网络地址转换网络地址转换NAT

什么是NAT网络地址转换

nat是指网络地址转换方法，这种方法需要在专用网连接到因特网的路由器上安装nat软件。

装有nat软件的路由器叫做nat路由器，它至少有一个有效的外部全球IP地址。

这样，所有使用本地地址的主机在和外界通信时，都要在nat路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

nat不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的?/p>

简述网络地址转换的原理以及主要应用中哪些方面

网络地址转换有多种形式和若干种工作方式： * 静态网络地址转换——以一对一的方式将一个未注册的 IP 地址映射到一个已注册的 IP 地址。

在需要能够从网络外部访问某个设备时尤其有用。

在静态网络地址转换中，IP地址为192.168.32.10的计算机将始终转换为213.18.123.110。

* 动态网络地址转换——将一个未注册的IP地址映射到一组已注册的IP地址中的某个已注册的IP地址。

动态网络地址转换中，IP地址为192.168.32.10的计算机将转换为213.18.123.100到213.18.123.150范围内的第一个可用的地址。

* 重载——动态网络地址转换的一种形式，通过使用不同的端口，将多个未注册的IP地址映射到一个已注册的IP地址。

这也称为端口地址转换 （PAT）、单地址网络地址转换或端口级复用网络地址转换。

在重载中，专用网络中的每台计算机都被转换为同一个IP地址 （213.18.123.100），但分配的端口号不同。

* 重叠——如果您在内部网络上使用的IP地址同时也是在其他网络上正在使用的已注册的IP地址，那么路由器必须维护这些地址的查找表，以便能够拦截它们，并将其替换成唯一的已注册IP地址。

值得注意的是，网络地址转换路由器必须将“内部”地址转换为唯一的已注册地址，同时还必须将“外部”已注册的地址转换为对于专用网络而言独一无二的地址。

要实现这一点可以通过静态网络地址转换，或者通过使用域名解析服务然后实施动态网络地址转换。

内部IP范围（237.16.32.xx）同时也是其他网络使用的注册范围。

因此，路由器要转换这些地址，以避免与其他网络产生冲突。

当信息发送到内部网络时，路由器还会将已注册的全局IP地址重新转换为未注册的本地IP地址。

内部网络通常是局域网（LAN），常被称作端域。

端域是在其内部使用IP地址的局域网。

端域中的大部分网络通信都是本地通信，因此它不会传播到内部网络之外。

端域中可包括已注册的IP地址和未注册的IP地址。

当然，所有使用未注册的IP地址的计算机必须使用网络地址转换才能与其他网络进行通信。

网络地址转换可以用不同方法来配置。

在下面的示例中，网络地址转换路由器被配置为将位于专用网络（内部网络）上的未注册的（本地内部）IP地址转换为已注册的IP地址。

只要内部的某个设备（其地址是未注册的IP地址）需要与公用网络（外部网络）进行通信，就会发生上面的转换。

* 互联网服务提供商为您的公司分配一个IP地址范围。

范围内的地址是唯一的已注册的IP地址，被称为内部全局地址。

未注册的专用IP地址被分成两组，其中一组（外部本地地址）比较小，由网络地址转换路由器来使用，另外一组（内部本地地址）就大得多了，在端域上使用。

外部本地地址用于转换公用网络上的设备的唯一的IP地址（称为外部全局地址）。

根据IP地址是位于专用网络上还是位于公用网络上，以及通信是传入还是传出，IP地址的名称会不一样。

根据IP地址是位于专用网络（端域）上还是位于公用网络（互联网）上，以及通信是传入还是传出，IP地址的名称会不一样。

* 端域上的大多数计算机使用内部本地地址来互相通信。

* 端域上有些计算机要与外部网络进行大量的通信。

这些计算机有内部全局地址，意味着它们不需要进行转换。

* 如果端域上拥有内部本地地址的计算机要与外部网络进行通信，那么数据包将转到其中一个网络地址转换路由器。

* 网络地址转换路由器会检查路由表，查看是否有目标地址的对应项。

如果有，网络地址转换路由器将转换该数据包，并在地址转换表中为它创建对应项。

如果路由表中没有目标地址，那么将丢弃该数据包。

* 路由器使用内部全局地址将数据包继续发送到它的目标地址。

* 公用网络上的计算机向专用网络发送数据包。

数据包上的源地址是一个外部全局地址。

目标地址是一个内部全局地址。

* 网络地址转换路由器查看地址转换表，发现表中有目标地址，该地址被映射到端域上的一台计算机。

* 网络地址转换路由器将数据包的内部全局地址转换成内部本地地址，然后将其发送到目标计算机。

网络地址转换重载利用了TCP/IP协议栈的复用功能，该功能允许计算机使用不同的TCP或UDP

网络地址转换NAT

单接口NAT配置 条件： 　　 　　1、IOS在12.1(5)T9及以上版本。

更低版本未做验证。

　　 　　2、至少具有两个或多个ISP提供的的global地址。

　　 　　实现思路： 　　 　　1、将ISP提供的地址作为secondary地址配置在以太接口上。

该以太接口同时作为inside接口。

作为内部主机的网关。

　　 　　2、 创建一个loopback接口做为nat的outside. 　　 　　3、使用route-map，强行将内部网出去的数据包及从外部返回的对应数据包路由到loopback接口。

　　 　　实例： 　　 　　拓朴如下图所示： 　　 　　配置如下： 　　 　　interface Loopback0 　　 　　ip address 172.16.2.254 255.255.255.252 　　 　　ip nat outside 　　 　　! 　　 　　//创建一个loopback接口，并作为NAT outside接口。

　　 　　interface 0 　　 　　ip address 192.168.0.1 255.255.255.248 secondary 　　 　　ip address 172.16.1.254 255.255.255.0 　　 　　ip Nat inside 　　 　　ip policy route-map rm-nat 　　 　　! 　　 　　//在E0接口上配置172.16.1.254做为IP，同时将ISP提供的地址做为Secondary地址。

e0做为inside接口。

　　 　　在本接口上应用rm-nat这个route-map 　　 　　ip nat pool pool1 192.168.0.2 192.168.0.3 prefix-length 29 　　 　　ip nat inside source list 10 pool pool1 overload 　　 　　//常规NAT配置 　　 　　ip classless 　　 　　ip route 0.0.0.0 0.0.0.0 192.168.0.6 　　 　　ip route 172.16.1.0 255.255.255.0 0 　　 　　ess-list 10 permit 172.16.1.0 0.0.0.255 　　 　　//配置路由及NAT所需要的ess-list 　　 　　ess-list 101 permit ip 172.16.1.0 0.0.0.255 any 　　 　　ess-list 101 permit ip any 192.168.0.0 0.0.0.7 　　 　　//配置route-map所需要的acl。

第一句匹配出去的包，第二句匹配返回的包。

　　 　　route-map rm-nat permit 10 　　 　　match ip address 101 　　 　　set ip next-hop 172.16.2.254 　　 　　//配置所需要的route-map,凡是满足ess-list 101条件的包均被转发到172.16.2.254(loopback0接口)。