静态NAT、动态NAT、Easy IP、NAT Server 详解

2026年4月7日 27点热度 0人点赞 0条评论

内容目录

静态NAT

1、直接在接口下配置 nat

[R1-GigabitEthernet0/0/1] interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 1.1.1.1 255.255.255.252
[R1-GigabitEthernet0/0/1] nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255

2、在全局下配置 nat

nat static global 125.171.0.10 inside 192.168.30.2 netmask 255.255.255.255
[R1-GigabitEthernet0/0/1] interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 1.1.1.1 255.255.255.252 
[R1-GigabitEthernet0/0/1] nat static enable

动态NAT

NO-PAT

基于地址池一对一映射（NO-PAT）：只对IP地址做转换，地址没有强绑定关系，随机一对一的关系

详细配置步骤：

1、创建地址池

nat address-group group-index start-address end-address 
//配置公网地址池范围，group-index为地址池编号，start-address，end-address分别为地址池起始地址和结束地址
nat address-group 1 1.2.3.10 1.2.3.20  
//address-group 1地址组1起始公网地址1.2.3.10结束公网地址1.2.3.20

2、配置地址转换的acl规则

acl number 2000  
 rule 10 permit source 192.168.10.0 0.0.0.255 
 rule 20 permit source 192.168.20.0 0.0.0.255 
 rule 30 permit source 192.168.30.0 0.0.0.255

3、接口视图下配置带地址池的NAT Outbound

[R1-GigabitEthernet0/0/1] interface GigabitEthernet0/0/1 
[R1-GigabitEthernet0/0/1] ip address 1.1.1.1 255.255.255.252 
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat  //接口出方向关联acl调用公网地址组

NAPT

基于地址池多对一映射（NAPT）：网络地址和端口都做转换，多对一的映射关系，仅允许内网访问外网

配置步骤跟no-pat相似，区别在于配置 nat outbound后面不需要加no-pat

例如：

[R1-GigabitEthernet0/0/1] undo nat outbound 2000 address-group 1 no-pat
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1

Easy IP

Easy IP 技术是对动态 NAPT 技术的简化，在Easy IP 技术中只会用到一个 IP 地址，因此无须建立公有 IP 地址池，用于转换的公网IP地址就是该路由器接口的 IP 地址。

Easy IP 实现原理跟NAPT相同，同时转换ip地址、传输层端口，区别在于Easy IP没有地址池的概念，使用接口地址作为NAT转换的公网地址。

Easy IP 适用于不具备固定公网ip地址的场景，如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换。

配置详解：假设 GigabitEthernet0/0/1 的地址不是固定IP地址（DHCP 动态获取或 PPPoE 拨号获取），此时需要配置Easy IP 。

[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 
[R1-GigabitEthernet0/0/1]nat outbound 2000

NAT Server

指定[公网地址:端口]与[私网地址:端口]的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用。（只开放特定的服务，如内网服务器既可以充当web服务也可以充当邮件服务，对外只开放web服务对应的端口）

当外边网络向内部服务器的外部地址（global-address）发起连接请求时，NAT 将该请求的目的地址替换为私网地址（inside-address）后，转发给私网内的服务器。

1、NAT Server/静态PAT

[R1-GigabitEthernet0/0/1] interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 1.1.1.1 255.255.255.252
[R1-GigabitEthernet0/0/1] nat server protocol tcp global 125.171.0.10 8080 inside 1

2、NAT Server外网接口IP复用

[R1-GigabitEthernet0/0/1] interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 192.168.30.100 80

案例：

①、同一台服务器使用同一个公网地址提供不同的服务

nat server protocol udp global 125.171.0.10 dns  inside 192.168.30.100 dns
nat server protocol tcp global 125.171.0.10 www  inside 192.168.30.100 www

②、同一台服务器使用不同一个公网地址提供不同的服务

nat server protocol udp global 125.171.0.10 dns  inside 192.168.30.100 dns
nat server protocol tcp global 125.171.0.11 www  inside 192.168.30.100 www

③、不同的服务器使用相同的公网地址提供不同的服务

nat server protocol udp global 125.171.0.10 dns  inside 192.168.30.100 dns
nat server protocol tcp global 125.171.0.10 www  inside 192.168.30.110 www