网络地址转换网络地址转换的具体示例

网络地址转换的转换原因

展开全部 由于保密原因或 IP 在外网不合法，网络的内部 IP 地址无法在外部网络使用，就产生了 IP 地址转换的需求。

局域网络以外的网络的拓扑结构能以多种方式改变：公司更换供应商；重组公司主干网络或者供应商合并或散伙。

一旦外部拓扑结构改变，本地网络的地址分配也必须改变以反映外部变化。

通过将这些变化集中在单个地址转换路由器中，局域网用户并不需知道这些改变。

基本地址转换允许主机从内部网络中透明地访问外部网络，并容许从外部访问选定的本地主机。

对于一个机构其网络主要用于内部服务而仅有时用于外部访问， 这种配置是很适用的。

使用这种转换方法是有一定限制的，即会话的请求及响应的发送必须经过相同的 NAT路由器。

在边界路由器上安装 NAT 能确保这一过程，边界路由器在该域中是唯一的，而所有经过的 IP 包要么来自于此域要么到达此域。

此外还可使用多重 NAT 设备确保这一过程。

NAT 解决方法有其不足之处，仅以增强的网络状态作为补充，而忽略了 IP 地址端对端的重要性。

结果是，由于存在 NAT 设备，由 IPSec 保证的端对端 IP 网络级安全无法应用到终端主机。

此方法的优势是不需要改变主机或路由器就可以直接安装 NAT 。

地址转换的转换方式

目前存在三种地址转换方式。

一种是经常被简记为NAT的网络地址转换(有时也叫做“网络地址端口转换”，记做NAPT)，这种方式支持端口的映射并允许多台主机共享一个公用IP地址。

第二种也可以称作NAT或“基本NAT”，“静态NAT,但在技术上更简单一点，仅支持地址转换，不支持端口映射，这就需要对每一个当前连接都要对应一个IP地址。

宽带(broadband)路由器通常使用这种方式来允许一台指定的计算机去接收所有的外部连接，甚至当路由器本身只有一个可用外部IP时也如此，这台路由器有时也被标记为DMZ主机。

第三种称作动态NAT(pooledNAT)是在外部网络中定义了一系列的合法地址，采用动态分配的方式映射到内部网络。

支持端口转换的NAT又可以分为两类：源地址转换和目的地址转换NAT 。

前一种情形下发起连接的计算机的IP地址将会被重写，后一种情况下被连接计算机的IP地址将被重写。

实际上，以上两种方式通常会一起使用以支持双向通信。

受到NAT影响的应用程序 一些高层协议（比如FTP，Quake，SIP）是在IP包的有效数据内发送网络层（第三层）信息的。

比如，主动模式的FTP使用单独的端口分别来控制命令传输和数据传输。

当请求一个文件传输时，主机在发送请求的同时也通知对方自己想要在哪个端口接受数据。

但是，如果主机是在一个简单的NAT防火墙后发送的请求，那么由于端口的映射将会使对方接收到的信息无效。

一个应用层网关（Application Layer Gateway或ALG）可以修正这个问题。

运行在NAT防火墙设备上的ALG软件模块可以更新任何由地址转换而导致无效的信息。

显然，ALG需要明白它所要修正的上层协议，所以每个有这种问题的协议都需要有一个单独的ALG。

但是，除FTP外的大多数传统的客户机－服务器协议不需要发送网络层（第三层）信息，也就不需要ALG。

这个问题的另一个可能的解决方法是使用象STUN这样的技术，但是这只针对建立在UDP上的高层协议，并且需要它内建这中技术。

这种技术对对称NAT也是无效的。

还有一种可能的方案是UPnP，但它需要和NAT设备配合起来使用

什么是NAT(网络地址转换)计术

什么是 NAT？ 网络地址转换 (NAT) 是一个 工程任务组 ( Engineering Task Force，IETF) 标准，用于允许专用网络上的多台 PC (使用专用地址段，例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享单个、全局路由的 IPv4 地址。

IPv4 地址日益不足是经常部署 NAT 的一个主要原因。

Windows XP 和 Windows Me 中的“ 连接共享”及许多 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。

NAT 对于解决 IPv4 地址耗费问题 (在 IPv6 部署中却没必要) 尽管很有效，但毕竟属于临时性的解决方案。

这种 IPv4 地址占用问题在亚洲及世界其他一些地方已比较严重，且日渐成为北美地区需要关注的问题。

这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。

除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通信，因此 NAT 还为专用网络提供了一个隐匿层。

NAT 与防火墙或代理服务器不同，但它确实有利于安全。

网络地址的转换。

全部转换成二进制

网络地址是主机IP与掩码进行与运算

网络广播地址是该子网里面主机位全为1的地址

主机位数是24减子网掩码的位数

可用的主机数量是2的n次方减2（一个网络号，一个广播地址）n是上面算出来的主机位数

172.17.99.71，网络地址172.17.0.0，广播地址172.17.255.255，主机位数16位，可用主机数量2的16次方减2＝65534

剩下的自己算吧

网络地址转换有哪几种类型？a.静态nat

路由器最主要的功能之一就是NAT 不知道楼主还记得以前运营是限制使用路由器的，其检测的原理：路由一般都是用NAT方式，是在IP包中放入一个特殊位标记是哪台子网内的包，ISP只要检测到有这种特殊的IP包就可以认为你是在用路由上网。

NAT（Network...

网络地址转换的具体示例

当ISP分配的IP地址数量很少，网络又没有其他特殊需求，即无需为提供网络服务时，可采用端口利用地址转换方式，使网络内的计算机采用同一IP地址访问，在节约IP地址资源的同时，又可有效保护网络内部的计算机。

网络环境： 局域网采用10Mb/s光纤，以城域网方式接入。

路由器选用拥有2个10/100Mb/s自适应端口的Cisco2611。

内部网络使用的IP地址段为192.168.100.1~192.101.254，局域网端口0的IP地址为192.168.100.1,子网掩码为255.255.0.0。

网络分配的合法IP地址范围为202.99.160.128~202.99.160.131,连接ISP的端口1的IP地址为202.99.160.129,子网掩码为255.255.255.252。

可用于转换的IP地址为202.99.160.130。

要求网络内部的所有计算机均可访问。

案例分析： 既然只有一个可用的合法IP地址，同时处于局域网的服务器又只为局域网提供服务，而不允许中的主机对其访问，因此完全可以采用端口复用地址转换方式实现NAT，使得网络内的所有计算机均可独立访问。

配置清单： 0/0 ipaddress192.168.100.1255.255.0.0//定义本地端口IP地址 duplexauto speedauto ipnatinside//定义为本地端口 ! 0/1 ipaddress202.99.160.129255.255.255.252 duplexauto speedauto ipnatoutside ! madk255.255.255.252//定义合法IP地址池，名称为onlyone ess-list1permit192.168.100.00.0.0.255//定义本地访问列表 ess-list1permit192.168.100.00.0.0.255 ipnatinsidesourcelist1poolonlyoneoverload//采用端口复用动态地址转换 许多FTP网站考虑到服务器性能和连接带宽的占用问题，都限制同一IP地址的多个进程访问。

如果采用端口复地址转换方式，则网络内的所以计算机都采用同一IP地址访问,那么，将因此而被禁止对该网站的访问。

所以，当提供的合法IP地址数量稍多时，可同时采用端口复用和动态地址转换方式，从而既可保证所有用户都能够获得访问的权力，同时，又不致、某些计算机因使用同一IP地址而被限制权限。

需要注意的是，由于所有计算机都采用动态地址转换方式，因此中的所有计算机将无法实现对网络内部服务器的访问。

网络环境： 局域网以2Mb/sDNA专线接入，路由器选用安装了广域网模块的Cisco2611。

内部网络使用的IP地址段为172.16.100.1~172.16.102.254,局域网端口0的IP地址为172.16.100.1,子网掩码为255.255.0.0。

网络分配的合法IP地址范围为202.99.160.128~202.99.160.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为202.99.160.130~202.99.160.190。

要求网络部分的部分计算机可以不受任何限制地访问，服务器无需提供访问服务。

案例分析： 既然要求网络中的部分计算机可以不受任何限制地访问,同时，服务器无需提供访问服务，那么，只需采用动态地址转换+端口复用地址转换方式即可实现。

部分有特殊需求的计算机采用动态地址转换的NAT方式，其他计算机则采用端口复用地址转换的NAT方式。

因此，部分有特殊需求的计算机可采用内部网址172.16.100.1~172.16.100.254，并动态转换为合法地址202.99.160.130~202.99.160.189，其他计算机采用内部网址172.16.101.1~172.16.102.254,全部转换为202.99.160.190。

配置清单： 0/1 ipaddress10.100.100.1255.255.255.0//定义局域网端口IP地址 duplexauto speedauto ipnatinside//定义为局域端口 ! interfaceserial0/0 ipaddress202.99.160.129255.255.255.192//定义广域网端口IP地址 ! duplexauto speedauto ipnatoutside//定义为广域端口 ! mask255.255.255.192//定义合法IP地址池，名称为public mask255.255.255.192//定义合法IP地址池，名称为super ipnatinsidesourcelist1poolsuper//定义列表达1采用动态地址转换 ipnatinsidesourcelist2poolpublicoverload?//定义列表2采用端口复用地址转换 ess-list1permit172.16.100.00.0.0.255//定义本地访问列表1 ess-list2permit172.16.102.00.0.0.255//定义本地访问列表2 ess-list2permit172.16.102.00.0.0.255 网络中的服务器既为网络内部的客户提供网络服务，又同时为中的用户提供访问服务。

因此，如果采用端口复用地址转换或动态地址转换，将由于无法确定服务器的IP地址，而导致用户无法实现对网络内部服务器的访问。

应当采用静态地址转换+端口复用地址转换的NAT方式。

也就是说，对服务器采用静态地址转换，以确保服务器拥有固定的合法IP地址。

而对普通的客户计算机则采用端口复用地址转换，使所有用户都享有访问的权力。

网络环境： 局域网采用10Mb/s光纤，以城域网方式接入。

路由器选用拥有2个10/100Mb/s自适应端口的Cisco2611。

内部网络使用的IP地址段为10.18.100.1~10.18.104.254,局域网端口0的IP地址为10.18.100.1,子网掩码为255.255.0.0。

网络分配的合法IP地址范围为211.82.220.80~211.82.220.87，连接ISP的端口1的IP地址为211.82.220.81,子网掩码为255.255.255.248。

要求网络内部的所有计算机均可访问，并且在中提供Web、E-mail、FTP和Media等4种服务。

案例分析： 既然网络内的服务器要求能够被访问到，那么，这部分主机必须拥有合法的IP地址，也就是说，服务器必须采用静态地址转换。

其他计算机由于没有任何限制，所以，可采用端口复用地址转换的NAT方式。

因此，服务器可采用内网址10.18.100.1~10.18.100.254，并分别映射为一个合法的IP地址。

其他计算机则采用内部网址10.18.101.1~172.16.104.254,并全部转换为一个合法的IP地址。

配置清单： 0/0 ipaddress10.18.100.1255.255.0.0//定义局域网口IP地址 duplexauto speedauto ipnatinside//定义局域网口 ! 0/1 ipaddress211.82.220.81255.255.255.248//定义广域网口IP地址 duplexauto speedauto ipnatoutside//定义广域网口 ! mask255.255.255.248//定义合法IP地址池 ess-list1permit10.18.101.00.0.0.255//定义本地访问列表1 ess-list1premit10.18.102.00.0.0.255 ess-list1premit10.18.103.00.0.0.255 ess-list1premit10.18.104.00.0.0.255 ipnatinsidesourcelist1pooleveryoverload//定义列表达1采用端口复用地址转换 ipnatinsidesourcestatic10.18.100.10211.82.220.82//定义静态地址转换 ipnatinsidesourcestatic10.18.100.11211.82.220.83 ipnatinsidesourcestatic10.18.100.12211.82.220.84 ipnatinsidesourcestatic10.18.100.13211.82.220.85 NAT映射如果ISP提供的合法IP地址的数量较多，我们自然可以采用静态地址转换+端口复用动态地址转换的方式得以完美实现。

但如果ISP只提供4个IP地址，其中2个作为网络号和广播地址而不可使用，1个IP地址要用于路由器定义为默认网关，那么将只剩下1个IP地址可用。

当然我们也可以利用这个仅存的一个IP地址采用端口复用地址转换技术，从而实现整个局域网的接入。

但是由于服务器也采用动态端口，因此，中的计算机将无法访问到网络内部的服务器。

有没有好的解决问题的方案呢？这就是TCP/UDP端口NAT映射。

不同应用程序使用的TCP/UDP的端口是不同的，比如，Web服务使用80，FTP服务使用21，SMTP服务使用25，POP3服务使用110，等等。

因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个合法的IP地址，即可在允许内部所有服务器被访问的同时，实现内部所有主机对访问。

网络环境： 局域网采用10Mb/s光纤，以城域网方式接入，如图4-2-5所示。

路由器选用拥有2个10/100Mb/s自适应端口的Cisco2611。

内部网络使用的IP地址段为192.168.1.1~192.168.1.254，局域网端口0的IP地址为192.168.1.1,子网掩码为255.255.255.0。

网络分配的合法IP地址范围为，211.82.220.128~211.82.220.131,连接ISP的端口1的IP地址为211.82.220.129,子网掩码为255.225.255.252，可用于转换的IP地址为211.82.220.130。

要求网络内部的所有计算机均可访问。

案例分析： 既然只有一个可用的合法IP地址，当然只能采用端口复用方式实现NAT，不过，由于同时又要求网络内部的服务器可以被访问到，因此，必须使用PAT创建TCP/UDP端口的NAT映射。

需要注意的是，也可以直接使用广域端口创建TCP/UDP端口的NAT映射，也就是说，即使只有一个IP地址，也可以完美实现端口复用。

由于合法IP地址位于路由器端口上，所以，不再需要定义NAT池，只简单地使用insidesourcelist语句即可。

需要注意的是，由于每种应用服务都有自己默认的端口，所以，这种NAT方式下，网络内部每种应用服务中只能各自有一台服务器成为中的主机，例如，只能有一台Web服务器，一台E-mail服务，一台FTP服务器。

尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。

配置清单： 0/0 ipaddress192.168.1.1255.255.255.0//指定局域网口的IP地址 duplexauto speedauto ipnatinside//指定局域网接口 ! 0/1 ipaddress211.82.220.129255.255.255.248//指定广域网口的IP地址 ess-list1permit192.168.1.00.0.0.255 ! 0/1overload//启用端口复用地址转换，并直接采用0/1的IP地址。

ipnatinsidesourcestatictcp192.168.1.1180202.99.160.129.80 ipnatinsidesourcestatictcp192.168.1.1221202.99.160.129.21 ipnatinsidesourcestatictcp192.168.1.1325202.99.160.129.25 ipnatinsidesourcestatictcp192.168.1.13110202.99.160.129110 随着访问量的上升，当一台服务器难以胜任时，就必须采用负载均衡技术，将大量的访问合理地分配至多台服务器上。

当然，实现负载均衡的手段有许多种，比如可以采用服务器群集负载均衡、交换机负载均衡、DNS解析负载均衡等等。

其实除此以外，也可以通过地址转换方式实现服务器的负载均衡。

事实上，这些负载均衡的实现大多是采用轮询方式实现的，使每台服务器都拥有平等的被访问机会。

网络环境： 局域网以2Mb/sDDN专线拉入,路由器选用安装了广域网模块的Cisco2611。

内部网络使用的IP地址段为10.1.1.1~10.1.3.254，局域网端口0的IP地址为10.1.1.1,子网掩码为255.255.252.0。

网络分配的合法IP地址范围为202.110.198.80~202.110.198.87,连接ISP的端口1的IP地址为202.110.198.81,子网掩码为255.255.255.248。

要求网络内部的所有计算机均可访问，并且在3台Web服务器和2台FTP服务器实现负载均衡。

案例分析： 既然要求网络内所有计算机都可以接入,而合法IP地址又只有5个可用，当然可采用端口复用地址转换方式。

本来对服务器通过采用静态地址转换，赋予其合法IP地址即可。

但是，由于服务器的访问量太大（或者是服务器的性能太差），不得不使用多台服务器作负载均衡，因此，必须将一个合法IP地址转换成多相内部IP地址，以轮询方式减轻每台服务器的访问压力。

配置文件： 0/1 ipadderss10.1.1.1255.255.252.0//定义局域网端口IP地址 duplexauto speedauto pnatinside//定义为局域端口 ! interfaceserial0/0 ipaddress202.110.198.81255.255.255.248//定义广域网端口IP地址 duplexauto speedauto ipnatoutside//定义为广域端口 ! ess-list1permit202.110.198.82//定义轮询地址列表1 ess-list2permit202.110.198.83//定义轮询地址列表2 ess-list3permit10.1.1.00.0.3.255//定义本地访问列表3 ! ipnatpoolwebsev10.1.1.210.1.1.4255.255.255.248typerotary//定义Web服务器的IP地址池，Rotary关键字表示准备使用轮询策略从NAT池中取出相应的IP地址用于转换进来的IP报文，访问202.110.198.82的请求将依次发送给web服务器：10.1.1.2、10.1.1.3和10.1.1.4 ipnatpoolftpsev10.1.1.810.1.1.9255.255.255.248typerotary//定义ftp服务器的IP地址池。

mask255.255.255.248//定义合法IP地址池，名称为normal ipnatinsidedestinationlist1poolwebsev//insidedestinationlist语句定义与列表1相匹配的IP地址的报文将使用轮询策略 ipnatinsidedestinationlist2poolftpsev