一、NAT概述

NAT（Network Address Translation）網絡地址轉換，其功能是將企業內部自行定義的非法IP地址轉換為Internet公網上可識別的合法IP地址。

由于現行IP地址標準——IPv4的限制，Internet面臨著IP地址空間短缺的問題，從ISP申請并給企業的每位員工分配一個合法IP地址是不現實的。NAT技術能較好解決現階段IPV4地址短缺的問題。

目前，神州數碼所有路由器產品，包括DCR-2500系列、DCR-1700系列和DCR-3600系列，均支持NAT功能，且功能豐富。下面簡要介紹神州數碼路由器NAT的原理。

二、NAT原理及配置簡介

NAT設備維護一個狀態表，用來把非法的IP地址映射到合法的IP地址上去。

我們以DCR-1700路由器為例。

運行：

Router(config)#show ip nat translation

顯示應為：

Inside local，即內部局部地址——在內部網絡上一個主機分配到的IP地址，通常是網管人員自己定義的私有地址。 Inside global，即內部全局地址——一個合法的IP地址，向外部網絡描述一個或多個本地合法IP地址。 Outside local，即外部局部地址——出現在內部網絡的一個外部主機的IP地址。不一定是合法地址，它可以在內部網絡中，從可路由的地址空間進行分配。 Outside global，即外部全局地址——主機的擁有者在外部網絡上分配給主機的IP地址。該地址可以從全局可路由地址或網絡空間進行分配。

神州數碼路由器目前支持內部地址翻譯、外部地址翻譯和雙向地址翻譯功能。

內部地址翻譯包括：源地址的靜態單一地址翻譯、源地址的靜態子網翻譯、源地址靜態tcp翻譯、源地址靜態udp翻譯、源地址訪問列表＋地址池翻譯、源地址訪問列表＋設備接口翻譯、目的地址訪問列表＋地址池翻譯。

外部地址翻譯包括：源地址的靜態單一地址翻譯、源地址的靜態子網翻譯、源地址靜態tcp翻譯、源地址靜態udp翻譯、源地址訪問列表＋地址池翻譯。

神州數碼路由器中，NAT分為三種類型：靜態NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

靜態NAT

內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。例如DCR-1700/3600路由器的配置：

ip nat inside source static 192.168.1.5 211.168.79.75

將局域網中的192.168.1.5永久映射為全局合法IP211.168.79.75。此功能可應用到內部網的WWW發布、Ftp Server及Mail Server。

NAT池

NAT池指用戶向ISP申請了一組合法IP，在路由器中，將這一組IP定義成NAT池，通過動態分配的辦法，共享很少的幾個外部合法IP地址。如果NAT池中動態分配的外部IP地址全部被占用后，后續的NAT翻譯申請將會失敗。用地址超載功能，通過端口號區分不同的連接，可解決這個問題。

例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

ip access-list standard 1 permit 192.168.1.0 255.255.255.0//局域網中內部局部地址的配置 ip nat pool DCR 211.1.1.1 211.1.1.2 255.255.255.252//局域網中NAT池的配置 ip nat inside source list 1 pool DCR overload //地址超載的配置

如果局域網中有20臺PC，但向ISP只申請到211.1.1.1和211.1.1.2兩個合法IP，通過如上配置，可實現所有的PC同時訪問Internet。推薦用戶使用地址超載功能。

PAT

nat static add port tcp 80 200.1.1.61

PAT，即端口地址轉換。通過PAT技術，用戶只需向ISP申請一個合法IP，就可以滿足所有的用戶訪問Internet。PAT可以支持同時連接64500個TCP／IP、UDP／IP，但實際可以支持的工作站個數會少一些。

例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

ip access-list standard 1 permit 192.168.1.0 255.255.255.0 ip nat inside source list 1 interface Serial0/0 overload//指定訪問列表 LIST 1訪問外網時轉換成 Serial0/0口的IP地址。