导航：首页 > 网络安全 >

静态NAT、NAT静态端口映射

发表于：2025-12-02 作者：千家信息网编辑

千家信息网最后更新 2025年12月02日，网络地址转换（NAT）结构：NAT概述地址转换出现的背景NAT的工作原理：Network Address Translation，网络地址转换NAT实现方式：1.静态转换（Static Transla

千家信息网最后更新 2025年12月02日静态NAT、NAT静态端口映射

网络地址转换（NAT）

结构：

NAT概述

地址转换出现的背景

NAT的工作原理：

Network Address Translation，网络地址转换

NAT实现方式：

1.静态转换（Static Translation）

2.动态转换（Dynamic Translation）

3.端口多路复用（Port Address Translation，PAT）

NAT的术语与转换表

NAT包含4类地址

1.内部局部地址：源IP=192.168.1.2

2.外部局部地址：目的IP=203.52.23.55

3.内部全局地址：源IP=125.25.65.3

4.外部全局地址：目的IP=203.51.23.55

访问外部服务器的过程：先查询路由表再查看NAT表进行转换

数据包回来的过程：先查询NAT表进行转换在查看路由表

NAT的转换条目：

1.简单转换条目：只转换IP

2.扩展转换条目：既转换IP也转换端口port

NAT实现方法的工作过程

静态转换和动态转换：

一个私网地址对一个公网i地址进行转换

PAT：多个私网地址转换成一个公网地址，利用端口进行识别

转换的是同一IP，用端口加以区分

NAT地址的优点：

1.缓解IP地址资源匮乏

2.安全性：看不到来访者的真正地址，因为会伪装成公网地址

3.处理地址重叠

4.增强灵活性

NAT的缺点：

1.延迟增大

2.配置和维护的复杂性

3.不支持某些应用，可以通过静态NAT映射来避免
虚拟专网要求两端固定IP对联IP不能变，此时会有穿越NAT设备配置

NAT配置步骤

1.接口IP地址配置

2.使用访问控制列表定义哪些内部主机能做NAT

3.决定采用什么公有地址，静态或地址池

router(config)#ip nat pool pool-name star-ip {netmask netmask | prefix-length prefix-length} [type rotary]

4.指定地址转换映射

router(config)#ip nat inside source static local-ip global-ip [extendable]router(config)#ip nat inside source static access-list-number pool pool-name[overload]

5.在内部和外部端口上启用NAT

静态NAT配置

将内网地址192.168.100.2 / 192.168.100.3静态转换为合法的外部地址61.159.62.131 / 61.159.62.132，以便访问外部网络或被外部网络访问

设置外部端口的IP地址：

router(config)#interface FastEthernet 0/0router(config-if)#ip address 61.159.62.130 255.255.255.248router(config-if)#no shut

设置内部端口的IP地址：

router(config)#interface FastEthernet 1/0router(config-if)#ip address 192.168.100.1 255.255.255.0router(config-if)#no shut

建立静态地址转换：

router(config)#ip nat inside source static 192.168.100.2 61.159.62.130router(config)#ip nat inside source static 192.168.100.3 61.159.62.131

在内部和外部端口上启用NAT：

router(config)#inerface FastEthernet 0/0router(config)#ip nat outsiderouter(config)#interface FastEthernet 1/0router(config)#ip nat inside

配置默认路由：

router(config)#ip router 0.0.0.0 0.0.0.0 61.159.62.129

Demo1：静态NAT

sw：

sw#conf tsw(config)#no ip routingsw(config)#int f1/0sw(config-if)#speed 100sw(config-if)#dup full  sw(config-if)#ex

R2：

R2#conf tR2(config)#int f0/0R2(config-if)#ip add 12.0.0.2 255.255.255.0R2(config-if)#no shutR2(config-if)#int fR2(config-if)#int f0/1 R2(config-if)#ip add 13.0.0.1 255.255.255.0R2(config-if)#no shutR2(config-if)#exR2(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1

R1：

R1#conf tR1(config)#int f0/0R1(config-if)#ip add 192.168.100.1 255.255.255.0R1(config-if)#no shutR1(config)#int f0/1R1(config-if)#ip add 12.0.0.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exR1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2

配置主机地址：

PC1> ip 192.168.100.10 192.168.100.1Checking for duplicate address...PC1 : 192.168.100.10 255.255.255.0 gateway 192.168.100.1PC2> ip 192.168.100.20 192.168.100.1Checking for duplicate address...PC1 : 192.168.100.20 255.255.255.0 gateway 192.168.100.1PC3> ip 13.0.0.13 13.0.0.1Checking for duplicate address...PC1 : 13.0.0.13 255.255.255.0 gateway 13.0.0.1

测试全网互通：

PC1> ping 192.168.100.2084 bytes from 192.168.100.20 icmp_seq=1 ttl=64 time=0.000 ms84 bytes from 192.168.100.20 icmp_seq=2 ttl=64 time=0.000 ms84 bytes from 192.168.100.20 icmp_seq=3 ttl=64 time=0.000 ms84 bytes from 192.168.100.20 icmp_seq=4 ttl=64 time=0.000 ms84 bytes from 192.168.100.20 icmp_seq=5 ttl=64 time=0.000 msPC1> ping 13.0.0.13     13.0.0.13 icmp_seq=1 timeout13.0.0.13 icmp_seq=2 timeout84 bytes from 13.0.0.13 icmp_seq=3 ttl=62 time=62.485 ms84 bytes from 13.0.0.13 icmp_seq=4 ttl=62 time=69.039 ms84 bytes from 13.0.0.13 icmp_seq=5 ttl=62 time=69.046 ms

NAT地址转换配置：

R1(config)#ip nat inside source static 192.168.100.10 12.0.0.10R1(config)#ip nat inside source static 192.168.100.10 12.0.0.20R1(config)#int f0/0R1(config-if)#ip nat insideR1(config-if)#int f0/1R1(config-if)#ip nat outsideR1(config-if)#endR1#debug ip nat     IP NAT debugging is on

测试是否进行NAT地址转换：

PC1> ping 13.0.0.1313.0.0.13 icmp_seq=1 timeout13.0.0.13 icmp_seq=2 timeout84 bytes from 13.0.0.13 icmp_seq=3 ttl=62 time=84.698 ms84 bytes from 13.0.0.13 icmp_seq=4 ttl=62 time=85.265 ms84 bytes from 13.0.0.13 icmp_seq=5 ttl=62 time=69.205 ms*Mar  1 00:23:50.619: NAT*: s=13.0.0.13, d=12.0.0.10->192.168.100.10 [5464]*Mar  1 00:23:51.831: NAT*: s=13.0.0.13, d=12.0.0.10->192.168.100.10 [5465]//将目标地址12.0.0.10转换成192.168.100.10，这个就是静态地址转换的过程

Demo2：NAT静态端口映射

Linux搭建的一台Web服务器，局域网地址为192.168.100.100，默认端口为80端口

局域网的网关192.168.100.1

广域网的客户机无法直接访问100.100地址，如果想访问的话就需要做端口映射

映射地址：192.168.100.100:80--->12.0.0.100:8080

别人只能看到你的公网i地址，私网地址是不能直接访问的

win7作为广域网的客户端

CentOS 7做为Web服务器做以下操作：

[root@localhost ~]# yum install httpd -y[root@localhost ~]# vim /var/www/html/index.html        //写测试网页this is inside web
[root@localhost ~]# systemctl start httpd[root@localhost ~]# systemctl stop firewalld.service [root@localhost ~]# setenforce 0

此时通过CentOS7的火狐浏览器自测是可以看到我们写的网页文件的内容的：

绑定端口为VMnet1，设置固定IP为100.100：

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 改dhcp为static在末行按o在下行插入IPADDR=192.168.100.100NETMASK=255.255.255.0GATEWAY=192.168.100.1wq保存退出[root@localhost ~]# service network restartRestarting network (via systemctl):                        [  确定  ][root@localhost ~]# ifconfigens33: flags=4163  mtu 1500        inet 192.168.100.100  netmask 255.255.255.0  broadcast 192.168.100.255

配置网关地址：

R1#conf t R1(config)#int f0/0R1(config-if)#ip add 192.168.100.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exR1(config)#int f0/1  R1(config-if)#ip add 12.0.0.1 255.255.255.0R1(config-if)#no shutR1(config-if)#ex

win7绑定网卡VMnet2，同时配置固定IP：

访问对方192.168.100.100，此时是可以访问的，但是真实情况下是无法直接访问对方私有地址的：

NAT地址转换配置：

R1(config)#ip nat inside source static tcp 192.168.100.100 80 12.0.0.100 8080 extendable R1(config)#int f0/0R1(config-if)#ip nat insideR1(config-if)#int f0/1R1(config-if)#ip nat outsidR1(config-if)#endR1#debug ip natIP NAT debugging is on*Mar  1 00:36:59.327: NAT*: TCP s=49160, d=8080->80*Mar  1 00:36:59.327: NAT*: s=12.0.0.12, d=12.0.0.100->192.168.100.100 [364]//端口和地址都进行了转换