cisco-router-nat/pat网络/端口地址转换

43fdw

（以下所有内容为本手纯手打，有纰漏的地方，也请大家多多包含可发小猪消息赐教交流！）
（本文所有内容及批注呈内收递归的架构显示，因格式显示不懂之处望谅解！）
（本文手打之，命令关键字大多使用简写，如有不明最好是键入命令时惯用tab补全！）


网络地址转转nat（static静态转换/dynamic动态转换）、端口多路复用pat：


1、静态nat的配置：
router(config)#int f0/0
router(config-if)#ip add 10.0.0.1 255.255.255.0 (设置外部端口的ip地址）
router(config)#int f1/0
router(config-if)#ip add 192.168.1.1 255.255.255.0 (设置内部端口的ip地址）
router(config)#ip nat inside source static local-ip global-ip [extendable]
            (这里是将内部局部地址静态转换为内部全局地址，extendable为可选项，表示支持多个global-ip）
            (inside表示对从inside口进入的流量源地址进行静态转换，static为静态，例如配置：）
                        router(config)#ip nat in so stat 192.168.1.10 10.0.0.2
                        router(config)#ip nat in so stat 192.168.1.100 10.0.0.3 extendable
                        router(config)#ip nat in so stat 192.168.1.100 10.0.0.4 extendable
                        （这里配置static-nat，可以发现，并没有减少global-ip的使用！！！）
router(config)#int f0/0
router(config-if)#ip nat oustside
router(config-if)#int f1/0
router(config-if)#ip nat inside    (在内部或外部端口启用NAT）
router(config)#ip route 0.0.0.0 0.0.0.0 gateway-ip   (配置默认路由网关ip）
        （以上为静态nat配置地址转换全部完毕）

2、nat的端口映射：
router(config)#ip nat in so stat protocol local-ip udp/tcp-port global-ip port [extendable]
        (以上为将内部某服务器端口号转化为全局地址端口号使用，主要用来发布内部服务器：web）
router(config)#ip nat in so stat tcp 192.168.1.10 80 10.0.0.2 8080 extendable
router(config)#ip nat in so stat tcp 192.168.1.100 25 10.0.0.2 25 extendable
        (这里还可以把内部不同服务器的不同服务端口映射到同一个ip上的不同端口上）

3、动态nat的配置：
router(config)#int f0/0
router(config-if)#ip add 10.0.0.1 255.255.255.0  (设置外部端口ip）
router(config-if)#int f1/0
router(config-if)#ip add 192.168.1.1 255.255.255.0 （设置内部端口ip）
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
        (这里是定义内部网络中允许访问外网的acl）
router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask |prefix-length prefix-length } [type rotary]  （定义合法ip地址池，用来地址转换的global-ip）
        (pool-name:合法地址池的名称      start-ip/end-ip:地址池内起始和终止ip，表示范围
         netmask ：子网掩码，用十进制表示如24位子网掩码表示为netmask 255.255.255.0
         prefix-length :子网掩码用位数表示，如prefix-length 24，即表示24位的子网掩码
         type rotary :可选项，表示地址池ip为循环使用）
        (这里合法地址池可同时定义多个，来供给不同需求调配使用，举例如下：）
                router(config)#ip nat pool test1 10.0.0.10 10.0.0.20 netmask 255.255.255.0
                router(config)#ip nat pool test2 20.0.0.10 20.0.0.20 prefix-length 24
                router(config)#ip nat inside source list acl-name pool pool-name [overload]                         (实现网络地址转换)
        (这里 voerload为扩展可选项，表示地址复用，用于pat,单纯的动态nat并不配置此项）
router(config)#ip nat in so list 1 pool test1
router(config)#ip nat in so list 1 pool test2
        (这里可以同时为一个acl调配多个pool，用来扩大可转换的地址范围）
router(config)#int f0/0
router(config-if)#ip nat outside
router(config-if)#int f1/0
router(config-if)#ip nat inside (在内部和外部端口启用nat）
router(config)#ip route 0.0.0.0 0.0.0.0 gateway-ip
        (配置默认路由，保证数据包正常选路路由，这里gateway通过isp下发配置）

4、配置pat端口多路复用地址转换：
pat和动态nat的区别：都是动态地址转换，配置上基本一样
    pat启用voerload地址复用选项，而动态nat没有，但可以通过此选项变换成pat
    pat一般用于只有一个或可分配合法ip比较少的情况下用一个合法ip完成地址转换效果
    动态nat虽然可以动态转换并可循环使用合法ip，但依然是一对一地址转换
    pat是通过允许对tcp/udp连接会话端口进行地址转换，成为端口多路复用！！！
配置如下（直接举例）：
router(config)#int f0/0
router(config-if)#ip add 10.0.0.1 255.255.255.0  (设置外部端口ip）
router(config-if)#int f1/0
router(config-if)#ip add 192.168.1.1 255.255.255.0 （设置内部端口ip）
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255   (定义acl）
router(config)#ip nat pool onlyone 10.0.0.10 10.0.0.10 prefix-length 24  （定义合法地址池）
        （这里start-ip/end-ip一样则表示只有一个合法ip可使用，动态nat中同理）
        （值得注意：这里只有一个合法ip不能配成外部端口ip地址，如果只有一个外部端口合法ip可以使用，请详细看5配置，复用路由器外部接口地址转换）
router(config)#ip nat in so list 1 pool onlyone overload  (配置端口多路复用地址转换）
router(config)#int f0/0
router(config-if)#ip nat outside
router(config-if)#int f1/0
router(config-if)#ip nat inside (在内部和外部端口启用nat）
router(config)#ip route 0.0.0.0 0.0.0.0 gateway-ip
        (配置默认路由，保证数据包正常选路路由，这里gateway通过isp下发配置）

5、复用路由器外部接口地址转换（pat）：
（使用于：公司内部只有一个合法ip，则必须用于外部端口，这种情况下应配置如下：）
router(config)#int f0/0
router(config-if)#ip add 10.0.0.1 255.255.255.0  (设置外部端口ip）
router(config-if)#int f1/0
router(config-if)#ip add 192.168.1.1 255.255.255.0 （设置内部端口ip）
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255   (定义acl）
        (由于地址转换是直接应用外部接口地址，所以此处不必定义合法地址池！！！）
router(config)#ip nat in so list 1 int f0/0 voerload  (配置复用路由器外部端口地址转换）
router(config)#int f0/0
router(config-if)#ip nat outside
router(config-if)#int f1/0
router(config-if)#ip nat inside (在内部和外部端口启用nat）
router(config)#ip route 0.0.0.0 0.0.0.0 gateway-ip
        (配置默认路由，保证数据包正常选路路由，这里gateway通过isp下发配置）

6、验证nat配置及相关优化：
router#sh run（这里是可以看到nat配置信息及端口启用nat情况）
router#sh ip nat translations 【verbose】 (查看nat的转换条目，verbose可查看详细条目）
router#sh ip nat statistics  (产看nat的统计信息）
router(config)#ip nat translation {dns-timeout | icmp-timeout | tcp-timeout | udp-timeout | finrst-timeout | syn-timeout } { seconds | never}
        (此配置为用户修改超时的默认值，可针对不同的协议进行配置！）
        (如ip nat translation icmp-timeout 120 表示icmp协议转换nat超时为120s）

(当设备中存在大量的nat转换条目事，会占用大量的内存和cpu资源，可以使用以下配置优化 ：）
        router#clear ip nat translation *  (清空所有动态地址转换条目，*表示任意值）
        router#clear ip nat translation inside local-ip global-ip
        router#clear ip nat translation outside local-ip global-ip
                (清空包含一个内部地址转换/外部地址转换的简单条目，一般用来清空静态nat使用）

（常见nat故障处理简单思路：）
（一般两种原因：配置错误或是没有正确理解nat的工作方式！）
        1、是否设置了acl访问控制阻塞了内部地址转换，或是没有配置允许acl通过地址转换的流量
        2、定义nat的acl是是否遗漏需要允许地址转换的ip地址条目
        3、如果是配置的pat，是否遗漏了voerload关键命令，从而没有启用端口多路复用地址转换
        4、是否正确使用nat命令，启动nat配置inside和outside接口错误，形成不对称路由或是直接错误
        5、nat地址池和静态nat表项中是否有重复使用的合法ip，否则会导致nat间断性失败！



（以上如有故障，还可以通过：debug ip nat 来动态跟踪nat地址转换操作！！！）

（以上为cisco-router的地址转换全部基本配置，到此完毕！下期小猪将给大家整理Cisco-sw-router-acl访问控制列表策略基础配置，敬请关注！）