NAT的实现方式如下图：

2种方式配置NAT：

WEB界面：配置过家用的D-LINK，TP-LINK，磊科类似这样的家用路由器的朋友就一定不会陌生。

命令行界面：凡是配置过思科，华为，H3C这样的设备的朋友也很熟悉，也就是俗称的用“敲命令”这样的方式去配置。

通过以下拓扑结构图，具体说明：

这个拓扑图，典型的单核心企业网结构图。

组网背景：

1.单位员工人数（需要上网人数60人）

2.用VLAN划分成3个网段

192.168.1.X （网关地址192.168.1.1）

192.168.2.X （网关地址192.168.2.1）

192.168.3.X （网关地址192.168.3.1）

这个3个网段的PC机都需要上外网

3.从ISP申请了20M的互联网光纤接入（带固定的公网IP地址一个）

比如ISP提供的IP地址如下：

IP：7.7.7.99

掩码：255.255.255.0

网关：7.7.7.33

4.ISP提供光电转换器，已经做好了熔纤（也就是已经把光纤口转化成RJ45网线接口）

这个时候，应该怎么配置网络设备，让整个单位的PC都上外网？（文章重点）

方法如下：

1.在路由器（其他三层设备）的WAN接口（连接互联网网线的接口）首先配置从ISP得到的公网IP地址

2.如果是用命令行配置，则定义一个NAT地址池，就是ip natpool,然后再地址池里面填入在WAN接口的，ISP给你的IP地址和子网掩码，这里不用填写网关

3.如果是思科设备，在做NAT时需要在接口上启用overload命令，如果是华为设备，需要启用nat address-group命令

4.定义一个ACL（这里的意思是你想让单位内部的哪些IP地址段进行NAT转化）

比如你所在的单位内部用VLAN化成了3个网段

192.168.1.X 192.168.2.X   192.168.3.X 你如果是需要这3个网段全部都能上互联网，那么就需要定义这个3个全部的网段

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.2.0 0.0.0.255

access-list 1 permit 192.168.3.0 0.0.0.255

不定义的网段将无法上网

5.最后在路由器（其他三层设备）的WAN接口与LAN接口用ip nat outside（WAN接口） 和ip nat inside（LAN接口）命令应用这个ACL就可以了（思科设备）

注意事项：

这里需要注意2个事情，在做NAT时，需要配置2条默认路由，和一条返程路由。（简称“2默，1返”缺一不可！！！）

第一个解释“2默”就是需要配置 2条默认路由，第一条是在核心的三层交换机上配置。

比如：路由器的LAN口地址是1.1.1.2 ，那么就需要配成：ip route 0.0.0.0 0.0.0.0 1.1.1.2 (这个意思是把去外网的路由转发全丢给1.1.1.2也就是路由器，或者其他三层设备）

第二个解释：就是需要在路由器，防火墙，或者其他网路边界的三层设备上配置。

第二条默认路由,这个默认路由的下一条IP地址就是从ISP得到的公网网关地址。

比如：从ISP得到的互联网的网关地址是：7.7.7.33 ，那么就需要配置成：ip route 0.0.0.0 0.0.0.0 7.7.7.33 (这个意思是把去外网的数据全部都丢给ISP的网关）

第三个解释：“1返”这个也是需要在路由器，防火墙，或者其他做NAT的三层设备上配置，就是去单位内部的网络路由。

比如：单位内部有3个网段，分别是192.168.1.X 192.168.2.X 192.168.3.X，这3个网段的PC都需要上外网，所以在配置返程路由时需要配成

ip route 192.168.1.0 255.255.255.0 1.1.1.1

ip route 192.168.2.0 255.255.255.0 1.1.1.1

ip route 192.168.3.0 255.255.255.0 1.1.1.1

这个1.1.1.1就是核心的三层交换机与路由器LAN口的互联地址。（也就是三层交换机的接口地址）

这样整个网络才可以访问互联网。