一、NAT概述

NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換，其功能是將企業(yè)內(nèi)部自行定義的非法IP地址轉(zhuǎn)換為Internet公網(wǎng)上可識(shí)別的合法IP地址。

由于現(xiàn)行IP地址標(biāo)準(zhǔn)——IPv4的限制，Internet面臨著IP地址空間短缺的問(wèn)題，從ISP申請(qǐng)并給企業(yè)的每位員工分配一個(gè)合法IP地址是不現(xiàn)實(shí)的。NAT技術(shù)能較好解決現(xiàn)階段IPV4地址短缺的問(wèn)題。

目前，神州數(shù)碼所有路由器產(chǎn)品，包括DCR-2500系列、DCR-1700系列和DCR-3600系列，均支持NAT功能，且功能豐富。下面簡(jiǎn)要介紹神州數(shù)碼路由器NAT的原理。

二、NAT原理及配置簡(jiǎn)介

NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來(lái)把非法的IP地址映射到合法的IP地址上去。

我們以DCR-1700路由器為例。 運(yùn)行：

Router(config)#show ip nat translation   

顯示應(yīng)為：

Inside local，即內(nèi)部局部地址——在內(nèi)部網(wǎng)絡(luò)上一個(gè)主機(jī)分配到的IP地址，通常是網(wǎng)管人員自己定義的私有地址。 Inside global，即內(nèi)部全局地址——一個(gè)合法的IP地址，向外部網(wǎng)絡(luò)描述一個(gè)或多個(gè)本地合法IP地址。 Outside local，即外部局部地址——出現(xiàn)在內(nèi)部網(wǎng)絡(luò)的一個(gè)外部主機(jī)的IP地址。不一定是合法地址，它可以在內(nèi)部網(wǎng)絡(luò)中，從可路由的地址空間進(jìn)行分配。 Outside global，即外部全局地址——主機(jī)的擁有者在外部網(wǎng)絡(luò)上分配給主機(jī)的IP地址。該地址可以從全局可路由地址或網(wǎng)絡(luò)空間進(jìn)行分配。

神州數(shù)碼路由器目前支持內(nèi)部地址翻譯、外部地址翻譯和雙向地址翻譯功能。 內(nèi)部地址翻譯包括：源地址的靜態(tài)單一地址翻譯、源地址的靜態(tài)子網(wǎng)翻譯、源地址靜態(tài)tcp翻譯、源地址靜態(tài)udp翻譯、源地址訪問(wèn)列表＋地址池翻譯、源地址訪問(wèn)列表＋設(shè)備接口翻譯、目的地址訪問(wèn)列表＋地址池翻譯。 外部地址翻譯包括：源地址的靜態(tài)單一地址翻譯、源地址的靜態(tài)子網(wǎng)翻譯、源地址靜態(tài)tcp翻譯、源地址靜態(tài)udp翻譯、源地址訪問(wèn)列表＋地址池翻譯。 神州數(shù)碼路由器中，NAT分為三種類型：靜態(tài)NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。 靜態(tài)NAT內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址。例如DCR-1700/3600路由器的配置：

ip nat inside source static 192.168.1.5 211.168.79.75   

將局域網(wǎng)中的192.168.1.5永久映射為全局合法IP211.168.79.75。此功能可應(yīng)用到內(nèi)部網(wǎng)的WWW發(fā)布、Ftp Server及Mail Server。 NAT池NAT池指用戶向ISP申請(qǐng)了一組合法IP，在路由器中，將這一組IP定義成NAT池，通過(guò)動(dòng)態(tài)分配的辦法，共享很少的幾個(gè)外部合法IP地址。如果NAT池中動(dòng)態(tài)分配的外部IP地址全部被占用后，后續(xù)的NAT翻譯申請(qǐng)將會(huì)失敗。用地址超載功能，通過(guò)端口號(hào)區(qū)分不同的連接，可解決這個(gè)問(wèn)題。 例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

    

ip access-list standard 1

permit 192.168.1.0 255.255.255.0//局域網(wǎng)中內(nèi)部局部地址的配置

ip nat pool DCR 211.1.1.1 211.1.1.2 255.255.255.252//局域網(wǎng)中NAT池的配置

ip nat inside source list 1 pool DCR overload //地址超載的配置   

如果局域網(wǎng)中有20臺(tái)PC，但向ISP只申請(qǐng)到211.1.1.1和211.1.1.2兩個(gè)合法IP，通過(guò)如上配置，可實(shí)現(xiàn)所有的PC同時(shí)訪問(wèn)Internet。推薦用戶使用地址超載功能。 PAT

nat static add port tcp 80 200.1.1.61   

PAT，即端口地址轉(zhuǎn)換。通過(guò)PAT技術(shù)，用戶只需向ISP申請(qǐng)一個(gè)合法IP，就可以滿足所有的用戶訪問(wèn)Internet。PAT可以支持同時(shí)連接64500個(gè)TCP／IP、UDP／IP，但實(shí)際可以支持的工作站個(gè)數(shù)會(huì)少一些。 例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

ip access-list standard 1

permit 192.168.1.0 255.255.255.0

ip nat inside source

list 1 interface Serial0/0 overload//指定訪問(wèn)列表 LIST 1訪問(wèn)外網(wǎng)時(shí)轉(zhuǎn)換成 Serial0/0口的IP地址。