# 網絡基本功（十九）：細說NAT原理與配置 **轉載請在文首保留原文出處：EMC中文支持論壇**[https://community.emc.com/go/chinese](https://community.emc.com/go/chinese) [](https://community.emc.com/servlet/JiveServlet/showImage/2-856307-104520/image001.gif) ## 介紹 NAT技術讓少數公有IP地址被使用私有地址的大量主機所共享。這一機制允許遠多于IP地址空間所支持的主機共享網絡。同時，由于NAT屏蔽了內部網絡，也為局域網內的機器提供了安全保障。 NAT的基本實施過程包括使用一個預留給本地IP網絡的私有地址成立組織的內部網絡，同時分配給組織一個或多個公網IP地址，并在本地網絡與公網之間安裝一個或多個具有NAT功能的路由器。NAT路由器實現的功能包括將數據報中私網地址轉換成公網地址，反向亦然。當有報文通過時，網絡地址轉換其不僅檢查報文信息，還將報文頭中的IP地址和端口信息進行修改，以使處于NAT之后的機器共享少數公網IP地址。 ## 更多信息 **何時使用NAT?** 因為NAT能夠減少在網絡環境中所需的公共IP地址需求，因此當兩家公司重復內部地址合并時，這一技術是很有幫助的。當組織改變其Internet服務供應商（ISP），但網絡管理員不想改變內部地址方案時，NAT也是一個很好用的工具。 以下是應用NAT的場景： * 用戶需要訪問Internet但主機沒有全球唯一的IP地址 * 用戶更改ISP需要對網絡重新編號 * 用戶需要合并地址重復的內網 通常NAT應用于邊界路由器。例如，下圖中NAT應用于企業連接到Internet的路由器上： [](https://community.emc.com/servlet/JiveServlet/showImage/2-856307-104480/image002.png) **NAT的優勢與不足：** | **優勢** | **不足** | | --- | --- | | 節約合法注冊地址 | 轉換導致交換路徑延時 | | 解決地址重疊問題 | 導致端到端IP地址無法追溯 | | 提高訪問Internet靈活性 | 某些應用程序無法使用 | | 網絡變動無需地址重新編號 | **網絡地址轉換類型：** 靜態NAT：此類NAT在本地和全局地址之間做一到一的永久映射。須注意靜態NAT要求用戶對每一臺主機都有一個真實的Internet IP地址。 動態NAT：允許用戶將一個未登記的IP地址映射到一個登記的IP地址池中的一個。采用動態分配的方法將外部合法地址映射到內部網絡，無需像靜態NAT那樣，通過對路由器進行靜態配置來將內部地址映射到外部地址，但是必須有足夠的真正的IP地址來進行收發包。 端口NAT（PAT）：最為流行的NAT配置類型。通過多個源端口，將多個未登記的IP地址映射到一個合法IP地址（多到一）。使用PAT能夠使上千個用戶僅使用一個全局IP地址連接到Internet。 **NAT術語：** NAT術語還是比較直觀的。NAT地址轉換之后成為全局地址。通常是Internet上使用的公網地址。如果不訪問Internet的話就不需要用到。 本地地址：NAT地址轉換之前用到的地址。內部本地地址實際上是嘗試訪問Internet的發送主機的私有地址。外部本地地址通常是連接到用戶ISP的路由器接口，也是報文開始傳輸的公有地址。 轉換之后，內部本地地址之后被稱為內部全局地址，而外部全局地址成為目標主機的地址。如下表所示： | **名稱** | **含義** | | --- | --- | | 內部本地 | 轉換前的源主機內部地址 | | 外部本地 | Internet上識別到源主機的地址。通常是連接到ISP的路由器接口——真實的Internet地址。 | | 內部全局 | 轉換后連接到Internet的源主機地址。也是真實的Internet地址 | | 外部全局 | 外部目標主機地址，同樣是真實的Internet地址 | [](https://community.emc.com/servlet/JiveServlet/showImage/2-856307-104517/image003.png) **NAT實現細節：** 下圖中，主機10.1.1.1將報文發送到有NAT功能的邊界路由器。路由器將源IP地址識別為內部本地IP地址，在報文中轉換源IP地址，并在NAT表中記錄此次轉換。 配有新轉換源地址的報文發送到外部接口。外部主機將報文發送給目的主機并且NAT路由器通過NAT表將內部全局IP地址轉換回內部本地IP地址。 [](https://community.emc.com/servlet/JiveServlet/showImage/2-856307-104518/image004.png) PAT方式中，所有內部主機都轉換為一個IP地址。如下圖所示，除了內部本地IP地址和內部全局IP地址以外，還多了一個端口號。端口號幫助路由器識別哪一臺主機應當收到返回數據。路由器使用來自各主機的源端口好來區別他們各自發出的數據。注意當報文離開路由器時有一個目標端口號80，而HTTP服務器將報文發回時目的端口號為1026。從而允許NAT轉換路由器區別NAT表中的主機然后將目的IP地址轉換回內部本地地址。 本例中，端口號在傳輸層用戶識別本地主機。如果必須要使用真實全局IP地址來識別源主機，那就只能通過靜態NAT，并且會用光所有地址。PAT允許我們在傳輸層識別主機，從而理論上一個真實IP地址可被65，000臺主機共享。 [](https://community.emc.com/servlet/JiveServlet/showImage/2-856307-104519/image005.png) **靜態NAT配置：** ``` ip nat inside source static 10.1.1.1 170.46.2.2 ! interface Ethernet0 ip address 10.1.1.10 255.255.255.0 ip nat inside ! interface Serial0 ip address 170.46.2.1 255.255.255.0 ip nat outside ! ``` 在第一個路由器輸出中， ip nat inside source 命令指定需要轉換的IP地址。本例中，此命令配置了內部本地IP地址10.1.1.1到外部全局IP地址170.46.2.2的靜態配置。 在各接口下都有一條ip nat命令。ip nat inside命令將該接口識別為內部接口，ip nat outside命令將該接口識別為外部接口。回頭看 ip nat inside source 命令，該命令將內部接口作為轉換的源或起點。也可以這樣使用：ip nat outside source。該選項表明指定的外部接口會成為轉換的源或起點。 **動態NAT配置：** 動態NAT表示將一個地址池當作真實IP地址提供給內部一組用戶。由于不使用端口號，對于同時嘗試訪問外部網絡的用戶必須提供真實的IP地址。 以下是動態NAT配置的示例輸出： ``` ip nat pool todd 170.168.2.3 170.168.2.254 ??? netmask 255.255.255.0 ip nat inside source list 1 pool todd ! interface Ethernet0 ip address 10.1.1.10 255.255.255.0 ip nat inside ! interface Serial0 ip address 170.168.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 ! ``` ip nat inside source list 1 pool todd 命令告知路由器將匹配access-list 1的IP地址轉換到名為todd的IP NAT池中的一個地址。這里ACL并不是出于安全因素通過允許或拒絕數據來過濾報文。本例中，它是用來選擇或指定我們感興趣的數據流。當數據流與接入列表相匹配，就被拉入NAT進程轉換。 命令 ip nat pool todd 170.168.2.3 192.168.2.254 netmask 255.255.255.0用來創建地址池，之后被分配給請求全局地址的主機。做Cisco NAT故障排查時，一定要檢查池中確保有足夠地址提供轉換給內部主機。最后，確保池名匹配，注意區分大小寫。 **端口NAT配置：** 以下是端口NAT配置的示例輸出： ``` ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0 ip nat inside source list 1 pool globalnet overload ! interface Ethernet0/0 ip address 10.1.1.10 255.255.255.0 ip nat inside ! interface Serial0/0 ip address 170.168.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 ``` 端口NAT與動態NAT配置的不同之處在于： 地址池變為只有一個IP地址 在ip nat inside source命令最后加入overload關鍵字。 本例中一個關鍵元素是使用了池中的一個IP地址作為外部接口IP地址。如果有其他可用地址如170.168.2.2可作為額外地址，這樣做在內部大量用戶同時為活躍狀態，需要不止一個重載IP地址時很有幫助。 ## 參考 CCENT