路由器 NAT 配置指南 一、创建访问控制列表（ACL）1. 定义基础 ACLacl basic 2000 rule 0 permit source <内网IP地址> <反向掩码>参数说明内网IP地址：允许进行 NAT 转换的内网地址（例如 192.168.1.0）反向掩码：通配符掩码（例如 0.0.0.255 对应子网掩码 255.255.255.0）示例：rule 0 permit source 192.168.1.0 0.0.0.255 表示允许 192.168.1.0/24 网段。二、配置外网接口 NAT 规则1. 基于端口的动态 NAT（PAT）interface GigabitEthernet0/0/1 # 进入外网接口 nat outbound 2000 # 绑定 ACL 2000 的规则功能说明将匹配 ACL 2000 的内网 IP 流量，通过外网接口进行端口复用（PAT），共享单一公网 IP。2. 端口映射（静态 NAT）nat server protocol <协议类型> global <外网接口IP> <外网端口> inside <内网IP> <内网端口>参数说明协议类型：tcp 或 udp外网接口IP：可直接写 current-interface（自动获取接口 IP）或指定公网 IP外网端口：对外开放的端口号内网IP：目标服务器的内网地址内网端口：目标服务的端口号配置示例nat server protocol tcp global current-interface 8080 inside 192.168.1.100 80功能：将外网接口的 TCP 8080 端口映射到内网 192.168.1.100 的 80 端口（HTTP 服务）。三、验证与维护1. 查看 NAT 会话表display nat session all2. 检查 ACL 规则display acl 20003. 清除 NAT 配置reset nat session all # 清空 NAT 会话表 undo nat outbound 2000 # 删除动态 NAT 规则 undo nat server ... # 删除指定端口映射规则四、注意事项ACL 规则优先级：规则按序号从小到大匹配，需确保允许规则（如 rule 0 permit）在拒绝规则前生效。防火墙协同：若外网接口启用了防火墙，需放行相关端口（如 8080）。端口冲突：避免外网端口与其他服务冲突（如 80、443 等常用端口需谨慎映射）。协议一致性：端口映射需确保协议类型（TCP/UDP）与内网服务一致。多设备兼容性：不同厂商设备命令可能不同（如华为/H3C/Cisco），需根据实际设备调整语法。