隨著Internet技術的不斷發(fā)展，IP地址資源缺乏是Internet面臨的一個關鍵問題?？捎?/span>CIDR、NAT和網絡地址端口轉換（NAPT或PAT）。CISCO IOS 11.2及以上版本都支持NAT。

NAT是一個IETF標準，允許一個機構以一個IP地址出現(xiàn)在Internet上。

NAT功能可以讓使用保留地址的網絡與Internet進行連接，使用保留地址的內部網絡通過NAT路由器發(fā)送數(shù)據(jù)包時，保留地址被轉換成注冊的真實IP地址，因此，這些數(shù)據(jù)包右以發(fā)送到Internet上。

NAT技術不僅能解決IP地址資源緊缺問題，而且能使得內外網絡隔離，提供一定的網絡安全保障。它解決問題的辦法是：在內部網絡中使用保留地址，通過NAT把保留地址翻譯成真實IP地址在Internet上使用。NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。

NAT設備維護一個狀態(tài)表，用來把保留IP地址映射到真實的IP地址上去。每個IP包在NAT設備中都被翻譯成正確的IP地址再發(fā)往下一級，這給處理器帶來了一定的負擔。但對于一般的網絡來說，這負擔是很小的。

NAT的轉換方式

常用的地址分配方式有靜態(tài)NAT、動態(tài)地址NAT與網絡地址端口轉換NAPT，其中靜態(tài)NAT和動態(tài)NAT是最常見的方式。

靜態(tài)NAT是設置最簡單和最容易實現(xiàn)的一種轉換方式，在這種方式下，內部網絡中的每個主機都被永久映射成外部網絡中的某個真實IP地址。

動態(tài)NAT則是在外部網絡中定義了一系列的真實IP地址，采用動態(tài)分配的方法映射到內部網絡。動態(tài)地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程連接也可以采用動態(tài)NAT。當遠程用戶連接Internet時，動態(tài)地址NAT就會分配給它一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。

NAPT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。網絡地址端口轉換NAPT是人們比較熟悉的一種轉換方式。NAPT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個真實IP地址后面。NAPT與動態(tài)地址NAT不同，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。

這三種NAT方案各有利弊，所以應根據(jù)不同的需要選擇NAT。

靜態(tài)NAT配置

下面以在CISCO路由器上實現(xiàn)NAT為例講述靜態(tài)NAT配置的命令與操作。

啟用基本的靜態(tài)IP地址轉換的步驟如下：

（1）在路由器上配置IP路由和IP地址。

（2）執(zhí)行“ip nat inside source static local-ip”全局配置命令。其中local-ip指定內部網絡中的保留地址，global-ip ip指定一個內部全局地址，這個地址是一個真實的IP地址。

（3）進入相應的接口配置模式，輸入“nat{insideloutside}”命令，以在至少一個內部接口和一個外部接口上啟用NAT。

使用CISCO ROUTE 2621路由器的靜態(tài)NAT配置步驟如下：

(1)ip nat inside source static 192.168.2.10 202.96.1.103

(2)interface FastEthernet0/0

(3)ip address 192.168.2.1 255.255.255.0

(4)ip nat inside

(5)interface serial 0/0

(6)ip address 202.96.1.102 255.255.255.0

(7)ip nat outside

動態(tài)NAT配置

啟用動態(tài)IP地址轉換的步驟如下：

（1）在路由器上配置IP路由和IP地址。

（2）用“access-list acces-list-number{permit|deny}local-ip-address”命令為內部網絡定義一個標準的IP訪問控制表

（3）用“ip nat pool-name start-ip end-ip{netmask|prefix-length prefix-length}[type-rotary]”命令為內部網絡定義一個NAT地址池，該命令中各參數(shù)含義如下：

pool-name：地址池的名字；

start-ip：地址池中地址范圍的開始IP地址；

end-ip：地址池中地址范圍的結束IP地址；

netmask：地址池中地址所屬網絡的子網掩碼；

prefix-length：掩碼中1的個數(shù)；

type-rotary：（可選）真正的內部主機的地址池中的地址范圍，用于TCP負載均衡。

（4）用“ip nat inside source list access-list-number pool-name”命令將訪問控制列表映射到NAT地址池中。

采用CISCO 2621A路由器的動態(tài)NAT配置步驟如下：

(1)ip nat pool nat-100 202.96.1.103 202.96.1.109 netmask 255.255.255.0

(2)ip nat inside source list 1 pool nat-100

(3)inetrface FastEthernet0/0

(4)ip address 192.168.2.1 255.255.255.0

(5)ip nast inside

(6)interface serial0/0

(7)ip address 172.16.1.10 255.255.255.0

(8)ip nat outside

(9)access-list permit 192.168.2.0 0.0.0.255

透明網關

所謂透明網關其實就是一個園區(qū)內部網和外部網之間的網關。它在透明轉發(fā)兩個網絡之間的數(shù)據(jù)流之前，能通過相關的認證技術識別用戶的合法身份。