Cisco–NAT和PAT的配置 下面是实验拓扑图： 相关说明：NAT用于提供几乎无限的地址空间并掩藏内部网络寻址方案，地址管理更加容易，它允许严格控制进入和离开网络的流量；但是静态或动态NAT都存在一个问题，它只能提供一对一的地址转换。使用端口地址转换PAT可以实现地址复用的功能，使用PAT后，所有通过地址转换设备的机器都拥有了分配给它们相同IP地址，因此源端口号用来区分不同的连接。实验过程： I：配置各路由器的IP地址，确保直连接口能Ping通。 II：KC-R1模拟企业网关路由器。 KC-R1(config)#iproute0.0.0.00.0.0.0173.16.1.128#指向外网的静态路由 IV：配置NAT。 方法一：静态NAT KC-R1(config)#intf0/0 KC-R1(config-if)#ipnatinside#将f0/0设置为内网口 *Mar100:05:49.875:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceNVI0,changedstatetoup KC-R1(config-if)#exit KC-R1(config)#ints1/0 KC-R1(config-if)#ipnatoutside#将s1/0设置为外网口 KC-R1(config-if)#exit KC-R1(config)#ipnatinsidesourcestatic10.1.1.1173.16.1.56#静态NAT KC-R1(config)#exit Ping测试: PC-1#ping202.101.1.149#测试证明能通 Typeescapesequencetoabort. Sending5,100-byteICMPEchosto202.101.1.149,timeoutis2seconds: !!!!! Successrateis100percent(5/5),round-tripmin/avg/max=120/122/132ms 此时PC-1能通，PC-2不能通。 KC-R2#debugippacket#查看数据包 *Mar100:09:59.487:IP:tableid=0,s=10.1.1.2(Serial1/0),d=173.16.1.128(Serial1/0),routedviaRIB *Mar100:09:59.491:IP:s=10.1.1.2(Serial1/0),d=173.16.1.128(Serial1/0),len100,rcvd3 *Mar100:09:59.495:IP:s=173.16.1.128(local),d=10.1.1.2,len100,unroutable …………………. *Mar100:23:51.243:IP:s=202.101.1.149(local),d=173.16.1.56(Serial1/0),len100,sending *Mar100:23:51.447:IP:tableid=0,s=173.16.1.56(Serial1/0),d=202.101.1.149(Loopback0),routedviaRIB 方法二：动态NAT KC-R1(config)#ipnatpoolkachy173.16.1.58173.16.1.126netmask255.255.255.0#创建地址池 KC-R1(config)#access-list1permit10.1.1.00.0.0.255#创建ACL KC-R1(config)#ipnatinsidesourcelist1poolkachy#二者关联 KC-R1(config)#exit Ping测试 PC-1#ping202.101.1.149#测试证明能通 Typeescapesequencetoabort. Sending5,100-byteICMPEchosto202.101.1.149,timeoutis2seconds: !!!!! Successrateis100percent(5/5),round-tripmin/avg/max=96/125/148ms PC-1#telnet202.101.1.149#测试证明能远程连接 Trying202.101.1.149…Open Passwordrequired,butnoneset [Connectionto202.101.1.149closedbyforeignhost] 此时PC-2也可以ping通，telnet上。 查看当前KC-R1的NAT表。 KC-R1#shipnattranslations#查看NA