一、NAT网络地址翻译

NAT 是一个 IETF 标准，允许一个机构以一个地址出现在 Internet 上。NAT 技术使得一

个私有网络可以通过 Internet 注册 IP 连接到外部世界，位于 Inside 网络和 Outside 网络

中的 NAT 路由器在发送数据包之前，负责把内部 IP 地址翻译成外部合法 IP 地址。NAT 将每

个局域网节点的 IP 地址转换成一个合法 IP 地址，反之亦然。它也可以应用到防火墙技术里，

把个别 IP 地址隐藏起来不被外界发现，对内部网络设备起到保护的作用，同时，它还帮助

网络可以超越地址的限制，合理地安排网络中的公有 Internet 地址和私有 IP 地【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.址的使用。

NAT 有三种类型：静态 NAT、动态 NAT 和端口地址转换（PAT）。

1．静态 NAT

静态 NAT 中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静

态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址

进行转换。如果内部网络有 E-mail 服务器或 FTP 服务器等可以为外部用户提供的服务，这

些服务器的 IP 地址必须采用静态地址转换，以便外部用户可以使用这些服务。

2．动态 NAT

动态 NAT 首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。动态 NAT

是动态一对一的映射。

3．PAT

PAT则是把内部地址映射到外部网络的I【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.P地址的不同端口上,从而可以实现多对一的映

射。PAT 对于节省 IP 地址是最为有效的。

二、静态 NAT 配置

1、目的

（1）静态 NAT 的特征

（2）静态 NAT 基本配置和调试

2、拓扑

3、实验步骤

（1）步骤 1：配置路由器 R1 提供 NAT 服务

R1(config)# ip nat inside source static 192.168.1.1 202.96.1.3

//配置静态 NAT 映射

R1(config)# ip nat inside source static 192.168.1.2 202.96.1.4

R1(config)# interface g0/0

R1(config-if【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.)# ip nat inside

//配置 NAT 内部接口

R1(config)# interface s0/0/0

R1(config-if)# ip nat outside

//配置 NAT 外部接口

R1(config)# router rip

R1(config-router)# version 2

R1(config-router)# no auto-summary

R1(config-router)# network 202.96.1.0

（2）步骤 2：配置路由器 R2

R2(config)# router rip

R2(config-router)# version 2

R2(config-rout【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.er)# no auto-summary

R2(config-router)# network 202.96.1.0

R2(config-router)# network 2.0.0.0

4.实验调试

（1） debug ip nat

该命令可以查看地址翻译的过程。

在 PC1 和 PC2 上 Ping 2.2.2.2（路由器 R2 的环回接口），此时应该是通的，路由器 R1

的输出信息如下：

R1# debug ip nat

*Mar 4 02:02:12.779: NAT*: s=192.168.1.1->202.96.1.3, d=2.2.2.2 [20240]

*Mar 4 02:02:12.791: N【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.AT*: s=2.2.2.2, d=202.96.1.3->192.168.1.1 [14435]

……

*Mar 4 02:02:25.563: NAT*: s=192.168.1.2->202.96.1.4, d=2.2.2.2 [25]

*Mar 4 02:02:25.579: NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.2 [25]

……

以上输出表明了 NAT 的转换过程。首先把私有地址“192.168.1.1”和“192.168.1.2”

分别转换成公网地址“202.96.1.3”和“202.96.1.4”访问地址“2.2.2.2”，然后回【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.来的时

候把公网地址“202.96.1.3”和 “202.96.1.4”分别转换成私有地址“192.168.1.1”和

“192.168.1.2”。

（2）show ip nat translations

该命令用来查看 NAT 表。静态映射时，NAT 表一直存在。

R1# show ip nat translations

Pro Inside global Inside local Outside local Outside global

— 202.96.1.3 192.168.1.1 — —

— 202.96.1.4 192.168.1.2 — —

以上输出表明了内部全局地址和内部【我.爱.线.报.网.】52xbw .cn 每日持.续更新.可.实操.的副.业.局部地址的对应关系。

【术语】

① 内部局部（inside local）地址：在内部网络使用的地址，往往是 RFC1918 地址；

② 内部全局（inside global）地址：用来代替一个或多个本地 IP 地址的、对外的、

向 NIC 注册过的地址；

③ 外部局部（outside local）地址：一个外部主机相对于内部网络所用的 IP 地址。

不一定是合法的地址；

④ 外部全局（outside global）地址：外部网络主机的合法 IP 地址。

以下是华为数通路由交换方向完整技术分享，欢迎对华为网络技术感兴趣的小伙伴们订阅。

华为新版HCIA数通路由交换

华为新版HCIP数通路由交换

华为新版HCIE数通路由交换