思科NAT配置详解

实验拓扑 R1做出口路由器，R2做运营商设备，R1做端口映射使R2可以对R3远程管理

实验需求1、 在R1上做静态NAT使内网主机可以访问外网2、 在R1上做动态NAT使内网主机可以访问外网3、 在R1上做PAT使内网主机可以访问外网4、 在R1上做静态端口映射使R2可以远程管理R3
R1配置：R1(config)#inter f0/0R1(config-if)#ip nat inside //指定内部接口R1(config-if)#inter f0/1R1(config-if)#ip nat outside //指定外部接口R1(config-if)#exitR1(config)#ip nat inside source static 192.168.1.10202.106.1.1 //配置静态NAT使192.168.1.10访问外网转换为202.106.1.1这个公网地址在R2上做一条回程路由R2(config)#ip route 202.106.1.1 255.255.255.255 12.0.0.1
Ping测试


在R1上开启查看NAT转换条目执行：R1#debug ip nat //查看NAT转换条目

动态NAT：
步骤：创建地址池→定义访问控制列表→关联地址池与访问控制列表R1配置：R1(config)#inter f0/0R1(config-if)#ip nat inside R1(config-if)#inter f0/1R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip nat pool abc 202.106.1.1 202.106.1.10 netmask255.255.255.0 //创建一个地址池以202.106.1.1开始到202.106.1.10结束R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定义一个访问控制列表R1(config)#ip nat inside source list 10 pool abc //将列表10与地址池关联起来，允许列表10的用户去地址池里面拿地址
动态NAT就配置完成了，然后在R2上配置回程路由就可以通了这里就省略了。
Ping检测







可以通过命令来查看NAT的映射条目

PAT配置 R1配置：
R1(config)#inter f0/0R1(config-if)#ip nat inside R1(config-if)#inter f0/1R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip nat pool abc 202.106.1.1 202.106.1.1 netmask255.255.255.0 //创建一个地址池只有一个地址R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 //定义一个访问控制列表R1(config)#ip nat inside source list 10 pool abc overload //将地址池与访问控制列表关联起来，并且超载使用地址池里面的地址
Ping测试



会发现不管是C1还是C2都使用202.106.1.1这一个地址了 如果现在一个公网地址都没有了呢？那就只能对外网口的IP进行复用了。
R1配置：
R1(config)#ip nat inside source list 10 interface f0/1overload //让列表中的地址反复是因F0/1的地址
Ping测试

静态端口映射如果我就一外网口的地址，如何才能让外网的地址访问内网的服务呢？这里以telnet为例做静态端口映射配置 在R1上做配置：
R1(config)#ip nat inside source static tcp 192.168.1.30 23interface f0/1 23 //将F0/1接口的23端口映射到内网192.168.1.30的23端口 验证：在R2上telnet R1的F0/1接口



Show ip nat translations ：查看静态映射条目Show run | section nat ：查看NAT配置命令Cleaer ip nat translation * ：清除NAT转换条目Debug IP nat ：查看NAT转换条目
本文出自 “SunJ” 博客，谢绝转载！