簡單的nat配置（NAT配置概述）

2023-07-28 18:57:14 2

簡單的nat配置?私有IP是無法在網際網路上使用的，而如今普遍使用的寬帶網絡(ADSL)最多所能提供給用戶的IP為16個，最少則為一個，萬一企業內部有50臺計算機要同時連接上網際網路，該如何解決呢？這個問題的正確解決辦法是使用NAT，只要通過NAT的機制，就可以讓成千上萬臺計算機同時通過一個公網IP來連上網際網路本篇屬於NAT技術基礎知識，包括：介紹、原理、分類以及存在的問題進行總結，今天小編就來聊一聊關於簡單的nat配置?接下來我們就一起去研究一下吧!

簡單的nat配置

私有IP是無法在網際網路上使用的，而如今普遍使用的寬帶網絡(ADSL)最多所能提供給用戶的IP為16個，最少則為一個，萬一企業內部有50臺計算機要同時連接上網際網路，該如何解決呢？這個問題的正確解決辦法是使用NAT，只要通過NAT的機制，就可以讓成千上萬臺計算機同時通過一個公網IP來連上網際網路。本篇屬於NAT技術基礎知識，包括：介紹、原理、分類以及存在的問題進行總結。

NAT介紹

NAT網絡地址轉換（network address translation），是一種將數據包中的IP位址替換為其他IP位址的功能，此功能通常由路由器或防火牆來實現；NAT的通過利用較少的公　有IP位址來表示大量私有IP位址的方式來降低IP位址空間的耗用速度，除了此工作外，NAT在網絡遷移和融合、伺服器負載共享等方面也非常有用，接下來將針對NAT的實現過程進行簡單介紹。

NAT原理

相關術語：

IL ： 內部本地地址即分配給內部設備的地址，此類地址不會宣告到外部網絡

IG： 內部全局地址即內部設備被外部網絡所知曉的地址

OG：外部全局地址即分配給外部設備的地址，這些地址不會被宣告到內部網絡

OL： 外部本地地址即外部設備被內部網絡所知曉的地址

實現過程：

說明：

當設備A向設備B發送數據包時，由NAT將數據包源地址欄位中的A設備的私有IP替換為可以在internet進行路由的公有地址，並轉發數據包。當設備B向設備A發送應答數據包時，數據包的目的IP將是 公有IP位址，此時NAT將目的地址替換為設備A的私有IP位址。在此過程中，NAT操作是完全透明的，即：設備A不知道203.10.5.23的存在，設備B認為設備A的地址是203.10.5.23，設備A的私有地址對B來說是不存在的。

結合NAT的相關術語可知：192.168.2.23為內部本地地址為；203.10.5.23為內部全局地址；192.31.7.130是外部全局地址，外部本地地址在NAT雙向轉換源地址和目的地址的時候可以看到，上述過程為NAT將設備A的私有地址替換為公有IP位址的過程，不涉及到外部本地地址。

在上述轉換過程中，NAT會創建地址轉換表，在地址轉換表中可以清晰地看到上述4個術語。

NAT分類

靜態NAT

實現：一對一，將一個唯一的本地地址映射到一個唯一的外部地址，條目一旦創建將會永久生效，可以提供對外服務主機一個更安全的運行環境，用於企業對內部伺服器的一個轉換，很明顯一對一的NAT轉換並不能起到節省公網IP的作用。

配置：

ip nat inside source static 192.168.2.23 203.10.5.23 （將內部本地地址替換為內部全局地址）同時在入接口和出接口需要配置：ip nat inside及ip nat outside

動態NAT

實現：多對多，將大量地址統計復用到一個較小的地址池的應用技術。配合ACL使用。

配置：

定義轉換池（內部全局地址池）：ip nat pool nat-pool 203.10.5.25 203.10.5.30 netmask 255.255.255.0 結合ACL定義哪些內部本地地址需要轉換：access-list 1 permit host 192.168.2.23 地址池和規則進行關聯：ip nat inside source list 1 pool nat-pool 同時在入接口和出接口需要配置：ip nat inside及ip nat outside

　埠NAT

實現：一對多：多個地址同時映射到單一地址，PAT會同時轉換IP位址和埠號，來自不同地址的數據包可以被轉換為同一地址，但相應的埠號不相同，這樣就可以共享同一個IP位址。

配置：

結合ACL定義哪些內部本地地址需要轉換：access-list 1 permit host 192.168.2.23 配置PAT：ip nat inside source list 1 interface fastEthernet 0/1 overload 同時在入接口和出接口需要配置：ip nat inside及ip nat outside　　

NAT存在的問題

雖然NAT非常有用，但是NAT並非無所不能，通過上述基礎知識的了解，可以看到在NAT的處理過程中，會對IP位址和TCP埠內容進行更改，由於對IP位址和TCP埠更改後，會使得IP包和TCP包中的校驗和欄位發生變化，因此需要NAT機制可以完成這些校驗和的重新計算。

同時許多協議和應用程式都是根據數據欄位的IP位址來攜帶IP位址或信息，因而可能會更改被封裝數據的含義，從而可能破壞該應用.如：IPSEC的VPN應用，對於IPSEC而言，如果更改了ipsec包中的IP位址，IPSEC的加密機制將會丟棄此報文，從而破壞了VPN應用。從後面的技術可以了解到NAT穿越可以解決此問題。

NAT並不能阻止拒絕服務或者會話劫持等常見攻擊。