NAT技术1

随着Internet技术的不断发展，IP地址资源缺乏是Internet面临的一个关键问题。可用CIDR、NAT和网络地址端口转换（NAPT或PAT）。CISCO IOS 11.2及以上版本都支持NAT。
NAT是一个IETF标准，允许一个机构以一个IP地址出现在Internet上。
NAT功能可以让使用保留地址的网络与Internet进行连接，使用保留地址的内部网络通过NAT路由器发送数据包时，保留地址被转换成注册的真实IP地址，因此，这些数据包右以发送到Internet上。
NAT技术不仅能解决IP地址资源紧缺问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用保留地址，通过NAT把保留地址翻译成真实IP地址在Internet上使用。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表，用来把保留IP地址映射到真实的IP地址上去。每个IP包在NAT设备中都被翻译成正确的IP地址再发往下一级，这给处理器带来了一定的负担。但对于一般的网络来说，这负担是很小的。
NAT的转换方式
常用的地址分配方式有静态NAT、动态地址NAT与网络地址端口转换NAPT，其中静态NAT和动态NAT是最常见的方式。
静态NAT是设置最简单和最容易实现的一种转换方式，在这种方式下，内部网络中的每个主机都被永久映射成外部网络中的某个真实IP地址。
动态NAT则是在外部网络中定义了一系列的真实IP地址，采用动态分配的方法映射到内部网络。动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程连接也可以采用动态NAT。当远程用户连接Internet时，动态地址NAT就会分配给它一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。
NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。网络地址端口转换NAPT是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个真实IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。
这三种NAT方案各有利弊，所以应根据不同的需要选择NAT。
静态NAT配置
下面以在CISCO路由器上实现NAT为例讲述静态NAT配置的命令与操作。
启用基本的静态IP地址转换的步骤如下：
（1）在路由器上配置IP路由和IP地址。
（2）执行“ip nat inside source static local-ip”全局配置命令。其中local-ip指定内部网络中的保留地址，global-ip ip指定一个内部全局地址，这个地址是一个真实的IP地址。
（3）进入相应的接口配置模式，输入“nat{insideloutside}”命令，以在至少一个内部接口和一个外部接口上启用NAT。
使用CISCO ROUTE 2621路由器的静态NAT配置步骤如下：
(1)ip nat inside source static 192.168.2.10 202.96.1.103
(2)interface FastEthernet0/0
(3)ip address 192.168.2.1 255.255.255.0
(4)ip nat inside
(5)interface serial 0/0
(6)ip address 202.96.1.102 255.255.255.0
(7)ip nat outside
动态NAT配置
启用动态IP地址转换的步骤如下：
（1）在路由器上配置IP路由和IP地址。
（2）用“access-list acces-list-number{permit|deny}local-ip-address”命令为内部网络定义一个标准的IP访问控制表
（3）用“ip nat pool-name start-ip end-ip{netmask|prefix-length prefix-length}[type-rotary]”命令为内部网络定义一个NAT地址池，该命令中各参数含义如下：
pool-name：地址池的名字；
start-ip：地址池中地址范围的开始IP地址；
end-ip：地址池中地址范围的结束IP地址；
netmask：地址池中地址所属网络的子网掩码；
prefix-length：掩码中1的个数；
type-rotary：（可选）真正的内部主机的地址池中的地址范围，用于TCP负载均衡。
（4）用“ip nat inside source list access-list-number pool-name”命令将访问控制列表映射到NAT地址池中。
采用CISCO 2621A路由器的动态NAT配置步骤如下：
(1)ip nat pool nat-100 202.96.1.103 202.96.1.109 netmask 255.255.255.0
(2)ip nat inside source list 1 pool nat-100
(3)inetrface FastEthernet0/0
(4)ip address 192.168.2.1 255.255.255.0
(5)ip nast inside
(6)interface serial0/0
(7)ip address 172.16.1.10 255.255.255.0
(8)ip nat outside
(9)access-list permit 192.168.2.0 0.0.0.255
透明网关
所谓透明网关其实就是一个园区内部网和外部网之间的网关。它在透明转发两个网络之间的数据流之前，能通过相关的认证技术识别用户的合法身份。
在透明网关上可以实现认证、管理、计费等多项功能。它工作在网络中的二层设备之上，无须对现有网络作任何改造、用户端只需进行简单设置即可通过秀明网关访问外网。
简单NAT配置，局域网：192.168.1.0/24  网关：192.168.1.1
外网：202.118.162.78/24      网关：202.118.162.1
DNS：202.106.0.20
sys
[Quitway] acl 2000
[Quitway-acl-2000] rule permit source 192.168.1.0 0.0.0.255
[Quitway-acl-2000]qu
[Quitway] interface e0/0
[Router-Ethernet0/0] ip address 192.168.1.1 255.255.255.0
[Router-Ethernet0/0] qu
[Router] interface e0/1
[Router-Ethernet0/1] ip address 202.118.162.78 255.255.255.0
[Router-Ethernet0/1] nat outbound 2000
[Router-Ethernet0/1] qu
[Quitway] ip  route-static  0.0.0.0 0.0.0.0 202.118.162.1
[Quitway] qu
save
DHCP设置
[Quitway] dhcp server ip-pool huawei
[Quitway-dhcphuawei] network 192.168.1.1 mask 255.255.255.0
[Quitway-dhcphuawei] gateway-list 192.168.1.1
[Quitway-dhcphuawei] dns-list 202.106.0.20
[Quitway-dhcphuawei] dhcp server forbidden-ip 192.168.1.1
[Quitway-dhcphuawei] qu
local-user 用户名 service-type administrator password simple 密码