一、NAT的由来

NAT即网络地址转换。NAT通常部署在一个组织的网络出口位置，通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力。

内部网络使用的IP地址大部分均为私有地址，A类私有地址为：10.0.0.0-10.255.255.255；B类私有地址为：172.16.0.0-172.31.255.255；C类私有地址为：192.168.0.0-192.168.255.255。这些地址可以在任何组织或企业内部使用，不能作为全球路由地址。

而对于有Internet访问需求而内部又使用私有地址的网络，就要在组织的出口位置部署NAT网关，在报文离开私网进入Internet时，将源IP替换为公网地址，通常是出口设备的接口地址。

二、NAT的工作原理

在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种通过允许使用少量的公有IP地址代表多数私有IP地址的方式将有助于减缓可用IP地址空间站枯竭的速度。

NAT服务器处于私有网络和公有网络的连接处。当内部PC（192.168.1.3）向外部服务器（202.120.10.2）发送一个数据报1时，数据报将通过NAT服务器。NAT进程查看报头内容，发现该数据报是发往外部网络的，那么它将数据报1源地址字段的私有地址192.168.1.3换成一个可在互联网上选路的公有地址201.169.10.1，并将该数据报发送到外部服务器，同时在网络地址转换表中记录这一映射；外部服务器给内部PC发送应答报文2（其初始目的地址为202.169.10.1），到达NAT服务器后，NAT进程再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC私有地址192.168.1.3替换目的地址。

三、地址转换协议NAT的优缺点

1.NAT技术的优点。

（1）NAT技术极大的节省了合法的IP地址。

（2）NAT技术能够处理地址重复情况，避免了地址的重新编号，增加了编址的灵活性。

（3）NAT技术隐藏了内部网络地址，增强了安全性。

（4）NATJIS可以使多个使用TCP负载特性的服务器之间实现基本的数据包负载均衡。

2.NAT技术的缺点：

（1）由于NAT要在边界路由器上进行地址的转换，增大了传输的延迟。

（2）由于NAT改动了IP地址，失去了跟踪端到端IP流量的能力。当出现恶意流量时，会使故障排除和流量跟踪变的更加棘手。

（3）不支持一些特定的应用程序。如早期版本的MSN。

（4）增大了资源开销。处理NAT进程增加了CPU的负荷，并需要更多内存来存储NAT表项。

四、NAT的工作流程

在整个NAT的转换中，最关键的流程有以下几点。

1.网络被分为私网和公网两个部分，NAT网关设置在私网到公网的路由出口位置，双向流量必须都要经过NAT网关。

2.网络访问只能先由私网侧发起，公网无法主动访问私网主机；

3.NAT网关在两个访问方向上完成两次地址的转换或翻译，出方向做源信息替换，入方向做目的信息替换；

4.NAT网关的存在对通信双方是保持透明的；

5.NAT网关为了实现双向翻译的功能，需要维护一张关联表，把会话的信息保存下来。

五、NAT的基本分类情况

1.静态NAT技术

（1）工作原理

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

（2）配置命令

inside|outside local和inside|outside global的一对一映射

R1(config)#ip nat {inside|outside} source static< inside global>

这样就在NAT表中创建了一个永久表项。

（3）配置案例

R1(config)#ip nat inside source static 192.168.1.1 210.83.202.1

R1(config)#ip nat outside source static 210.83.202.2 192.168.2.3

2.动态NAT技术

（1）基本概念

动态NAT是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

（2）配置命令

R1(config)#ip nat poolnetmask xxxx

R1(config)#ip nat poolprefix-length xx //掩码长度

（3）配置案例

R1(config)#ip nat pool dyn-nat-pool 211.10.121.1 211.10.121.254 netmask 255.255.255.0

R1(config)#ip nat pool dyn-nat-pool 211.10.121.1 211.10.121.254 prefix-length 24

3.端口多路复用（port address translation，）PAT

（1）基本概念

端口多路复用（Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

（2）静态PAT的配置命令

R1(config)#ip nat {inside|outside} source static< port> < inside global> < port>

配置示例：

R1(config)#ip nat inside source static tcp 10.1.1.1 80 214.118.21.121 80

（3）动态PAT的配置命令

路由器为每个转换表项添加第四层协议和端口信息

R1(config)#ip nat inside source list 1 pool in-out overload

如果不知道出站IP地址，可在命令中指定出站接口

R1(config)#ip nat inside source list 1 e0 overload

六、NAT术语

Inside network：需要翻译成外部地址的内部网络。

Outside network：使用合法地址进行通信的外部网络。

Local address：内部网络使用的地址。

Global address：外部网络使用的地址。

Inside local address:内部本地地址。数据在内部网络使用的地址，一般为private ip address。

Inside global address:内部全局地址。数据为了到达外部网络，用来代表inside local address的地址，一般为ISP提供的合法地址。

Outside local address:外部本地地址，不必是合法地址。当外部网络数据到达内部网络，外部网络中的主机IP地址与内部网络中的主机处在同一网段时，为防止内部主机误认外部主机与自己在同一网段而广播ARP请求，造成无法通信，将外部主机的地址转换成外部本地地址之后再与内部主机进行通信。

Outside global address:数据在外部网络使用的地址，是个合法地址。