隨著Internet技術(shù)的不斷發(fā)展，IP地址資源缺乏是Internet面臨的一個關(guān)鍵問題?？捎?/span>CIDR、NAT和網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT或PAT）。CISCO IOS 11.2及以上版本都支持NAT。

NAT是一個IETF標(biāo)準(zhǔn)，允許一個機構(gòu)以一個IP地址出現(xiàn)在Internet上。

NAT功能可以讓使用保留地址的網(wǎng)絡(luò)與Internet進行連接，使用保留地址的內(nèi)部網(wǎng)絡(luò)通過NAT路由器發(fā)送數(shù)據(jù)包時，保留地址被轉(zhuǎn)換成注冊的真實IP地址，因此，這些數(shù)據(jù)包右以發(fā)送到Internet上。

NAT技術(shù)不僅能解決IP地址資源緊缺問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用保留地址，通過NAT把保留地址翻譯成真實IP地址在Internet上使用。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。

NAT設(shè)備維護一個狀態(tài)表，用來把保留IP地址映射到真實的IP地址上去。每個IP包在NAT設(shè)備中都被翻譯成正確的IP地址再發(fā)往下一級，這給處理器帶來了一定的負擔(dān)。但對于一般的網(wǎng)絡(luò)來說，這負擔(dān)是很小的。

NAT的轉(zhuǎn)換方式

常用的地址分配方式有靜態(tài)NAT、動態(tài)地址NAT與網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT，其中靜態(tài)NAT和動態(tài)NAT是最常見的方式。

靜態(tài)NAT是設(shè)置最簡單和最容易實現(xiàn)的一種轉(zhuǎn)換方式，在這種方式下，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個真實IP地址。

動態(tài)NAT則是在外部網(wǎng)絡(luò)中定義了一系列的真實IP地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應(yīng)用于撥號，對于頻繁的遠程連接也可以采用動態(tài)NAT。當(dāng)遠程用戶連接Internet時，動態(tài)地址NAT就會分配給它一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中，它可以將中小型的網(wǎng)絡(luò)隱藏在一個真實IP地址后面。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。

這三種NAT方案各有利弊，所以應(yīng)根據(jù)不同的需要選擇NAT。

靜態(tài)NAT配置

下面以在CISCO路由器上實現(xiàn)NAT為例講述靜態(tài)NAT配置的命令與操作。

啟用基本的靜態(tài)IP地址轉(zhuǎn)換的步驟如下：

（1）在路由器上配置IP路由和IP地址。

（2）執(zhí)行“ip nat inside source static local-ip”全局配置命令。其中local-ip指定內(nèi)部網(wǎng)絡(luò)中的保留地址，global-ip ip指定一個內(nèi)部全局地址，這個地址是一個真實的IP地址。

（3）進入相應(yīng)的接口配置模式，輸入“nat{insideloutside}”命令，以在至少一個內(nèi)部接口和一個外部接口上啟用NAT。

使用CISCO ROUTE 2621路由器的靜態(tài)NAT配置步驟如下：

(1)ip nat inside source static 192.168.2.10 202.96.1.103

(2)interface FastEthernet0/0

(3)ip address 192.168.2.1 255.255.255.0

(4)ip nat inside

(5)interface serial 0/0

(6)ip address 202.96.1.102 255.255.255.0

(7)ip nat outside

動態(tài)NAT配置

啟用動態(tài)IP地址轉(zhuǎn)換的步驟如下：

（1）在路由器上配置IP路由和IP地址。

（2）用“access-list acces-list-number{permit|deny}local-ip-address”命令為內(nèi)部網(wǎng)絡(luò)定義一個標(biāo)準(zhǔn)的IP訪問控制表

（3）用“ip nat pool-name start-ip end-ip{netmask|prefix-length prefix-length}[type-rotary]”命令為內(nèi)部網(wǎng)絡(luò)定義一個NAT地址池，該命令中各參數(shù)含義如下：

pool-name：地址池的名字；

start-ip：地址池中地址范圍的開始IP地址；

end-ip：地址池中地址范圍的結(jié)束IP地址；

netmask：地址池中地址所屬網(wǎng)絡(luò)的子網(wǎng)掩碼；

prefix-length：掩碼中1的個數(shù)；

type-rotary：（可選）真正的內(nèi)部主機的地址池中的地址范圍，用于TCP負載均衡。

（4）用“ip nat inside source list access-list-number pool-name”命令將訪問控制列表映射到NAT地址池中。

采用CISCO 2621A路由器的動態(tài)NAT配置步驟如下：

(1)ip nat pool nat-100 202.96.1.103 202.96.1.109 netmask 255.255.255.0

(2)ip nat inside source list 1 pool nat-100

(3)inetrface FastEthernet0/0

(4)ip address 192.168.2.1 255.255.255.0

(5)ip nast inside

(6)interface serial0/0

(7)ip address 172.16.1.10 255.255.255.0

(8)ip nat outside

(9)access-list permit 192.168.2.0 0.0.0.255

透明網(wǎng)關(guān)

所謂透明網(wǎng)關(guān)其實就是一個園區(qū)內(nèi)部網(wǎng)和外部網(wǎng)之間的網(wǎng)關(guān)。它在透明轉(zhuǎn)發(fā)兩個網(wǎng)絡(luò)之間的數(shù)據(jù)流之前，能通過相關(guān)的認證技術(shù)識別用戶的合法身份。