思科多nat顺序

最新推荐文章于 2025-06-12 21:28:10 发布

原创

最新推荐文章于 2025-06-12 21:28:10 发布 · 2.7k 阅读

3 ·

CC 4.0 BY-SA版权

本文详细探讨了思科网络设备中的NAT（网络地址转换）配置顺序问题。与H3C不同，思科的NAT配置不在接口上，而是全局配置，并且在分组数据路由到出口后，会按照配置顺序进行匹配。实验结果显示，配置的顺序至关重要，可能导致数据包错误地被转换。通过调整NAT列表顺序或添加访问控制列表，可以解决这个问题。建议在配置思科NAT时特别注意顺序，以确保网络通信的正确性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

思科nat与h3c的nat过程不一样的：思科是在全局配置命令下做nat配置的，而H3c则是直接在接口上配置nat（哪条nat条目被应用于此接口，直接在此条目上过滤）。思科的这种配置法会使分组数据在路由到出口后，需要按照nat的排序（可通过show run查看排序）来进行匹配，从而满足条件后做NAT。所以配置思科nat时，请注意nat的先后顺序。这个结论是经过无数次的实验而得出的。

实验拓扑

附：R2中10.45.1.0及1.1.1.0网段的接口为outside；192.168.1.0接口为inside。

R2配置：

R2(config)#do sh run
Building configuration...

Current configuration : 1436 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
!
!
ip cef
no ip domain lookup
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!

!
ip tcp synwait-time 5

!
interface Ethernet0/0
ip address 1.1.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
!
interface Ethernet0/1
ip address 10.45.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
half-duplex
!
no ip http server
no ip http secure-server
!
no ip classless
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip route 10.0.0.0 255.0.0.0 10.45.1.3
!
ip nat inside source list wan interface Ethernet0/0 overload
ip nat inside source list wan2 interface Ethernet0/1 overload \\这是nat的顺序
!
!
ip access-list extended wan
&n