一、 NAT簡介：NAT(NetworkAddressTranslation)網絡地址轉換。最早出現在思科11.2IOS中，定義在RFC1631和RFC3022中。NAT最主要的作用是為了緩解IPv4地址空間的不足。同時也帶來了一些問題，如每個數據包到達路由器后都要進行包頭的轉換操作，所以增加了延遲；DNS區域傳送，BOOTP/DHCP等協議不可穿越NAT路由器；改動了源中，失去了跟蹤到端IP流量的能力，所以使責任不明確了。但是利還是要大于弊的，不然也不會學習它了！最新的CCNA640-802學習指南中依然有專門的一章來講解NAT，它的重要性可見一斑。二、 NAT術語：比較難理解，所以這里用最明了的語言總結如下內部本地地址(insidelocaladdress):局域網內部主機的地址，通常是RFC1918地址空間中的地址，稱為私有地址。(待轉換的地址)內部全局地址(insideglobaladdress):內部本地地址被NAT路由器轉換后的地址，通常是一個可路由的公網地址。外部全局地址(outsideglobaladdress):是與內部主機通信的目標主機的地址，通常是一個可路由的公網地址。外部本地地址(outsidelocaladdress):是目標主機可路由的公網地址被轉換之后的地址，通常是RFC1918地址空間中的地址。三、 NAT配置詳解：1.靜態NAT：將一個私有地址和一個公網地址一對一映射的配置方法，這種方式不能節省IP，通常只為需要向外網提供服務的內網服務器配置。51CT0.com本圖片來自51CTO博客Eilcig.51ctci.c：cim若未注明出處則為非法轉載如圖所示：PC1地址：192?168?0?2/24PC2地址：/24R1E0/0地址：/24R1S0/0地址：/24R2S0/0地址：/24R2E0/0地址：/24PC3地址：/24(模擬公網服務器)各接口地址按上面配置好之后，在R1和R2上配置路由(注意不要為網絡增加路由項，因為私有網絡不可以出現在公網路由表中，不然也不叫私有地址了)路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S0/0,再向前就ping不通了。因為沒有網絡的路由表項，所以被丟棄了！下面在R1上配置靜態NAT讓PC1可以和PC3通信。Router(config)#intfa0/0Router(config-if)#ipnatinside〃將該接口標記為內部接口Router(config-if)#ints0Router(config-if)#ipnatoutside〃將該接口標記為外部接口Router(config-if)#exitRouter(config)#ipnatinsidesourcestatic〃將來自標記為內部接口的地址做為轉換源，將一對一的轉換成2、 動態政氏現在PC1就可以和PC3通信了。但是PC2不能，因為R1并沒有為PC2提供地址轉換。當然我們可以在R1上像給PC1做靜態轉換一樣也給PC2做一個，可如果我們有100臺機器工作量就太大了。下面在R1上再繼續配置：Router(config)#access-list10permit55〃定義標準訪問控制列表10只允許定義的地址能夠被轉換Router(config)#ipnatpoolout4netmask〃定義名稱為out的地址池。Router(config)#ipnatinsidesourcelist10poolout//將訪問控制列表定義的地址和地址池關聯這樣就有前21個內部主機能夠得到公網地址。現在PC2也可以和PC3通信了。這就是動態NAT，這種方式也不能節約IP地址。有一百臺主機就要100個公網IP，不常用。3、 PAT(PortAddressTranslation)端口地址轉換：用一個或多個公網IP為多個私有地址提供轉換，能夠節省大量IP地址，這種方式在現實網絡環境中最常用。Router(config)#ipnatinsidesourcelist10pooloutoverload只需要在動態NAT的基礎上多出一個“overload”就可以讓上面的21個公網地址反復使用。如果我們只有一個公網地址且已經分配給了R1的S0/0口，可以使用下面的命令來對這僅有的一個公網地址反復利用或叫超載。Router(config)#ipnatinsidesourcelist10interfaceserial0overload//就是在R1上不設置地址池，因為只有一個公網地址，而只對S0/0接口的地址超載。注意：一條NAT轉換條目要占用160字節內存，因此NAT的轉換數目受路由器的內存限制。4、配置端口映射：看配置就明白了還是上面的圖和IP，看下面的配置Router(config)#intfa0/0Router(config-if)#ipnatinside//將該接口標記為內部接口Router(config-if)#ints0Router(config-if)#ipnatoutside〃將該接口標記為外部接口Router(config-if)#exitRouter(config)#ipnatinsidesourcestatictcp8080//將的80端口一對一的轉換成的80端口，也就外網用戶在瀏覽器里輸入時，會打開上的WWW服務。這里公網地址也可以改成interfaceSerial1/080，如下：Router(config)#ipnatinsidesourcestatictcp21interfaceSerial1/021//如果只有一個公網地址還可以這樣來轉換。這樣外網訪問的不同服務就會定向到不同的內網服務器。5、配置TCP負載平衡：還是上圖IP也不變，假如PC1和PC2提供的是相同的WWW服務，為了實現負載平衡可以做如下配置：Router(config)#ipnatpoolwwwnetmasktyperotary//配置地址池www并設成旋轉。Router(config)#accessTist10permitRouter(config)#i