交换机．路由器．防火墙-技术提升【7.7】

5. 配置 Identity NAT
使用网络对象配置 Identity NAT 的操作过程如下。
① （可选）为映射地址（与真实地址相同）配置网络对象。如果在 nat 命令中指定了 IP
地址作为内联，也可以跳过该步骤。
hostname(config)#object network obj_name
hostname(config-network-object)#{host ip_address | subnet subnet_address
netmask | range ip_address_1 ip_address_2}
② 为 Identity NAT 配置网络对象，或者如果已有的网络对象，则进入对象网络配置模式。
hostname(config)# object network obj_name
③ 如果创建了新的网络对象，定义欲执行 Identity NAT 的真实地址。如果在第 1 步为映
射地址配置了网络对象，那么，这些地址必须相匹配。
hostname(config-network-object)#{host ip_address | subnet subnet_address
netmask | range ip_address_1 ip_address_2}
④ 配置 Identity NAT。
hostname(config-network-object)# nat [(real_ifc,mapped_ifc)] static {mapped_
inline_ip | mapped_obj} [no-proxy-arp] [route-lookup]
其中，
 接口（ Interface），（透明模式所必需）指定真实和映射接口。确认在命令中包括“ ()”。
在路由模式中，如果不指定真实和映射接口，所有接口都将被使用。可以在一个或
两个接口都使用关键字 any。
 映射 IP 地址（ Mapped IP Address），确认映射地址和真实地址配置为相同的 IP 地址。
可以指定映射 IP 地址为：
 网络对象。与真实对象包含相同的 IP 地址。
 内联 IP 地址。映射网络的子网掩码或范围与真实网络相同。例如，如果真实网
络是主机，那么，该地址也将是主机地址。如果是多台主机，那么映射地址应
当包含与真实范围相同数量的地址。例如，如果真实地址定义的范围为 10.1.1.1～
10.1.1.6，并且指定 10.1.1.1 作为映射地址，那么，映射范围将包含 10.1.1.1～
10.1.1.6。
 No Proxy ARP，（可选）指定 no-proxy-arp 关键字，使进入映射 IP 地址的包禁用 ARP
代理。
 Route 查找，（只适用于路由模式，指定接口）由 route-lookup 确定出口接口，使用路
由查找代替 NAT 命令中指定的接口。
例如，使用内联映射地址映射主机地址至自己。
hostname(config)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static 10.1.1.1
再如，使用网络对象映射主机地址至自己。
hostname(config)# object network my-host-obj1-identity
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# object network my-host-obj1
hostname(config-network-object)# host 10.1.1.1
hostname(config-network-object)# nat (inside,outside) static my-host-obj1
-identity
6. 监视网络对象 NAT
查看 NAT 统计数据，包括每个 NAT 规则的次数。
show nat
查看 NAT 池统计数据，包括地址和端口分配，以及在不同时间是如何分配的。
show nat pool
查看 NAT 配置。
show running-config nat
7. 网络对象 NAT 配置示例
 访问内部的 Web 服