NAT技术（一）

NAT 技术（一）

一、 概述

NAT 技术，中文翻译为网络地址转换。该技术产生的原因： IPv4 地址危机，在 Internet 上应用广泛的 IPv4 技术，由于其先天性不足，在九十年代初期时，已经预计到了 IPv4 地址不足，从而开始开发 IPv6 技术。但开发 IPv6 需要足够的时间，为了延长 IPv4 技术的使用时间，产生了 NAT 技术。

 

二、 工作原理

修改 IP 数据包中的源 IP 地址，或目的 IP 地址。主要目的是把 RFC1918 所提议的私有地址转变成在 Internet 上可路由的公有合法地址。对于某些有限的应用（如 DNS 、 FTP 等），它也可以修改 IP 数据包有效载荷中的地址。由于应用的复杂性， NAT 目前支持的应用有限，当然，如果需要，完全可以针对新的应用做相应的开发工作。

从配置了 NAT 技术的一台路由器上，把整个网络分成两部分：内部网络和外部网络。

NAT 技术中有四个术语：

内部本地地址 ---- 局域网内部主机的拥有的一个真实地址，一般来说是一个私有地址

内部全局地址 ---- 对于外部网络来说，局域网内部主机所表现的 IP 地址。

外部本地地址 ---- 外部网络主机的真实地址。

外部全局地址 ---- 对于内部网络来说，外部网络主机所表现的 IP 地址。

对于网络地址转换技术来讲，最重要的一点是，在配置 NAT 的路由器上形成了 NAT 转换表，这个转换表的形成是非常关键的。配置 NAT 后，能形成正确的转换表，那么我们的工作就算成功了。

 

三、 基本配置

1、  静态转换：

Router(config)#ip nat inside source static 内部本地地址 内部全局地址

2、  动态转换：

Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子网掩码

Router(config)#access-list 表号 permit 网络号 反掩码

Router(config)#ip nat inside source list 表号 pool 地址池

3、  PAT ：

Router(config)#access-list 表号 permit 网络号 反掩码

Router(config)#ip nat inside source list 表号 interface 外部接口

四、 简单案例

如下图所示，一个中小型企业网络，使用一台路由器和外部相连接，企业有 WWW 服务器和 FTP 服务器，用来提供给外部用户访问。企业内部员工也需要和 Internet 连接。如果企业能够申请到多个公网地址（六个公网地址： 202.1.1.1-202.1.1.6 ）。

 

配置：根据企业目前需求，我们可以做如下配置：（假设 ISP 端路由器使用 202.. 1.1.6 ）

Router(config)#int e0                                                      (1)

Router(config-if)#ip add 10.1.1 .254 255.255.255.0

Router(config-if)#ip nat inside

Router(config)#int e1

Router(config-if)#ip add 202.1.1.1 255.255.255.248

Router(config-if)#ip nat outside

Router(config)#ip nat inside source static 10.1.1 .1 202.1.1.2                       (2)

Router(config)#ip nat inside source static 10.1.1 .2 202.1.1.3                       (3)

Router(config)#access-list 1 permit 10.1.1 .0 0.0.0.255                            (4)

Router(config)#ip nat inside source list 1 interface e1 overload                     (5)

Router(config)#ip route 0.0.0 .0 0.0.0.0 202.1.1.6                                (6)

命令解释：

（ 1 ）：配置路由器接口 IP 地址及标记 NAT 的内部端口和外部端口

（ 2 ）：当外部用户访问服务器 202.1.1.2 ，路由器使用静态 NAT 的方式转到 10.1.1 .1

（ 3 ）：当外部用户访问服务器 202.1.1.3 ，路由器使用静态 NAT 的方式转到 10.1.1 .2

（ 4 ）：配置标准访问控制列表，匹配内部 10.1.1 .0/24 网络的主机

（ 5 ）：配置 PAT ，允许内部 10.1.1 .0/24 用户能够进行 NAT 转换

（ 6 ）：配置静态路由，使经过 NAT 转换后的数据包能够发送至 ISP

 

注意事项：当配置静态 NAT 后， NAT 转换表中就会形成转换条目。动态 NAT 和 PAT 在配置映射后，在转换表中并没有形成条目。当内部符合访问控制列表 1 条件的数据包到达路由器后，触发转换条件，该数据包要求查找转换表，如果转换表中有转换条目存在，使用该条目转换，如果没有转换条目，则根据映射创建条目并转换。

本文出自 “ cisco技术” 博客，请务必保留此出处 http://wwwcisco.blog.51cto.com/218089/39837