路由器的NAT的原理及配置

一、 NAT 概述

NAT （ Network Address Translation ）网络地址转换，其功能是将企业内部自行定义的非法 IP 地址转换为 Internet 公网上可识别的合法 IP 地址。

由于现行 IP 地址标准 ――IPv4 的限制， Internet 面临着 IP 地址空间短缺的问题，从 ISP 申请并给企业的每位员工分配一个合法 IP 地址是不现实的。 NAT 技术能较好解决现阶段 IPV4 地址短缺的问题。

目前，神州数码所有路由器产品，包括 DCR-2500 系列、 DCR-1700 系列和 DCR-3600 系列，均支持 NAT 功能，且功能丰富。下面简要介绍神州数码路由器 NAT 的原理。

二、 NAT 原理及配置简介

NAT 设备维护一个状态表，用来把非法的 IP 地址映射到合法的 IP 地址上去。

我们以 DCR-1700 路由器为例。

运行：

Router(config)#show ip nat translation

显示应为：

Inside local ，即内部局部地址 ―― 在内部网络上一个主机分配到的 IP 地址，通常是网管人员自己定义的私有地址。 Inside global ，即内部全局地址 ―― 一个合法的 IP 地址，向外部网络描述一个或多个本地合法 IP 地址。 Outside local ，即外部局部地址 ―― 出现在内部网络的一个外部主机的 IP 地址。不一定是合法地址，它可以在内部网络中，从可路由的地址空间进行分配。 Outside global ，即外部全局地址 ―― 主机的拥有者在外部网络上分配给主机的 IP 地址。该地址可以从全局可路由地址或网络空间进行分配。

神州数码路由器目前支持内部地址翻译、外部地址翻译和双向地址翻译功能。

内部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态 tcp 翻译、源地址静态 udp 翻译、源地址访问列表＋地址池翻译、源地址访问列表＋设备接口翻译、目的地址访问列表＋地址池翻译。

外部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态 tcp 翻译、源地址静态 udp 翻译、源地址访问列表＋地址池翻译。

神州数码路由器中， NAT 分为三种类型：静态 NAT （ staticNAT ）、 NAT 池（ pooledNAT ）和端口 NAT （ PAT ）。

静态 NAT

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。例如 DCR-1700/3600 路由器的配置：

ip nat inside source static 192.168.1.5 211.168.79.75

将局域网中的 192.168.1.5 永久映射为全局合法 IP211.168.79.75 。此功能可应用到内部网的 WWW 发布、 Ftp Server 及 Mail Server 。

NAT 池

NAT 池指用户向 ISP 申请了一组合法 IP ，在路由器中，将这一组 IP 定义成 NAT 池，通过动态分配的办法，共享很少的几个外部合法 IP 地址。如果 NAT 池中动态分配的外部 IP 地址全部被占用后，后续的 NAT 翻译申请将会失败。用地址超载功能，通过端口号区分不同的连接，可解决这个问题。

例如 DCR-2501/DCR-1700/DCR-3600 路由器的配置：

ip access-list standard 1   permit 192.168.1.0 255.255.255.0// 局域网中内部局部地址的配置   ip nat pool DCR 211.1.1.1 211.1.1.2 255.255.255.252// 局域网中NAT池的配置   ip nat inside source list 1 pool DCR overload // 地址超载的配置

如果局域网中有 20 台 PC ，但向 ISP 只申请到 211.1.1.1 和 211.1.1.2 两个合法 IP ，通过如上配置，可实现所有的 PC 同时访问 Internet 。推荐用户使用地址超载功能。

PAT

nat static add port tcp 80 200.1.1.61

PAT ，即端口地址转换。通过 PAT 技术，用户只需向 ISP 申请一个合法 IP ，就可以满足所有的用户访问 Internet 。 PAT 可以支持同时连接 64500 个 TCP ／ IP 、 UDP ／ IP ，但实际可以支持的工作站个数会少一些。

例如 DCR-2501/DCR-1700/DCR-3600 路由器的配置：

ip access-list standard 1   permit 192.168.1.0 255.255.255.0   ip nat inside source    list 1 interface Serial0/0 overload// 指定访问列表 LIST 1访问外网时转换成 Serial0/0口的IP地址。