-要求：
PC-1可以访问外网的服务器：200.1.1.2/24
并测试 PC-2 是否可以访问外网的服务器
-配置：
1、配置PC-1,PC-2以及 网关设备的 IP 地址信息
2、配置网关去往外网的路由 -- 默认路由
[R1] ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、在网关设备上配置 静态 NAT ：
[R1] nat static global 100.1.12.3 inside 192.168.1.1
[R1] interface gi0/0/1
[R1-gi0/0/1] nat static enable
4、测试
PC-1:
ping 200.1.1.2 ，OK ；
PC-2:
ping 200.1.1.2 ，不通；因为没有进行 NAT 转换。
-结论：
静态 NAT 中，私有地址与公有地址的关系是：1:1 , 不节省IP地址；
静态 NAT 需要在 数据包的出接口 “启用”，才能实现数据互通。

-优化方案：
使用“PNAT”，即端口 NAT ，来替换原来的“静态NAT”。
配置思路如下：

创建感兴趣流量 -- 通过 ACL 实现；

            acl 2000
               rule 5  permit source 192.168.1.1  0.0.0.0 

                &&以上的 ACL 条目仅仅能匹配 PC-1 发送的数据包，
                  然后进行 NAT 转换，从而实现 PC-1 可以访问外网；                        
       # 创建 NAT 转换条目
            interface gi0/0/1 
               nat outbound 2000 

                && 通过该接口发送出去的数据，都要经过 ACL 2000 的检查，
                   能被 ACL 匹配，并且执行 permit 动作的，则进行 NAT 
                   转换，即最终可以实现上网。此案例中，PC-1可以上网，
                   PC-2不可以。

                   如果想实验 PC-2 上网，则必须修改 ACL 2000 的配置，
                   如下： 
                      acl 2000
                         rule 5 permit 192.168.1.0  0.0.0.255

案例2：
-- 环境
内网有一台 web 服务器，IP：192.168.1.8/24 ，使用的默认端口；
内网有2台主机，PC-1/2，IP：192.168.1.1/24、192.168.1.2/24
网关IP：192.168.1.254/24
公司购买了2个公网IP地址：100.1.12.1/24 100.1.12.3/24
-- 要求
PC-1可以访问外网的服务器(200.1.1.1/24)
PC-2不可以访问外网
外网的 http-client 可以直接通过外网IP的 8080 访问到内部的 web服务器；(100.1.12.3/24)
-- 配置步骤
1、PC-1/2/Web-server 配置好对应的IP地址和网关IP地址；
给PC机和Web-server配置好IP地址和网关IP地址
2、配置网关设备 R1 的出现路由 --- 默认路由
<R1>system-view
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、配置好 模拟器的 ISP 端的设备
4、配置路由器R1、R2的各端口配置相应的IP地址
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.12.1 24

<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.12.2 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 200.1.1.254 24
5、在边界设备上配置 - NAT
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source 192.168.1.2 0.0.0.0
6、在数据包的出端口配置 NAT ，实现 PNAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
7、NAT-Server （端口映射）
在数据包的出端口上配置
[R1]interface GigabitEthernet 0/0/1 （公司所购买的公网段内IP地址除了两端的IP地址）
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.12.3 8080
inside 192.168.1.8 80
8、在桌面上新建一个文本文档，文件书写格式如下： （Server的IP + 端口号）
<html><head><title> + 内容 </title></head></html>写完之后（保存在一个文件夹里）另存为
随便取一个名字 + 后缀是.html
保存类型选所有文件
9、打开Server1，选择HttpServer --- 选择保存Html文件的文件夹 -- 启动
10、打开Client --- 客户端信息 -- 输入http://100.1.12.10:8080 -- 获取 就可以了

大型企业网络构建之动态NAT、静态NAT和华为NAT

原文：http://blog.51cto.com/13700952/2119275