关于CISCO NAT静态地址的配置

以下是我之前做的实验，你可以参考一下，两种方式，做NAT的，PAT的没做

R1：FastEthernet0/0            222.1.1.1          

       FastEthernet0/1            192.168.2.254

C1 IP：192.168.2.200

R2：FastEthernet0/0            222.1.1.2

     Loopback0                  8.1.1.1

R1 上的配置：

interface FastEthernet0/0

ip address 222.1.1.1 255.255.255.0

ip nat outside           注意接外网的接口用outside

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.2.254 255.255.255.0

ip nat inside                接内网的接口用Inside

duplex auto

speed auto

!

ip nat pool servers 222.1.1.10 222.1.1.10 netmask 255.255.255.0    建立地址池

ip nat inside source list 101 pool servers overload                     做映射

ip classless

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0

no ip http server

!

access-list 101 permit ip host 192.168.2.200 any                    建立acl，你需要映射出去的IP

以下是测试结果：R2为外网ping 192.168.2.200

R2#ping 192.168.2.200

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.200, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 24/36/80 ms

以下是在R1上debug ip nat

00:31:46: NAT: s=192.168.2.200->222.1.1.10, d=222.1.1.2 [1794]

00:31:46: NAT: s=192.168.2.200->222.1.1.10, d=222.1.1.2 [1795]

00:31:46: NAT: s=192.168.2.200->222.1.1.10, d=222.1.1.2 [1796]

00:31:46: NAT: s=192.168.2.200->222.1.1.10, d=222.1.1.2 [1797]

00:31:46: NAT: s=192.168.2.200->222.1.1.10, d=222.1.1.2 [1798]

所用的外网IP就是建立地址池的222.1.1.10

还有一种NAT命令，地址单对单映射，直接用 ip nat inside source static 192.168.2.200 222.1.1.10,接品的inside和outside还是一样，也实现你的要求。这里就不需要acl和建立地址池了

思科路由器的用户使用量还是非常多的，同时很多一般的用户对于思科路由器nat配置还不是太了解，但是NAT配置对于网络环境和安全还是很重要的。

如何进行有效的思科路由器nat配置，对于一般用户来说还是比较困难的，于是我研究了一下有关思科路由器nat配置的综合知识，在这里拿出来和大家分享一下，希望对大家有用。

一、NAT简介：

NAT（Network Address Translation）网络地址转换，最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中，思科路由器nat配置最主要的作用是为了缓解IPv4地址空间的不足，同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换 *** 作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器；改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。但是利还是要大于弊的，不然也不会学习它了！***的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。

二、思科路由器nat配置术语：比较难理解，所以这里用最明了的语言总结如下

内部本地地址（ inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。

内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。

外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。

外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。

三、思科路由器nat配置详解：

1、静态NAT：将一个私有地址和一个公网地址一对一映射的思科路由器nat配置方法，这种方式不能节省IP，通常只为需要向外网提供服务的内网服务器配置。各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要为192.168.0.0网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也不叫私有地址了）

思科路由器nat配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S0/0，再向前就ping不通了。因为没有192.168.0.0网络的路由表项，所以被丢弃了！下面在R1上配置静态NAT让PC1可以和PC3通信。

2、动态NAT：现在PC1就可以和PC3通信了。但是PC2不能，因为R1并没有为PC2提供地址转换。当然我们可以在R1上像给PC1做静态转换一样也给PC2做一个，可如果我们有100台机器工作量就太大了。下面在R1上再继续思科路由器nat配置：

Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255 //定义标准访问控制列表10只允许定义的地址能够被转换

Router(config)#ip nat pool out 202.106.0.4 202.106.0.24 netmask 255.255.255.0 //定义名称为out的地址池。

Router(config)#ip nat inside source list 10 pool out //将访问控制列表定义的地址和地址池关联这样就有前

---