路由器NAT配置命令有哪些关键步骤？

路由器NAT（网络地址转换）配置是网络管理中的重要操作，它允许多台内部设备通过单个公共IP地址访问互联网，同时隐藏内部网络结构，提升安全性，以下是详细的NAT配置命令及操作步骤，涵盖静态NAT、动态NAT、PAT（端口地址转换，也称NAPT）等常见场景,并结合实例说明。

NAT配置基础命令

1. 进入全局配置模式
   首先需要通过终端或远程登录路由器，进入全局配置模式：

   enable
   configure terminal

2. 定义内部和外部接口
   NAT配置需明确内部接口（连接内部网络的接口）和外部接口（连接互联网的接口），假设内部接口为GigabitEthernet0/0，外部接口为GigabitEthernet0/1：

   interface GigabitEthernet0/0
    ip nat inside    ! 标记为内部接口
   exit
   interface GigabitEthernet0/1
    ip nat outside   ! 标记为外部接口
   exit

静态NAT配置

静态NAT将内部固定IP地址映射为固定的公共IP地址，适用于服务器等需要固定公网地址的场景。
命令示例：
将内部服务器168.1.100映射为公网IP0.113.10：

ip nat inside source static 192.168.1.100 203.0.113.10

验证命令：

show ip nat translations  ! 查看当前NAT转换表
show running-config | include ip nat  ! 查看NAT配置

动态NAT配置

动态NAT将内部私有IP地址池动态映射到一组公网IP地址池，适用于设备数量少于可用公网IP的场景。
配置步骤：

1. 定义内部IP地址池：

   ip nat pool NAT-POOL 203.0.113.20 203.0.113.30 netmask 255.255.255.224

2. 定义要转换的内部网络：

   access-list 10 permit 192.168.1.0 0.0.0.255  ! 允许192.168.1.0/24网段

3. 绑定地址池和访问控制列表：

   ip nat inside source list 10 pool NAT-POOL

   验证命令：

   show ip nat pool  ! 查看地址池配置
   show ip nat statistics  ! 查看NAT统计信息

PAT（NAPT）配置

PAT是最常用的NAT类型，允许多台内部设备共享单个公网IP地址，通过端口号区分不同连接。
配置步骤：

1. 使用接口地址作为公网IP（推荐）：

   ip nat inside source list 10 interface GigabitEthernet0/1 overload

2. 或使用地址池：

   ip nat inside source list 10 pool NAT-POOL overload

   说明：overload关键字启用PAT，若未指定，则默认为动态NAT。

   
   （图片来源网络，侵删）

示例：
假设内部网段为168.1.0/24，外部接口为GigabitEthernet0/1：

access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 interface GigabitEthernet0/1 overload

NAT配置常见问题排查

1. 无法上网

   • 检查接口是否正确标记为inside/outside：

     show ip interface brief | include "nat"

   • 验证ACL是否允许内部流量：

     show access-lists 10

   • 检查公网接口IP是否正确配置：

     show ip interface GigabitEthernet0/1

2. NAT转换表为空

   • 内部设备是否有流量触发NAT（可通过ping测试）；
   • 检查NAT配置是否生效：

     show ip nat translations

   • 若为动态NAT/PAT，确认地址池是否耗尽：

     show ip nat pool

NAT配置高级选项

1. 超时调整
   默认PAT条目超时时间为24小时，可通过以下命令修改：

   ip nat translation udp-timeout 30  ! UDP超时30秒
   ip nat translation tcp-timeout 3600 ! TCP超时1小时

2. NAT日志
   启用NAT事件日志：

   ip nat log translations syslog interval 5  ! 每5秒记录一次日志

配置示例汇总

以下为完整的PAT配置示例：

! 进入全局配置模式
configure terminal
! 定义接口
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no shutdown
exit
interface GigabitEthernet0/1
 ip address 203.0.113.1 255.255.255.224
 ip nat outside
 no shutdown
exit
! 定义ACL和NAT规则
access-list 10 permit 192.168.1.0 0.0.0.255
ip nat inside source list 10 interface GigabitEthernet0/1 overload
! 保存配置
end
write memory

相关问答FAQs

问题1：静态NAT和动态NAT的主要区别是什么？
解答：静态NAT为内部IP与公网IP建立一对一固定映射，适用于服务器等需固定公网地址的场景；动态NAT将内部IP动态映射到公网地址池，适用于设备数量较少且无需固定公网IP的情况，静态NAT无需配置ACL,而动态NAT需结合ACL指定可转换的内部IP范围。

问题2：PAT与动态NAT的核心区别是什么？为什么PAT更常用？
解答：PAT（端口地址转换）允许多个内部设备共享单个公网IP，通过端口号区分不同连接；动态NAT则每个内部IP需占用一个公网IP，PAT更常用是因为公网IP资源稀缺，且通过端口复用极大提升了公网IP的利用率,适合大多数企业或家庭网络场景。