网络地址转换及其作用

网络地址转换（Network Address Translation，NAT）属于接入广域网（WAN）技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和其他各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

随着接入Internet的计算机数量的不断增加，IP地址资源也就愈加显得紧张。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百、几千台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。借助于NAT，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT的实现方式有3种，即静态转换（Static NAT）、动态转换（Dynamic NAT）和端口多路复用。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换（Port Address Translation，PAT）。采用端口多路复用方式，内部网络的所有主机均可共享一个合法外部IP地址来实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

在进行网络地址转换之前，首先必须搞清楚内部接口和外部接口，以及在哪个外部接口上启用NAT。通常情况下，连接到用户内部网络的接口是NAT内部接口，而连接到外部网络的接口是NAT外部接口。

（1）静态地址转换的实现

内部局域网使用的lP地址段为192.168.0.1～192.168.0.254，路由器局域网端（即默认网关）的IP地址为192.168.0.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为1.1.1.1～1.1.1.7，要求将内部网址192.168.0.2和192.168.0.3分别转换为合法IP地址1.1.1.2和1.1.1.3。

1）分别设置内外部端口并启用NAT。

2）用“ip nat inside source static”命令语句把内部本地地址转换为合法地址。

（2）动态地址转换的实现

将内部网址172.16.100.1～172.16.100.254动态转换为合法IP地址61.159.62.130～61.159.62.190。

1）设置内、外部端口，启用NAT。

2）定义合法IP地址池，使用如下格式。(www.xing528.com)

3）定义内部网络中允许访问Internet的访问列表，使用如下格式。

如果想将多个IP地址段转换为合法IP地址，可以添加多个访问列表。例如，欲将172.16.98.0～172.16.98.255和172.16.99.0～172.16.99.255转换为合法IP地址时，应当添加下述命令。

4）实现网络地址转换。

在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池内的地址进行地址转换，使用的命令格式如下。

如果有多个内部访问列表，可以一一添加，以实现网络地址转换。

如果有多个地址池，也可以一一添加，以增加合法的地址池范围。

（3）端口复用动态地址转换

内部网络使用的IP地址段为10.100.100.1～10.100.100.254，路由器局域网端口（即默认网关）的IP地址为10.100.100.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0～202.99.160.3，路由器广域网中的IP地址为202.99.160.1，子网掩码为255.255.255.252，可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1～10.100.100.254转换为合法IP地址202.99.160.2。

1）设置内外部端口。

2）定义合法IP地址池和内部访问控制列表。

允许访问Internet的网段为10.100.100.0～10.100.100.255，子网掩码为255.255.255.0。需要注意的是，在这里子网掩码的顺序跟平常所写的顺序相反，即0.255.255.255。

3）设置复用动态地址转换。

在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。使用的命令格式如下。