]ip route-static 0.0.0.0 32 202.10.10.2 //配置默认路由，下一跳入接口 202.10.10.2

[R1-GigabitEthernet0/0/1]display nat static //查看NAT映射情况

3、ISP配置：

[R2]int g0/0/0 //进入接口g0/0/0

[R2-GigabitEthernet0/0/0]undo shut //开启物理接口

[R2-GigabitEthernet0/0/0]ip add 202.10.10.2 24 //配置IP地址及子网掩码长度

[R2]ip route-static 15.0.0.10 32 202.10.10.1 //NAT回指一条指向公司出口网关

4、测试：

PC1ping 202.10.10.2//能ping通

PC2 ping 202.10.10.2//不能ping通

2.动态NAT——PAT（多个内网地址对多个公网地址）

1.PC配置

PC1：IP：192.168.1.10 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC1，设置IP：192.168.1.10 子网掩码：255.255.255.255，网关指向192.168.1.1

PC2：IP：192.168.1.20 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC2，设置IP：192.168.1.20 子网掩码：255.255.255.255，网关指向192.168.1.1

2.R1配置

[R1]int g0/0/0 //进入接口g0/0/0

[R1-GigabitEthernet0/0/0]undo shut undo shut//开启物理接口

[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]undo shut //开启物理接口

[R1-GigabitEthernet0/0/1]ip add 202.10.10.1 24 //配置IP地址及子网掩码长度

[R1]nat address-group 1 15.0.0.10 15.0.0.11 //配置NAT外网地址池

[R1]acl 2000 //创建标准访问控制列表2000

[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //配置ACL抓取内网地址段

[R1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //在外网口调用acl2000

[R1]ip route-static 0.0.0.0 32 202.10.10.2 // 配置默认路由，下一跳入接口 202.10.10.2

[R1-GigabitEthernet0/0/1]display nat outbound //查看是否成功

3.ISP配置：

[ISP]int g0/0/0 //进入接口g0/0/0

[ISP-GigabitEthernet0/0/0]undo shut //开启物理接口

[ISP-GigabitEthernet0/0/0]ip add 202.10.10.2 24 //配置IP地址及子网掩码长度

[ISP]ip route-static 15.0.0.0 24 202.10.10.1 //NAT回指一条指向公司出口网关

4、测试：

PC1ping 202.10.10.2//能ping通

PC2 ping 202.10.10.2//能ping通

3.Easyip（多个内网地址对一个接口）

1.PC配置

PC1：IP：192.168.1.10 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC1，设置IP：192.168.1.10 子网掩码：255.255.255.255，网关指向192.168.1.1

PC2：IP：192.168.1.20 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC2，设置IP：192.168.1.20 子网掩码：255.255.255.255，网关指向192.168.1.1

2.R1配置

[R1]int g0/0/0 //进入接口g0/0/0 //进入接口g0/0/0

[R1-GigabitEthernet0/0/0]undo shut //开启物理接口

[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]undo shut //开启物理接口

[R1-GigabitEthernet0/0/1]ip add 202.10.10.1 24 //配置IP地址及子网掩码长度

[R1]acl 2000 //创建标准访问控制列表2000

[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //配置ACL抓取内网地址段

[R1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 //在外网口打下此命令

[R1-GigabitEthernet0/0/1]display nat outbound//查看是否成功

3、ISP配置

[ISP]int g0/0/0 //进入接口g0/0/0

[ISP-GigabitEthernet0/0/0]undo shut //开启物理接口

[ISP-GigabitEthernet0/0/0]ip add 202.10.10.2 24 //配置IP地址及子网掩码长度

4、测试：

PC1ping 202.10.10.2//能ping通

PC2 ping 202.10.10.2//能ping通

4.静态PAT（一对一，但外网口ip和服务映射内网服务器的IP和服务）

1.客户机配置

server：IP：192.168.1.10 子网掩码：255.255.255.255 网关：192.168.1.1

//配置FTP server，设置IP：192.168.1.10 子网掩码：255.255.255.255，网关指向192.168.1.1

开启ftp服务器功能

PC2：IP：192.168.1.20 子网掩码：255.255.255.255 网关：192.168.1.1

//配置PC2，设置IP：192.168.1.20 子网掩码：255.255.255.255，网关指向192.168.1.1

2.R1配置

[R1]int g0/0/0 //进入接口g0/0/0

[R1-GigabitEthernet0/0/0]undo shut //开启物理接口

[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1

[R1-GigabitEthernet0/0/1]undo shut //开启物理接口

[R1-GigabitEthernet0/0/1]ip add 202.10.100.1 24 //配置IP地址及子网掩码长度

[R1-GigabitEthernet0/0/1]nat server protocol tcp global 15.0.0.10 21 inside 192.168.1.10 21

//在外网接口下打nat server 协议为tcp，global 自己设定公网地址 ftp/21 inside 目的IP地址192.168.1.10 ftp/21

[R1]ip route-static 0.0.0.0 0 202.10.10.2 //配置默认路由，下一跳入接口 202.10.10.2

[R1]display nat server //查看地址映射是否成功

3.ISP配置

[ISP]int g0/0/0 //进入接口g0/0/0

[ISP-GigabitEthernet0/0/0]undo shut //开启物理接口

[ISP-GigabitEthernet0/0/0]ip add 202.10.100.2 24 //配置IP地址及子网掩码长度

[ISP]ip route-static 15.0.0.10 32 202.10.100.1 //配置静态路由，目的网段15.0.0.10，掩码长度32，下一跳入接口202.10.100.1

[ISP]nat alg ftp enable//开启ftp服务器功能

ftp 15.0.0.10 //访问ftp服务器

[ISP-ftp]ls //列出文件夹

[ISP-ftp]get test.txt //下载文件

4.在ISP上验证，可以成功登录ftp服务器，并下载文件。

ftp 15.0.0.10 //访问ftp服务器

[ISP-ftp]ls //列出文件夹

[ISP-ftp]get test.txt //下载文件

六、总结

出口路由器上必须配置默认路由