• 对象或组不能包含子网；对象必须定义一个范围；组可以包含主机和范围。

• 如果映射网络对象同时包含范围和主机 IP 地址，则范围可用于动态 NAT，主机 IP 地址可用作 PAT 回退。

• host {IPv4_address | IPv6_address} - 单台主机的 IPv4 或 IPv6 地址。例如，10.1.1.1 或 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix} - 网络地址。对于 IPv4 子网，请在空格后添加掩码，例如，10.0.0.0 255.0.0.0。对于 IPv6，请将地址和前缀作为一个整体（不带空格），例如 2001:DB8:0:CD30::/60。

• range start_address end_address - 地址的范围。可以指定 IPv4 或 IPv6 范围。请勿包含掩码或前缀。

nat [(real_ifc,mapped_ifc)] dynamic mapped_obj [interface [ipv6]] [dns]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any （例如 any,outside），但 any 不适用于桥接组成员接口。

• Mapped IP address - 指定包括映射的 IP 地址的网络对象或网络对象组。

• Interface PAT fallback -（可选）interface 关键字启用接口 PAT 回退。在用尽映射 IP 地址后，使用映射接口的 IP 地址。如果指定 ipv6，则将使用接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置特定接口。（当映射接口为桥接组成员时，无法指定 interface。）

• DNS -（可选）dns 关键字可以转换 DNS 应答。确保启用 DNS 检测（默认情况下启用）。有关详细信息，请参阅使用 NAT 重写 DNS 查询和响应。

• 如果要转换所有源流量，则跳过为源实际地址添加对象，转而在 nat 命令中指定 any 关键字。

• 如果要配置仅支持端口转换的静态接口 NAT，则可跳过为目标映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

如果创建对象，请注意以下准则：

• 通常要配置将较大实际地址组映射至较小的组。

• 对象或组不能包含子网；对象必须定义一个范围；组可以包含主机和范围。

• 如果映射网络对象同时包含范围和主机 IP 地址，则范围可用于动态 NAT，主机 IP 地址可用作 PAT 回退。

对于动态 NAT，只能对目标执行端口转换。服务对象可能同时包含源和目标端口，但在此情况下，将仅使用目标端口。系统将忽略您指定的源端口。

nat [(real_ifc ,mapped_ifc )] [line | {after-auto [line ]}] source dynamic {real_obj | any } {mapped_obj [interface [ipv6 ]]} [destination static {mapped_obj | interface [ipv6 ]} real_obj ] [ service mapped_dest_svc_obj real_dest_svc_obj ] [dns] [unidirectional] [inactive] [description desc]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any（例如 any、outside），但 any 不适用于桥接组成员接口。

• Section and Line -（可选。）默认情况下，NAT 规则将添加至 NAT 表的第 1 部分的末尾（请参阅 NAT 规则顺序）。如果要转而将规则添加至第 3 部分（位于网络对象 NAT 规则之后），则可使用 after-auto 关键字。可以使用 line 参数在适用部分的任意位置插入规则。

• 源地址：

  • Real - 指定网络对象、组或 any 关键字。

  • Mapped - 指定不同的网络对象或组。或者您可以选择配置以下回退方法：

    • Interface PAT fallback -（可选。）interface 关键字启用接口 PAT 回退。在用尽映射 IP 地址后，使用映射接口的 IP 地址。如果指定 ipv6，则将使用接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置特定接口。（当映射接口为桥接组成员时，无法指定 interface）。

• 目标地址（可选）：

  • Mapped - 指定网络对象或组，或对于仅支持端口转换的静态接口 NAT，指定 interface 关键字。如果指定 ipv6，则将使用接口的 IPv6 地址。如指定 interface，请务必也配置 service 关键字。对于此选项，必须为 real_ifc 配置特定接口。有关详细信息，请参阅支持端口转换的静态 NAT。

  • Real - 指定网络对象或组。对于身份 NAT，只需将相同的对象或组同时用于实际和映射地址。

• Destination port -（可选。）指定 service 关键字以及映射和实际服务对象。对于身份端口转换，只需相同的服务对象同时用于实际和映射端口。

• DNS -（可选；适用于源专用规则。）dns 关键字转换 DNS 应答。确保启用 DNS 检测（默认情况下启用）。如配置 destination 地址，则无法配置 dns 关键字。有关详细信息，请参阅 使用 NAT 重写 DNS 查询和响应。

• Unidirectional -（可选。）指定 unidirectional，以使目标地址无法发起流向源地址的流量。

• Inactive -（可选。）要使此规则变为非活动状态而不必删除命令，请使用 inactive 关键字。要将其重新激活，请重新输入没有 inactive 关键字的整个命令。

• Description -（可选。）使用 description 关键字可提供最多 200 个字符的说明。

• 如果不使用对象，可以选择配置内联主机地址或指定接口地址。

• 如果使用对象，对象或组不能包含子网；对象必须定义主机，或者对于 PAT 池，必须定义范围；组（对于 PAT 池）可以包含主机和范围。

• host{IPv4_address | IPv6_address} - 单一主机的 IPv4 或 IPv6 地址。例如，10.1.1.1 或 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/ IPv6_prefix} - 网络地址。对于 IPv4 子网，请在空格后添加掩码，例如，10.0.0.0 255.0.0.0。对于 IPv6，请将地址和前缀作为一个整体（不带空格），例如 2001:DB8:0:CD30::/60。

• rangestart_address end_address - 地址的范围。可以指定 IPv4 或 IPv6 范围。请勿包含掩码或前缀。

nat [(real_ifc,mapped_ifc)] dynamic {mapped_inline_host_ip | mapped_obj | pat-pool mapped-obj [round-robin] [extended] [include-reserve] [block-allocation] | interface [ipv6]} [interface [ipv6]]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any （例如 any,outside），但 any 不适用于桥接组成员接口。

• Mapped IP address - 可以将映射 IP 地址指定为：

  • mapped_inline_host_ip - 内联主机地址。

  • mapped_obj - 定义为主机地址的网络对象。

  • pat-pool mapped-obj - 包含多个地址的网络对象或组。

  • interface [ipv6] - 使用映射接口的 IP 地址作为映射地址。如果指定ipv6 ，则稍后使用该接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置一个特定接口。（当映射接口为桥接组成员时，无法指定 interface。）要使用接口 IP 地址时，必须使用此关键字；不能内联输入或作为对象输入。

• 对于 PAT 池，可以指定以下一个或多个选项：

  • round-robin - 为 PAT 池启用轮询地址分配。不使用轮询时，默认情况下，在使用下一个 PAT 地址前，将分配 PAT 地址的所有端口。轮询方法分配来自池中每个 PAT 地址的地址/端口，然后才返回再次使用第一个地址，接着是第二个地址，以此类推。

  • extended - 启用扩展 PAT。通过将目的地地址和端口纳入转换信息，相对于按 IP 地址，扩展 PAT 将按服务使用 65535 个端口。通常，创建 PAT 转换时，不考虑目的地端口和地址，因此限制为每个 PAT 地址 65535 个端口。例如，通过扩展 PAT，您可以创建在访问 192.168.1.7:23 时转到 10.1.1.1:1027 的转换，以及在访问 192.168.1.7:80 时转到 10.1.1.1:1027 的转换。

  • include-reserve - 包括保留的端口 1-1023，属于可用于地址转换的端口范围。如果不指定此选项，地址将仅被转换为 1024-65535 范围内的端口。

  • block-allocation - 启用端口块分配。对于运营商级或大规模 PAT，可以为每个主机分配一个端口块，而非由 NAT 每次分配一个端口转换。如果分配端口块，来自该主机的后续连接将使用该块中随机选定的新端口。如果主机将所有端口的活动连接置于基元块中，可根据需要分配更多块。只能在 1024-65535 范围内分配端口块。端口块分配与 round-robin 兼容，但无法使用 extended 选项。也无法使用接口 PAT 回退。

• Interface PAT fallback -（可选。）在主 PAT 地址后输入了 interface [ipv6] 关键字时，该关键字将启用接口 PAT 回退。主要 PAT 地址用尽后，接着将使用映射接口的 IP 地址。如果指定ipv6 ，则稍后使用该接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置一个特定接口。（当映射接口为桥接组成员时，无法指定 interface。）

• 如果要转换所有源流量，可以跳过为源实际地址添加对象，转而在 nat 命令中指定 any 关键字。

• 如果要使用接口地址作为映射地址，可以跳过为源映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

• 如果要配置仅支持端口转换的静态接口 NAT，则可跳过为目的映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

如果使用对象，则对象或组不可以包含子网。对象必须定义主机，对于 PAT 池，则必须定义范围。组（对于 PAT 池）可以包含主机和范围。

对于动态 NAT，只能对目标执行端口转换。服务对象可能同时包含源和目标端口，但在此情况下，将仅使用目标端口。系统将忽略您指定的源端口。

nat [(real_ifc,mapped_ifc)] [line | after-auto [line]] source dynamic {real-obj | any} {mapped_obj [interface [ipv6]] | pat-pool mapped-obj [round-robin] [extended] [include-reserve] [block-allocation] [interface [ipv6]] | interface [ipv6]} [destination static {mapped_obj | interface [ipv6]} real_obj] [service mapped_dest_svc_obj real_dest_svc_obj] [unidirectional] [inactive] [description description]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc ) 接口和映射 (mapped_ifc ) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any （例如 any,outside），但 any 不适用于桥接组成员接口。

• Section and Line -（可选。）默认情况下，NAT 规则将添加至 NAT 表的第 1 部分的末尾（请参阅 NAT 规则顺序）。如果要转而将规则添加至第 3 部分（位于网络对象 NAT 规则之后），则可使用 after-auto 关键字。可以使用 line 参数在适用部分的任意位置插入规则。

• 源地址：

  • Real - 网络对象、组或 any 关键字。如果要转换从实际接口流向映射接口的所有流量，请使用 any 关键字。

  • Mapped - 配置以下其中一项：

    • Network object - 包含主机地址的网络对象。

    • pat-pool mapped-obj - 包含多个地址的网络对象或组。

    • interface [ipv6] - （仅路由模式。）使用映射接口的 IP 地址作为映射地址（接口 PAT）。如果指定ipv6 ，则稍后使用该接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置一个特定接口。（当映射接口为桥接组成员时，无法指定 interface。）如果使用 PAT 池或网络对象指定此关键字，则会启用接口 PAT 回退。PAT IP 地址用尽后，接着将使用映射接口的 IP 地址。

    对于 PAT 池，可以指定以下一个或多个选项：

    • round-robin - 为 PAT 池启用轮询地址分配。不使用轮询时，默认情况下，在使用下一个 PAT 地址前，将分配 PAT 地址的所有端口。轮询方法分配来自池中每个 PAT 地址的地址/端口，然后才返回再次使用第一个地址，接着是第二个地址，以此类推。

    • extended - 启用扩展 PAT。通过将目的地地址和端口纳入转换信息，相对于按 IP 地址，扩展 PAT 将按服务使用 65535 个端口。通常，创建 PAT 转换时，不考虑目的地端口和地址，因此限制为每个 PAT 地址 65535 个端口。例如，通过扩展 PAT，您可以创建在访问 192.168.1.7:23 时转到 10.1.1.1:1027 的转换，以及在访问 192.168.1.7:80 时转到 10.1.1.1:1027 的转换。

    • include-reserve - 包括保留的端口 1-1023，属于可用于地址转换的端口范围。如果不指定此选项，地址将仅被转换为 1024-65535 范围内的端口。

    • block-allocation - 启用端口块分配。对于运营商级或大规模 PAT，可以为每个主机分配一个端口块，而非由 NAT 每次分配一个端口转换。如果分配端口块，来自该主机的后续连接将使用该块中随机选定的新端口。如果主机将所有端口的活动连接置于基元块中，可根据需要分配更多块。只能在 1024-65535 范围内分配端口块。端口块分配与 round-robin 兼容，但无法使用 extended 选项。也无法使用接口 PAT 回退。

• 目标地址（可选）：

  • Mapped - 指定网络对象或组，或对于仅支持端口转换的静态接口 NAT（仅限非桥接组成员接口），指定 interface 关键字。如果指定ipv6 ，则稍后使用该接口的 IPv6 地址。如指定 interface ，请务必也配置 service 关键字。对于此选项，必须为 real_ifc 配置特定接口。有关详细信息，请参阅支持端口转换的静态 NAT。

  • Real - 指定网络对象或组。对于身份 NAT，只需将相同的对象或组同时用于实际和映射地址。

• Destination port -（可选。）指定 service 关键字以及映射和实际服务对象。对于身份端口转换，只需相同的服务对象同时用于实际和映射端口。

• Unidirectional -（可选。）指定 unidirectional ，以使目标地址无法发起流向源地址的流量。

• Inactive -（可选。）要使此规则变为非活动状态而不必删除命令，请使用 inactive 关键字。要将其重新激活，请重新输入没有 inactive 关键字的整个命令。

• Description -（可选。）使用 description 关键字可提供最多 200 个字符的说明。

xlate block-allocation size value

范围为 32-4096。默认值为 512。使用“no”形式可恢复默认值。

如果不使用默认值，请确保 64,512 能被您所选的大小整除（1024-65535 范围中的端口数)。否则，会出现无法使用的端口。例如，如果指定 100，会有 12 个未使用端口。

xlate block-allocation maximum-per-host number

限制是针对每个协议，因此限制为 4 表示每个主机最多 4 个 UDP 块、4个 TCP 块和 4 个 ICMP 块。范围为 1-8，默认值为 4。使用“no”形式可恢复默认值。

xlate block-allocation pba-interim-logging seconds

默认情况下，系统会在端口块创建和删除操作发生时生成系统日志消息。如果启用临时日志记录，系统会按您指定的时间间隔生成以下消息。这些消息会报告消息生成时所有已分配的活动端口块，包括协议（ICMP、TCP、UDP、源和目标接口与 IP 地址，以及端口块。可以指定 21600 至 604800 秒（6 小时至 7 天）的时间间隔。

%ASA-6-305017: Pba-interim-logging: Active protocol block of ports for translation from real_interface:real_host_ip to mapped_interface:mapped_ip_address/start_port_num-end_port_num

• 如果不使用对象，可以配置内联地址，或者指定接口地址（对于带端口转换的静态 NAT）。

• 如果使用对象，对象或组可以包含主机、范围或子网。

• host {IPv4_address | IPv6_address} - 单台主机的 IPv4 或 IPv6 地址。例如，10.1.1.1 或 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix} - 网络地址。对于 IPv4 子网，请在空格后添加掩码，例如，10.0.0.0 255.0.0.0。对于 IPv6，请将地址和前缀作为一个整体（不带空格），例如 2001:DB8:0:CD30::/60。

• range start_address end_address - 地址的范围。可以指定 IPv4 或 IPv6 范围。请勿包含掩码或前缀。

nat [(real_ifc,mapped_ifc)] static {mapped_inline_host_ip | mapped_obj | interface [ipv6]} [net-to-net] [dns | service {tcp | udp | sctp} real_port mapped_port] [no-proxy-arp]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any （例如 any,outside），但 any 不适用于桥接组成员接口。

• Mapped IP address - 可以将映射 IP 地址指定为以下任一地址：通常，配置相同数量的映射地址和实际地址，以便进行一对一映射。然而，地址数量可以不匹配。请参阅静态 NAT。

  • mapped_inline_host_ip - 内联主机 IP 地址。此项为主机对象提供一对一映射。对于子网对象，内联主机地址使用的是相同的掩码，而映射的内联主机子网中的地址则是一一对应的。对于范围对象，映射地址包括范围对象中相同数量的主机，从映射主机地址开始。例如，如果实际地址定义为 10.1.1.1 到 10.1.1.6 的范围，并且将 172.20.1.1 指定为映射地址，则映射范围将包括 172.20.1.1 到 172.20.1.6。对于 NAT46 或 NAT66 转换，此项可以是 IPv6 网络地址。

  • mapped_obj - 现有网络对象或组。要为一系列 IP 地址执行一对一映射，请选择包含具有相同地址数量的范围的对象。

  • interface -（仅限支持端口转换的静态 NAT。) 映射接口的 IP 地址用作映射地址。如果指定 ipv6，则将使用接口的 IPv6 地址。对于此选项，必须为 mapped_ifc 配置特定接口。（当映射接口为桥接组成员时，无法指定 interface。）要使用接口 IP 地址时，必须使用此关键字；不能内联输入或作为对象输入。另请确保配置 service 关键字。

• Net-to-net -（可选。）对于 NAT 46，指定 net-to-net 以将第一个 IPv4 地址转换为第一个 IPv6 地址，第二个 IPv4 地址转换为第二个 IPv6 地址，以此类推。如不使用此选项，则将使用 IPv4 嵌入式方法。对于一对一转换，必须使用此关键字。

• DNS -（可选）。dns 关键字转换 DNS 应答。确保启用 DNS 检测（默认情况下启用）。有关详细信息，请参阅使用 NAT 重写 DNS 查询和响应。

• Port translation -（仅带端口转换的静态 NAT。）指定具有所需端口关键字的 service 以及实际与映射端口。可以输入端口号或已知的端口名称（例如 http）。

• No Proxy ARP -（可选。）指定 no-proxy-arp，为映射 IP 地址的传入数据包禁用代理 ARP。有关可能需要禁用代理 ARP 的情况的信息，请参阅映射地址和路由。

• 如果仅要配置支持端口转换的源静态接口 NAT，则可跳过为源映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

• 如果要配置仅支持端口转换的静态接口 NAT，则可跳过为目标映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

如果创建对象，请注意以下准则：

• 映射对象或组可能包含主机、范围或子网。

• 静态映射通常为一对一，因此实际地址的数量与映射地址相同。然而，如果需要，可拥有不同的数量。有关详细信息，请参阅静态 NAT。

• 源或目标实际端口

• 源或目标映射端口

服务对象可同时包含源和目标端口；然而，应为两个服务对象指定源或目标端口。如果应用使用固定的源端口（如某些 DNS 服务器），则您只能同时指定源和目标端口；然而，很少使用固定源端口。例如，如果要转换源主机的端口，则请配置源服务。

nat [(real_ifc,mapped_ifc)] [line | {after-object [line]}] source static real_ob [mapped_obj | interface [ipv6]] [destination static {mapped_obj | interface [ipv6]} real_obj] [service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj] [net-to-net] [dns] [unidirectional | no-proxy-arp] [inactive] [description desc]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any（例如 any、outside），但 any 不适用于桥接组成员接口。

• Section and Line -（可选。）默认情况下，NAT 规则将添加至 NAT 表的第 1 部分的末尾（请参阅 NAT 规则顺序）。如果要转而将规则添加至第 3 部分（位于网络对象 NAT 规则之后），则可使用 after-auto 关键字。可以使用 line 参数在适用部分的任意位置插入规则。

• 源地址：

  • Real - 指定网络对象或组。请勿使用 any 关键字，此关键字用于身份 NAT。

  • Mapped - 指定不同的网络对象或组。仅可为支持端口转换的静态接口 NAT 指定 interface 关键字。如果指定 ipv6，则将使用接口的 IPv6 地址。如果指定 interface，请务必也配置 service 关键字（在此情况下，服务对象应仅包括源端口）。对于此选项，必须为 mapped_ifc 配置特定接口。（当映射接口为桥接组成员时，无法指定 interface。）有关详细信息，请参阅支持端口转换的静态 NAT。

• 目标地址（可选）：

  • Mapped - 指定网络对象或组，或对于仅支持端口转换的静态接口 NAT，指定 interface 关键字。如果指定 ipv6，则将使用接口的 IPv6 地址。如果指定 interface，请务必也配置 service 关键字（在此情况下，服务对象应仅包括目标端口）。对于此选项，必须为 real_ifc 配置特定接口。（当映射接口为桥接组成员时，无法指定 interface。）

  • Real - 指定网络对象或组。对于身份 NAT，只需将相同的对象或组同时用于实际和映射地址。

• Ports -（可选。）指定 service 关键字以及实际和映射服务对象。对于源端口转换，对象必须指定源服务。对于源端口转换，命令中服务对象的顺序为 service real_obj mapped_obj。对于目标端口转换，对象必须指定目标服务。对于目标端口转换，服务对象的顺序为 service mapped_obj real_obj。在极少数的情况下，会在对象中同时指定源和目标端口，第一个服务对象包含实际源端口/映射目标端口；第二个服务对象包含映射源端口/实际目标端口。对于身份端口转换，只需将相同的服务对象同时用于实际和映射端口（源和/或目标端口，具体取决于配置）。

• Net-to-net -（可选。）对于 NAT 46，指定 net-to-net 以将第一个 IPv4 地址转换为第一个 IPv6 地址，第二个 IPv4 地址转换为第二个 IPv6 地址，以此类推。如不使用此选项，则将使用 IPv4 嵌入式方法。对于一对一转换，必须使用此关键字。

• DNS -（可选；适用于源专用规则。）dns 关键字转换 DNS 应答。确保启用 DNS 检测（默认情况下启用）。如配置 destination 地址，则无法配置 dns 关键字。有关详细信息，请参阅 使用 NAT 重写 DNS 查询和响应。

• Unidirectional -（可选。）指定 unidirectional，以使目标地址无法发起流向源地址的流量。

• No Proxy ARP -（可选。）指定 no-proxy-arp，为映射 IP 地址的传入数据包禁用代理 ARP。有关详细信息，请参阅映射地址和路由。

• Inactive -（可选。）要使此规则变为非活动状态而不必删除命令，请使用 inactive 关键字。要将其重新激活，请重新输入没有 inactive 关键字的整个命令。

• Description -（可选。）使用 description 关键字可提供最多 200 个字符的说明。

• 如果不使用对象，可以配置内联地址。

• 如果使用对象，对象必须匹配要转换的实际地址。

对象必须不同于用于映射地址的对象，虽然每个对象中的内容必须相同。

• host {IPv4_address | IPv6_address} - 单台主机的 IPv4 或 IPv6 地址。例如，10.1.1.1 或 2001:DB8::0DB8:800:200C:417A。

• subnet {IPv4_address IPv4_mask | IPv6_address/IPv6_prefix} - 网络地址。对于 IPv4 子网，请在空格后添加掩码，例如，10.0.0.0 255.0.0.0。对于 IPv6，请将地址和前缀作为一个整体（不带空格），例如 2001:DB8:0:CD30::/60。

• range start_address end_address - 地址的范围。可以指定 IPv4 或 IPv6 范围。请勿包含掩码或前缀。

nat [(real_ifc,mapped_ifc)] static {mapped_inline_host_ip | mapped_obj} [no-proxy-arp] [route-lookup]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any（例如 any、outside），但 any 不适用于桥接组成员接口。

• Mapped IP addresses - 确保为映射地址和实际地址配置相同的 IP 地址。使用以下选项之一：

  • mapped_inline_host_ip - 内联主机 IP 地址。对于主机对象，请指定相同的地址。对于范围对象，请指定实际范围中的第一个地址（将使用范围中的相同地址数量）。对于子网对象，请指定实际子网中的任何地址（将使用子网中的所有地址）。

  • mapped_obj - 包含与实际对象相同地址的网络对象或组。

• No Proxy ARP -（可选。）指定 no-proxy-arp，为映射 IP 地址的传入数据包禁用代理 ARP。有关可能需要禁用代理 ARP 的情况的信息，请参阅映射地址和路由。

• Route lookup -（仅路由模式；已指定接口。）指定 route-lookup 以使用路由查找而不使用 NAT 命令中指定的接口确定出口接口。有关详细信息，请参阅确定出口接口。

• 如果要为所有地址执行身份 NAT，则可跳过为源实际地址创建对象，转而在 nat 命令中使用关键字 any any。

• 如果要配置仅支持端口转换的静态接口 NAT，则可跳过为目标映射地址添加对象，转而在 nat 命令中指定 interface 关键字。

如果创建对象，请注意以下准则：

• 映射对象或组可能包含主机、范围或子网。

• 实际源对象和映射源对象必须匹配。可以为这二者使用相同对象，也可以单独创建包含相同 IP 地址的对象。

• 源或目标实际端口

• 源或目标映射端口

服务对象可同时包含源和目标端口；然而，应为两个服务对象指定源或目标端口。如果应用使用固定的源端口（如某些 DNS 服务器），则您只能同时指定源和目标端口；然而，很少使用固定源端口。例如，如果要转换源主机的端口，则请配置源服务。

nat [(real_ifc,mapped_ifc)] [line | {after-object [line]}] source static {nw_obj nw_obj | any any} [destination static {mapped_obj | interface [ipv6]} real_obj] [service real_src_mapped_dest_svc_obj mapped_src_real_dest_svc_obj] [no-proxy-arp] [route-lookup] [inactive] [description desc]

其中：

• Interfaces -（对于桥接组成员接口需要填入。）指定实际 (real_ifc) 接口和映射 (mapped_ifc) 接口。确保包含圆括号。在路由模式下，如果没有指定实际接口和映射接口，则将使用所有接口。您也可以为一个或两个接口指定关键字 any（例如 any、outside），但 any 不适用于桥接组成员接口。

• Section and Line -（可选。）默认情况下，NAT 规则将添加至 NAT 表的第 1 部分的末尾（请参阅 NAT 规则顺序）。如果要转而将规则添加至第 3 部分（位于网络对象 NAT 规则之后），则可使用 after-auto 关键字。可以使用 line 参数在适用部分的任意位置插入规则。

• Source addresses - 同时为实际和映射地址指定网络对象、组或 any 关键字。

• 目标地址（可选）：

  • Mapped - 指定网络对象或组，或对于仅支持端口转换的静态接口 NAT，指定 interface 关键字。如果指定 ipv6，则将使用接口的 IPv6 地址。如果指定 interface，请务必也配置 service 关键字（在此情况下，服务对象应仅包括目标端口）。对于此选项，必须为 real_ifc 配置特定接口。（当实际接口为桥接组成员时，无法指定 interface。）

  • Real - 指定网络对象或组。对于身份 NAT，只需将相同的对象或组同时用于实际和映射地址。

• Ports -（可选。）指定 service 关键字以及实际和映射服务对象。对于源端口转换，对象必须指定源服务。对于源端口转换，命令中服务对象的顺序为 service real_obj mapped_obj。对于目标端口转换，对象必须指定目标服务。对于目标端口转换，服务对象的顺序为 service mapped_obj real_obj。在极少数的情况下，会在对象中同时指定源和目标端口，第一个服务对象包含实际源端口/映射目标端口；第二个服务对象包含映射源端口/实际目标端口。对于身份端口转换，只需将相同的服务对象同时用于实际和映射端口（源和/或目标端口，具体取决于配置）。

• No Proxy ARP -（可选。）指定 no-proxy-arp，为映射 IP 地址的传入数据包禁用代理 ARP。有关详细信息，请参阅映射地址和路由。

• Route lookup -（可选、仅路由模式、已指定接口。）指定 route-lookup 以使用路由查找而不使用 NAT 命令中指定的接口确定出口接口。有关详细信息，请参阅确定出口接口。

• Inactive -（可选。）要使此规则变为非活动状态而不必删除命令，请使用 inactive 关键字。要将其重新激活，请重新输入没有 inactive 关键字的整个命令。

• Description -（可选。）使用 description 关键字可提供最多 200 个字符的说明。