如何设置nat？

假设某公司申请DDN专线时，电信提供的合法地址为61.138.0.93/30，61.128.0.94/30，公司内部网络地址为192.168.0.0/24，路由器局域口地址192.168.0.254/24，广域口地址61.138.0.93/30，

当192.168.0.1/24这台计算机向INTERNET上的服务器202.98.0.66发出请求，则相应的 *** 作过程如下：

⑴内部主机192.168.0.1/24的用户发出到INTERNET上主机202.98.0.66的连接请求

⑵边界路由器从内部主机接到第一个数据包时会检查其NAT映射表，如果还没有为该地址建立地址转换映射，路由器便决定为该地址进行地址转换，路由器为该内部地址192.168.0.1到合法IP地址61.138.0.93的映射，同时附加端口信息，以区别与内部其他主机的映射。

⑶边界路由器用合法IP地址61.138.0.93及某端口号来替换内部IP地址192.168.0.1和对应的端口号，并转发该数据包。

⑷INTERNET服务器202.98.0.66接到该数据包，并以该包的地址(61.138.0.93)来对内部主机192.168.0.1作出应答。

⑸当边界路由器接受到目的地址为61.138.0.93的数据包时路由器将使用该IP地址、端口号从NAT的映射表中查找出对应的内部地址和端口号，然后将数据包的目的地址转化为内部地址192.168.0.1，并将数据包发送到该主机。对于每一个请求路由器都重复2-5的步骤。

NAT的功能就是指将使用私有地址的网络与公用网络INTERNET相连，使用私有地址的内部网络通过NAT路由器发送数据时，私有地址将被转化为合法注册的IP地址从而可以与INTERNET上的其他主机进行通讯。

NAT路由器被置于内部网和INTERNET的边界上并且在把数据包发送到外部网络前将数据包的源地址转换为合法的IP地址。当多个内部主机共享一个合法IP地址时，地址转换是通过端口多路复用即改变外出数据包的源端口并进行端口映射完成。

1、添加一对一NAT映射规则，登录路由器的管理界面，点击传输控制，转发规则，NAT映射，添加对应规则。

2、添加WEB服务器映射，源端口范围是指NAT连接时的源端口范围，合法范围为2049，65000，保存默认不要修改，在NAT映射中，填写WEB服务器的IP地址，公网IP地址，开启DMZ转发，启用规则，点击新增。

3、添加E，Mail服务器规则，按照相同的设置方法，添加E，Mail服务器的映射规则，确认规则启用，映射成功。

NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要给外部网络提供一个访问内网主机的机会，如给外部网络提供一台Web服务器，或是一台FTP 服务器。

NAT设备提供的内部服务器功能，即是通过静态配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网IP地址到私网IP地址的“反向”转换。

如上图所示，外部网络用户访问内部网络服务器的数据报文经过NAT设备时，NAT设备根据报文的目的地址查找地址转换表项，将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时，NAT设备再根据已有的地址映射关系将回应报文的'源IP地址和端口号转换成公网IP地址和端口号。

配置思路：

1、使能NAT ALG功能，保证特定的应用层协议能够正常穿越NAT。

2、进入连接外网的接口。

3、配置NAT Server，使得设备能够根据公网信息查询到对应的服务器私网信息。

真实配置视频实录

当内部网络有大量用户需要访问外部网络时，可以通过配置访问控制列表和地址池（或接口地址）的关联，由“具有某些特征的IP报文”挑选使用“地址池中地址（或接口地址）”，从而建立动态地址映射关系。这种情况下，关联中指定的地址池资源由内网报文按需从中选择使用，访问外网的会话结束之后该资源便释放给其它用户。

配置思路

1、配置控制地址转换范围的ACL规则

2、配置ACL规则与公网地址关联。分为地址池方式与接口地址方式（该方式称之为Easy IP功能）。

地址池方式

a. 配置公网地址池

b. 进入接口视图

c. 配置ACL规则与地址池的关联

Easy IP方式

a. 进入接口视图

b. 配置接口地址

c. 配置ACL规则与接口地址的关联

---