1、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）概述NAT最初的目的是允許把私有IP地址映射到外部網(wǎng)絡(luò)的合法IP地址，以減緩可用IP地址空間的消耗位于inside網(wǎng)絡(luò)和outside網(wǎng)絡(luò)中的NAT路由器在發(fā)送數(shù)據(jù)包之前，負(fù)責(zé)把內(nèi)部IP地址翻譯成外部合法的IP地址通過NAT技術(shù)也可以把個(gè)別IP地址隱藏起來，起到保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備的作用NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)節(jié)約合法注冊(cè)地址增加連接因特網(wǎng)的靈活性缺點(diǎn)地址轉(zhuǎn)換產(chǎn)生延遲無法進(jìn)行端到端的IP跟蹤某些應(yīng)用無法在實(shí)施NAT的網(wǎng)絡(luò)中運(yùn)行三種類型的NAT靜態(tài)NAT動(dòng)態(tài)NATPAT（NAT復(fù)用）靜態(tài)NAT內(nèi)部網(wǎng)絡(luò)中的某臺(tái)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法IP地址。內(nèi)部網(wǎng)絡(luò)私有地址（內(nèi)部本地地

2、址）和內(nèi)部合法的IP地址之間是一一對(duì)應(yīng)關(guān)系。如果內(nèi)部網(wǎng)絡(luò)有Email、www、FTP服務(wù)器等可以為外部用戶提供服務(wù)，那么這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。動(dòng)態(tài)NAT動(dòng)態(tài)NAT首先定義合法地址池，然后采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。動(dòng)態(tài)NAT是動(dòng)態(tài)一對(duì)一的映射。必須保證有足夠的真實(shí)IP（合法IP）以保證內(nèi)部網(wǎng)絡(luò)中發(fā)起Internet連接的每個(gè)用戶都能分配到合法IPPAT（NAT復(fù)用）它映射多個(gè)私有的IP地址到單獨(dú)一個(gè)真實(shí)的IP地址，通過使用不同的端口，從而實(shí)現(xiàn)多對(duì)一的映射。通過使用PAT可實(shí)現(xiàn)上千個(gè)用戶僅僅通過一個(gè)全球IP地址連接到因特網(wǎng)。TCP負(fù)載重分配

3、 在上圖中，內(nèi)部網(wǎng)絡(luò)有三個(gè)真實(shí)主機(jī)，IP地址分別是、 ，虛擬主機(jī)則只有一個(gè)是27。外部用戶對(duì)內(nèi)部的真實(shí)主機(jī)訪問時(shí)，NAT路由器會(huì)截獲訪問的數(shù)據(jù)包，以循環(huán)方式把目的地址轉(zhuǎn)換為對(duì)應(yīng)的真實(shí)主機(jī)上，這樣就可以完成內(nèi)部真實(shí)主機(jī)（服務(wù)器）的TCP負(fù)載均衡。TCP負(fù)載重分配以上圖為例，具體的轉(zhuǎn)換過程如下：（1）外部網(wǎng)絡(luò)用戶主機(jī)B（IP地址為）發(fā)起與虛擬主機(jī)（內(nèi)部全局地址）27的連接。此時(shí)數(shù)據(jù)包中的源地址為外部本地地址，目的地址為虛擬主機(jī)地址27。（2）當(dāng)路由器接收到連接請(qǐng)求數(shù)據(jù)包時(shí)，創(chuàng)建一個(gè)內(nèi)部網(wǎng)絡(luò)中真實(shí)主機(jī)（如）進(jìn)行關(guān)聯(lián)的新的NAT轉(zhuǎn)換條目。（3）NAT路由器把連接請(qǐng)求的數(shù)據(jù)包中的目的地址用真實(shí)主機(jī)的本地

4、地址進(jìn)行替換（源地址不變），然后繼續(xù)發(fā)送連接請(qǐng)求數(shù)據(jù)包。（4）內(nèi)部網(wǎng)絡(luò)中真實(shí)主機(jī)接收到這個(gè)連接請(qǐng)求數(shù)據(jù)包，并發(fā)出一個(gè)應(yīng)答數(shù)據(jù)包。應(yīng)答數(shù)據(jù)包中的源地址是內(nèi)部真實(shí)主機(jī)本地地址（），目的地址為外部網(wǎng)絡(luò)主機(jī)B的IP地址（）。（5）當(dāng)NAT路由器接收到這個(gè)應(yīng)答數(shù)據(jù)包后，使用內(nèi)部本地地址和端口號(hào)，以及外部地址和端口號(hào)作為關(guān)鍵字在NAT表中進(jìn)行查找。找到后把應(yīng)答包中的源地址轉(zhuǎn)換成虛擬主機(jī)地址（內(nèi)部全局地址）進(jìn)行替換（目的地址不變），繼續(xù)轉(zhuǎn)發(fā)應(yīng)答數(shù)據(jù)包。直接外部網(wǎng)絡(luò)用戶收到應(yīng)答數(shù)據(jù)包。NAT路由器一直重復(fù)這樣的轉(zhuǎn)換過程，只是下一次轉(zhuǎn)換時(shí)虛擬主機(jī)所對(duì)應(yīng)的內(nèi)部主機(jī)本地地址可能不是，有可能是或者 。顯然這是一個(gè)動(dòng)態(tài)

5、NAT轉(zhuǎn)換過程。靜態(tài)NATR1R2PC1PC2/54Loop 0: /24/24路由器R1提供NAT服務(wù)靜態(tài)NAT-路由器配置全局配置模式下配置靜態(tài)NAT映射R1(config)#ip nat inside source static R1(config)# ip nat inside source static 配置NAT內(nèi)部接口#interface FastEthernet0/0#ip address 54 #ip nat inside配置NAT外部接口# interface Serial0/0# ip address # ip nat outside # encapsul

6、ation ppp配置路由驗(yàn)證#debug ip nat查看地址翻譯的過程#show ip nat translations可以查看NAT表Pro Inside global Inside local Outside local Outside global- - - - -動(dòng)態(tài)NATR1R2PC1PC2/54Loop 0: /24/24路由器R1提供NAT服務(wù)動(dòng)態(tài)NAT-路由器配置R1配置：全局配置模式下：配置動(dòng)態(tài)NAT轉(zhuǎn)換的地址池ip nat pool abc 0 00 netmask 全局配置模式下：配置PAT映射ip nat inside source list 1 p

7、ool abc 全局配置模式下：配置允許動(dòng)態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍access-list 1 permit 55配置NAT內(nèi)部接口#interface FastEthernet0/0#ip address 54 #ip nat inside配置NAT外部接口# interface Serial0/0# ip address # ip nat outside # encapsulation ppp配置路由PAT配置PAT配置和動(dòng)態(tài)NAT配置的區(qū)別IP地址池被縮減為1個(gè)IP地址在ip nat inside source 命令之后包含overload 命令PAT-路由器配置R1配置：全局配置模式下

8、：配置動(dòng)態(tài)NAT轉(zhuǎn)換的地址池ip nat pool abc 00 00 netmask 全局配置模式下：配置動(dòng)態(tài)NAT映射ip nat inside source list 1 pool abc overload全局配置模式下：配置允許動(dòng)態(tài)NAT轉(zhuǎn)換的內(nèi)部地址范圍access-list 1 permit 55配置NAT內(nèi)部接口#interface FastEthernet0/0#ip address 54 #ip nat inside配置NAT外部接口# interface Serial0/0# ip address # ip nat outside # encapsulation ppp配置路由驗(yàn)證Router#sh ip nat translationPro Inside global Inside local Outside local Outside globalicmp 00:1723 :172