簡單的nat配置?私有IP是無法在因特網上使用的，而如今普遍使用的寬帶網絡(ADSL)最多所能提供給用戶的IP為16個，最少則為一個，萬一企業内部有50台計算機要同時連接上因特網，該如何解決呢？這個問題的正确解決辦法是使用NAT，隻要通過NAT的機制，就可以讓成千上萬台計算機同時通過一個公網IP來連上因特網本篇屬于NAT技術基礎知識，包括：介紹、原理、分類以及存在的問題進行總結，今天小編就來聊一聊關于簡單的nat配置?接下來我們就一起去研究一下吧!

簡單的nat配置

私有IP是無法在因特網上使用的，而如今普遍使用的寬帶網絡(ADSL)最多所能提供給用戶的IP為16個，最少則為一個，萬一企業内部有50台計算機要同時連接上因特網，該如何解決呢？這個問題的正确解決辦法是使用NAT，隻要通過NAT的機制，就可以讓成千上萬台計算機同時通過一個公網IP來連上因特網。本篇屬于NAT技術基礎知識，包括：介紹、原理、分類以及存在的問題進行總結。

NAT介紹

• NAT網絡地址轉換（network address translation），是一種将數據包中的IP地址替換為其他IP地址的功能，此功能通常由路由器或防火牆來實現；NAT的通過利用較少的公　有IP地址來表示大量私有IP地址的方式來降低IP地址空間的耗用速度，除了此工作外，NAT在網絡遷移和融合、服務器負載共享等方面也非常有用，接下來将針對NAT的實現過程進行簡單介紹。

NAT原理

相關術語：

• IL ： 内部本地地址即分配給内部設備的地址，此類地址不會宣告到外部網絡

• IG： 内部全局地址即内部設備被外部網絡所知曉的地址

• OG：外部全局地址即分配給外部設備的地址，這些地址不會被宣告到内部網絡

• OL： 外部本地地址即外部設備被内部網絡所知曉的地址

實現過程：

說明：

• 當設備A向設備B發送數據包時，由NAT将數據包源地址字段中的A設備的私有IP替換為可以在internet進行路由的公有地址，并轉發數據包。當設備B向設備A發送應答數據包時，數據包的目的IP将是 公有IP地址，此時NAT将目的地址替換為設備A的私有IP地址。在此過程中，NAT操作是完全透明的，即：設備A不知道203.10.5.23的存在，設備B認為設備A的地址是203.10.5.23，設備A的私有地址對B來說是不存在的。

• 結合NAT的相關術語可知：192.168.2.23為内部本地地址為；203.10.5.23為内部全局地址；192.31.7.130是外部全局地址，外部本地地址在NAT雙向轉換源地址和目的地址的時候可以看到，上述過程為NAT将設備A的私有地址替換為公有IP地址的過程，不涉及到外部本地地址。

• 在上述轉換過程中，NAT會創建地址轉換表，在地址轉換表中可以清晰地看到上述4個術語。

NAT分類

靜态NAT

• 實現：一對一，将一個唯一的本地地址映射到一個唯一的外部地址，條目一旦創建将會永久生效，可以提供對外服務主機一個更安全的運行環境，用于企業對内部服務器的一個轉換，很明顯一對一的NAT轉換并不能起到節省公網IP的作用。

• 配置：

• ip nat inside source static 192.168.2.23 203.10.5.23 （将内部本地地址替換為内部全局地址）同時在入接口和出接口需要配置：ip nat inside及ip nat outside

動态NAT

• 實現：多對多，将大量地址統計複用到一個較小的地址池的應用技術。配合ACL使用。

• 配置：

• 定義轉換池（内部全局地址池）：ip nat pool nat-pool 203.10.5.25 203.10.5.30 netmask 255.255.255.0 結合ACL定義哪些内部本地地址需要轉換：access-list 1 permit host 192.168.2.23 地址池和規則進行關聯：ip nat inside source list 1 pool nat-pool 同時在入接口和出接口需要配置：ip nat inside及ip nat outside

　端口NAT

• 實現：一對多：多個地址同時映射到單一地址，PAT會同時轉換IP地址和端口号，來自不同地址的數據包可以被轉換為同一地址，但相應的端口号不相同，這樣就可以共享同一個IP地址。

• 配置：

  結合ACL定義哪些内部本地地址需要轉換：access-list 1 permit host 192.168.2.23 配置PAT：ip nat inside source list 1 interface fastEthernet 0/1 overload 同時在入接口和出接口需要配置：ip nat inside及ip nat outside　　

NAT存在的問題

• 雖然NAT非常有用，但是NAT并非無所不能，通過上述基礎知識的了解，可以看到在NAT的處理過程中，會對IP地址和TCP端口内容進行更改，由于對IP地址和TCP端口更改後，會使得IP包和TCP包中的校驗和字段發生變化，因此需要NAT機制可以完成這些校驗和的重新計算。

• 同時許多協議和應用程序都是根據數據字段的IP地址來攜帶IP地址或信息，因而可能會更改被封裝數據的含義，從而可能破壞該應用.如：IPSEC的VPN應用，對于IPSEC而言，如果更改了ipsec包中的IP地址，IPSEC的加密機制将會丢棄此報文，從而破壞了VPN應用。從後面的技術可以了解到NAT穿越可以解決此問題。

• NAT并不能阻止拒絕服務或者會話劫持等常見攻擊。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!