NAT技術與端口映射使用方法

靜態NAT:

本地地址與全局地址（公網）之間一對一映射，即一臺主機對應一個公網IP。

#ip nat inside source static 192.168.1.10 188.188.90.18

#interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

#interface FastEthernet0/1

ip address 188.188.90.18 255.255.255.240

ip nat outside

動態NAT：

需要一個地址池為內部用戶提供公有IP地址，動態NAT不能使用端口號，因此對於同時試圖訪問外網的每位用戶，都必須有一個公網IP地址。

#ip nat pool wan 87.19.190.3 87.19.190.254 netmask 255.255.255.0

#access-list 1 permit 192.168.1.0 0.0.0.255

#ip nat inside source list 1 pool wan

#interface FastEthernet0/0

ip address 87.19.190.2 255.255.255.0

ip nat outside

#interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

ip nat inside

NAT重載（PAT)：

端口地址轉換，使用了傳輸層端口號來標識本地主機，理論上最多可讓大約 65000臺主機共用一個公有IP地址，且路由器能夠確定應該將返回的數據流轉發給哪臺主機。

#ip nat inside source list 1 interface FastEthernet0/1 overload

或者（#ip nat pool wan 188.188.90.18 188.188.90.18 netmask 255.255.255.0 注意這個子網掩碼僅決定的是廣域網IP的範圍與本地IP範圍無關，因這隻有一個廣域網IP，所以可以用255.255.255.255也行。在華為、h3c中只有一個外網IP時，不能配置地址池的，否則在outbound時會出現地址衝突，所以一個外網IP時，只配置ACL並應用在outbound接口上即可）

#ip nat inside source list 1 pool wan overload)

#access-list 1 permit 192.168.1.0 0.0.0.255（為什麼會選用標準ACL做內部本地地址？是因為標準ACL是基於源IP地址的過濾，所以能篩選出要NAT的本地IP。）

#interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

#interface FastEthernet0/1

ip address 188.188.90.18 255.255.255.240

ip nat outside

端口映射技術：

其實是靜態NAT與PAT的結合，即局域網中主機的某一端口通過靜態方式映射到公網IP地址端口上。映射技術只能單一的實現所映射端口的特定功能，但一臺主機可映射多個不同端口到同一公網IP端口上。如23代表telnet，80代表http，21代表ftp等知名端口。

#ip nat inside source static tcp 192.168.1.10 21 188.188.90.18 21

#ip nat inside source static tcp 192.168.1.10 23 188.188.90.18 23

#ip nat inside source static tcp 192.168.1.10 23 188.188.90.18 5099（擴展使用方法：可以將23端口映射全局（公網)地址的非知名端口上，但這樣子映射後，訪問者要telnet 188.188.90.18的5099端口，這樣才能映射訪問到192.168.1.10的23上。如果訪問都使用默認telnet188.188.90.18的23端口是不行的）

注意：

1、在PAT局域網中使用端口映射時，必須先建立好PAT，並測試能正常通信，最後才配置端口映射。否則局域網中沒有映射的主機將無法通信。

2、端口映射可跨內網路由器配置，即在公網出口的路由器上做NAT及端口映射。一個由多個路由器組成的內網，這個內網中的任何IP都是唯一的（即分組中的源IP地址和目標IP地址在內網是不變的），而端口映射是在第三層及以上才發生的，所以在內網中任何路由器上做NAT和端口映射都可以，但前提是這個路由器是出公網端的路由器。

內網跨路由器端口映射配置方法如下：

Router0

# ip nat inside source list 1 interface FastEthernet0/1 overload

ip nat inside source static tcp 192.168.1.100 23 100.231.212.5 23

ip nat inside source static tcp 192.168.1.200 21 100.231.212.5 21

ip nat inside source static tcp 192.168.1.200 80 100.231.212.5 80

access-list 1 permit 10.1.1.0 0.0.0.15

access-list 1 permit 192.168.1.0 0.0.0.255

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

華為做單臂路由+NAT上網時的注意（其他品牌目前沒有發現這種情況）：

華為AR2200路由器

#

acl number 2000

rule 5 permit

acl number 2010

rule 5 permit source 192.168.0.0 0.0.255.255

#

interface GigabitEthernet0/0/1

ip address 12.226.3.52 255.255.255.0

nat server protocol tcp global current-interface 10000 inside 10.45.42.10 3389

nat server protocol tcp global current-interface 8088 inside 10.45.42.10 8088

nat server protocol udp global current-interface 8900 inside 10.45.42.10 8900

nat server protocol tcp global current-interface 10001 inside 10.45.42.11 3389

nat server protocol tcp global current-interface 9015 inside 10.45.42.20 9015

nat server protocol tcp global current-interface 9016 inside 10.45.42.20 9016

nat server protocol udp global current-interface 9015 inside 10.45.42.20 9015

nat server protocol udp global current-interface 9016 inside 10.45.42.20 9016

nat outbound 2000

#

interface GigabitEthernet0/0/2

#

interface GigabitEthernet0/0/2.10

dot1q termination vid 10

ip address 192.168.10.244 255.255.255.0

arp broadcast enable（必須配置，才能NAT）

#

interface GigabitEthernet0/0/2.11

dot1q termination vid 11

ip address 192.168.1.244 255.255.255.0

arp broadcast enable

#

interface GigabitEthernet0/0/2.20

dot1q termination vid 20

ip address 10.45.42.59 255.255.255.192

arp broadcast enable

nat outbound 2010

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 12.226.3.100

當配置完ACL以及NAT後，如果子接口不加arp broadcast enable，那麼還是不能上外網的，所以華為時必須注意的這種特殊情況。

閱讀更多 愛學習de小烏龜 的文章

關鍵字: 華為公司 地址 路由器