NAT技術該怎么配置

（一）相關概念

公司主營業務：成都做網站、網站建設、移動網站開發等業務。幫助企業客戶真正實現互聯網宣傳，提高企業的競爭能力。創新互聯公司是一支青春激揚、勤奮敬業、活力青春激揚、勤奮敬業、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創新互聯公司推出古田免費做網站回饋大家。

為了更好地認識NAT技術，我們先了解一下它所涉及的幾個概念。

1．內部局部地址 在內部網上分配到一個主機的IP地址。這個地址可能不是一個有網絡信息中心（NIC）或服務提供商所分配的合法IP地址。

2．內部全局地址 一個合法的IP地址（由NIC或服務供應商分配），對應到外部世界的一個或多個本地IP地址。

3．外部局部地址 出現在網絡內的一個外部主機的IP地址，不一定是合法地址，它可以在內部網上從可路由的地址空間進行分配。

4．外部全局地址 由主機擁有者在外部網上分配給主機的IP地址，該地址可以從全局路由地址或網絡空間進行分配。圖1展示了NAT相關術語的圖解。

對于NAT技術，提供4種翻譯地址的方式，如下所示。

（二）4種翻譯方式

1．靜態翻譯 是在內部局部地址和內部全局地址之間建立一對一的映射。

2．動態翻譯 是在一個內部局部地址和外部地址池之間建立一種映射。

3．端口地址翻譯 超載內部全局地址通過允許路由器為多個局部地址分配一個全局地址，也就是將多個局部地址映射為一個全局地址的某一端口，因此也被稱為端口地址翻譯（PAT）。

4．重疊地址翻譯 翻譯重疊地址是當一個內部網中使用的內部局部地址與另外一個內部網中的地址相同，通過翻譯，使兩個網絡連接后的通信保持正常。

在實際使用中，通常需要以上幾種翻譯方式配合使用。

二、讓典型應用“說話”

現在，我們以常見Cisco路由器為例，闡述典型應用中NAT技術的實現。

1．配置共享IP地址

應用需求：當您需要允許內部用戶訪問Internet，但又沒有足夠的合法IP地址時，可以使用配置共享IP地址連接Internet的NAT轉換方式。

圖2是配置內部網絡10.10.10.0/24通過重載一個地址172.16.10.1./24訪問外部網絡的全過程。如果有多個外部地址，可以利用動態翻譯進行轉換，這里就不多做說明了。清單1展示了具體配置方法。

NAT路由器配置清單1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定義外部轉換接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定義名為ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允許的源地址會轉換成NAT地址池ovrld中的地址并且轉換會被內部多個機器重載成一個相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允許地址10.10.10.0到10.10.10.255進行轉換

NAT路由器配置清單2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定義外部轉換接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定將地址10.10.10.1靜態轉換為172.16.20.1

適用范圍：這種情況適合于通信都是由內部用戶向Internet發起的應用。

例如小型企業多個用戶通過共享xDSL連接Internet。另外，也可以用軟件進行NAT轉換，Windows 2000的操作系統就有這樣的功能。至于內部用戶數量較多的情況，建議使用代理服務器。

2．配置在Internet上發布的服務器

應用需求：當您需要將內部設備發布到Internet上時，可以使用配置在Internet上發布的服務器的NAT轉換方式。

圖3是將內部網絡的郵件服務器（IP地址為10.10.10.1/24）發布到外部網絡的全過程，使用靜態翻譯可以實現這種轉換。清單2展示了具體配置方法。

適用范圍：這種情況適合于訪問是從外部網絡向內部設備發起的應用。

3．配置端口映射

應用需求：假設您在Internet上發布一臺在內部網絡的Web服務器，服務器配置成監聽8080端口，您需要把外部網絡對Web服務器80端口的訪問請求重定向。

圖4為配置端口映射示意圖，清單3展示了具體配置方法。

4．配置TCP傳輸

應用需求：TCP傳輸裝載共享是與地址匱乏無關的問題，它將數個設備的地址映射成一個虛擬設備的地址，從而實現設備間的負載均衡。

圖5是將地址從10.10.10.2到10.10.10.15的真實設備映射成虛擬10.10.10.1地址的全過程。清單4展示了具體配置方法。

5．真實應用案例

應用需求：筆者所在的單位內部的局域網已建成，并穩定運行著各種應用系統。隨著業務的發展，需要實施一個數據中心在外單位的新應用。出于安全方面的考慮，不能夠對現有網絡結構進行大的調整和改動；另外，由于資金方面的原因，需要盡可能地節省設備等方面的投入。

應用現狀：我單位內部網結構如下：具有3個VLAN。VLAN 1（即10.1.1.X），使用單位內部應用系統，與數據中心沒有數據交換；VLAN 2（即10.2.2.X），使用數據中心提供的應用系統，約有100臺機器；VLAN 3（即10.3.3.X），只用2臺機器使用數據中心提供的應用，分別是10.3.3.1和10.3.3.2。

數據中心提供一臺Cisco 3640，Serial口與數據中心通過HDSL連接，分配的地址分別是192.168.252.1和255.255.255.252，FastEthernet口與單位內部局域網連接，分配的地址分別是192.168.1.0和255.255.255.0。

實施方案：由于不打算更改內部網的結構，所以將內部網地址作為內部局部地址，數據中心分配的地址作為內部全局地址，實施NAT應用。另外NAT需要兩個端口，一個做為inside，另一個做為outside，因此考慮使用FastEthernet口做inside，Serial口做outside。圖6 為本單位NAT技術的應用圖。

利用以上設置，我們成功實現了內部地址的翻譯轉換，并實現了在不改變現有網絡結構的情況下與數據中心連網的目標。

三、有比較有選擇

1．與代理服務器的比較

用戶經常把NAT和代理服務器相混淆。NAT設備對源機器和目標機器都是透明的，地址翻譯只在網絡邊界進行。代理服務器不是透明的，源機器知道它需要通過代理服務器發出請求，而且需要在源機器上做出相關的配置，目標機器則以為代理服務器就是發出請求的源機器，并將數據直接發送到代理服務器，由代理服務器將數據轉發到源機器上。

NAT路由器配置清單3

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換接口

interface serial 0

ip address 172.16.30.254 255.255.255.0

ip nat outside

!-- 定義外部轉換接口

ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80

!-- 指定將地址10.10.10.8:8080靜態轉換為172.16.30.8:80

NAT路由器配置清單4

interface ethernet 0

ip address 10.10.10.17 255.255.255.0ip nat inside

!-- 定義內部轉換接口

interface serial 0

ip address 10.10.10.254 255.255.255.0ip nat outside

!-- 定義外部轉換接口

ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定義地址池real-hosts地址范圍是從10.10.10.2到10.10.10.15

!--指定將地址將地址池real-hosts轉換為10.10.10.1

access-list 1 permit 10.10.10.1

代理服務器工作在OSI模型的第4層傳輸層，NAT則是工作在第3層網絡層，由于高層的協議比較復雜，通常來說，代理服務器比NAT要慢一些。

但是NAT比較占用路由器的CPU資源，加上NAT隱藏了IP地址，跟蹤起來比較困難，不利于管理員對內部用戶對外部訪問的跟蹤管理和審計工作。所有NAT技術只適用于內部用戶數量較少的應用，如果訪問外部網絡的用戶數量大，而且管理員對內部用戶有訪問策略設置和訪問情況跟蹤的應用，還是使用代理服務器較好一些。

NAT路由器配置清單5

interface fastethernet 1/0

ip nat inside

!-- 定義內部轉換接口

interface serial 0/0

ip address 192.168.252.1 255.255.255.252

ip address 192.168.1.254 255.255.255.0 secondary

ip nat outside

!-- 為節省端口，將數據中心提供的地址全部綁在Serial口

ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立動態源地址翻譯，指定在前一步定義的訪問列表

access-list 1 permit 10.3.3.1

access-list 1 permit 10.3.3.2

access-list 1 permit 10.2.2.0 0.0.0.255

!-- 定義一個標準的訪問列表，對允許訪問數據中心的地址進行翻譯

2．與防火墻比較

防火墻是一個或一組安全系統，它在網絡之間執行訪問控制策略。防火墻對流經它的網絡通信數據進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口，禁止特定端口的流出通信，封鎖特洛伊木馬等。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一般的防火墻都具有NAT功能，或者能和NAT配合使用。應用到防火墻技術中的NAT技術可以把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網絡設備。作為網絡安全的一個重要手段，是選用單純的NAT技術還是帶NAT技術的防火墻，要從幾個方面考慮：

一是您的企業和運營機構如何運用訪問控制策略，是為了明確地拒絕除對于連接到網絡至關重的服務之外的所有服務，還是為了訪問提供一種計量和審計的方法；

二是您對企業網需要何種程度的監視、冗余度以及控制水平；

三則是財務上的考慮，一個高端完整的防火墻系統是十分昂貴的。是否采用防火墻需要在易用性、安全性和預算之間做出平衡的決策。

四、安全中的不安全

我們可以從以下幾個方面窺視NAT技術的安全性問題。

1．NAT只對地址進行轉換而不進行其他操作，因此，當您建立了與外部網絡的連接時，NAT不會阻止任何從外部返回的惡意破壞信息。

2．雖然NAT隱藏了端到端的IP地址，但它并不隱藏主機信息。例如您通過NAT設備訪問Windows Streaming Media服務器，您會發現服務器記錄的不僅是您的主機名，還有您的內部IP地址和操作系統。

3．Internet上的惡意攻擊通常針對機器的“熟知端口”，如HTTP的80端口、FTP的21端口和POP的110端口等。雖然NAT可以屏蔽不向外部網絡開放的端口，但針對面向熟知端口的攻擊，它是無能為力的。

4．許多NAT設備都不記錄從外部網絡到內部網絡的連接，這會使您受到來自外部網絡的攻擊，但由于沒有記錄可以追查，您根本無法發覺自己受到過什么攻擊。

NAT隱藏了內部IP地址，使其具有一定的安全性，但從上面的分析我們可以知道，不能將NAT作為網絡單一的安全防范措施。

Win中配置NAT服務器

本文介紹了如何通過使用Windows Server 2003來配置網絡地址轉換(NAT)服務器。Windows Server 2003“路由和遠程訪問”服務包括NAT路由協議。如果將NAT路由協議安裝和配置在運行“路 由和遠程訪問”的服務器上，則使用專用Internet協議(IP)地址的內部網絡客戶端可以通過NAT服務器的外部接口訪問Internet。

如何配置路由和遠程訪問NAT服務器

當內部網絡客戶端發送要連接Internet的請求時，NAT協議驅動程序會截取該請求，并將其轉發到目標Internet服務器。所有請求看上去都像是來自NAT服務器的外部IP地址。這樣就隱藏您的'內部IP地址配置。

配置“路由和遠程訪問”NAT服務器：

在管理工具菜單中，選中“路由和遠程訪問”。

在“路由和遠程訪問”MMC中，展開您的服務器名稱（其中服務器名稱是您要配置服務器的名稱，然后展開左窗格中的IP路由。

選中常規，然后選擇新建路由協議。

單擊NAT/基本防火墻復選框，將其選中，然后點確定。

右鍵單擊左窗格中的NAT/基本防火墻，然后單擊新建接口。

單擊表示內部網絡接口的接口，然后單擊確定。

在“網絡地址轉換”屬性中，單擊“專用接口連接到專用網絡”，然后單擊確定。

右鍵單擊左窗格中的NAT/基本防火墻，然后點新建接口。

單擊表示外部網絡接口的接口，然后點確定。

在“網絡地址轉換”屬性中，單擊“公用接口連接到Internet”。

單擊“在此接口上啟用NAT”復選框，將其選中，點確定。

NAT服務器可以自動為內部網絡客戶端分配IP地址。如果您沒有已給內部網絡上的客戶端分配了地址信息的DHCP服務器，則可能會需要使用此功能。

如何配置路由和遠程訪問NAT服務器以分配IP地址和執行代理DNS查詢NAT服務器還可以代表NAT客戶端執行域名系統(DNS)查詢。“路由和遠程訪問”NAT服務器對包括在客戶端請求中的Internet主機名進行解析，然后將該IP地址轉發給該客戶端。

要配置“路由和遠程訪問”NAT服務器來分配IP地址并且代表內部網絡客戶端執行代理DNS查詢，請按以下步驟操作：

右鍵單擊左窗格中的NAT/基本防火墻，然后單擊屬性。

單擊地址分配選項卡，然后單擊“使用DHCP自動分配IP地址”復選框，將其選中。

在IP地址框中，鍵入網絡ID。

在掩碼框中，鍵入子網掩碼。

選擇名稱解析選項卡，然后單擊“使用域名系統(DNS)的客戶端”復選框，將其選中。

如果您使用請求撥號接口連接到Internet，請單擊“當名稱需要解析時連接到公用網絡”復選框，將其選中。

在請求撥號接口框中，選中要撥號的接口。

選擇應用，然后單擊確定。

備注：完成這些基本配置步驟之后，內部網絡客戶端就可以訪問Internet上的服務器了。

如何配置基于Windows Server 2003的計算機以使用NAT服務器

單擊開始，指向控制面板，指向網絡連接，然后單擊本地連接。

單擊屬性。

單擊Internet協議(TCP/IP)。

單擊屬性。

在“默認網關”框中，鍵入NAT服務器的內部IP地址。

備注：如果計算機從“動態主機配置協議”(DHCP)服務器接收它的IP地址，請單擊高級，單擊IP設置選項卡，單擊網關下的添加，鍵入NAT服務器的內部IP地址，單擊添加，單擊確定，然后繼續進行第6步。

單擊確定，單擊確定，然后單擊關閉。

銳捷nat的配置是什么？

1、 靜態nat，一對一轉換

2、 動態nat：多對多轉換

3、 napt：多對1端口轉換

【RTA】nat address-group 1 200.10.10.1 200.10.10.1

【RTA】acl 2000

【RTA-acl-basic-2000】rule permit source 192.168.1.0 0.0.0.255

【RTA-GigabitEthernet0/0/0】nat outbound 2000 address-group 1

4、easy ip：出接口多對1端口轉換

5、 nat服務器（NAT Server用于外網用戶需要使用固定公網IP地址訪問內部服務器的情形，目測與靜態nat區別是可以做端口轉換）

在什么情況下使用NAT

與無類域間路由選擇( CIDR) 一樣，最初開發NAT 也旨在推遲可用IP 地址空間耗盡的時間，這是通過使用少量公有IP地址表示眾多私有IP 地址實現的。但隨后人們發現，在網絡遷移和合并、服務器負載均衡以及創建虛擬服務器方面， NAT 也是很有用的工具。

NAT 確實可減少聯網環境所需的公有IP地址數; 在兩家使用相同內部編址方案的公司合并時，NAT 也提供了便利的解決方案; 在公司更換因特網服務提供商(ISP )，而網絡管理員又不想修改內部編址方案時， NAT 也能提供很好的解決方案。

下面是NAT 可提供幫助的各種情形:

需要連接到因特網，但主機沒有全局唯一的IP 地址

更換的ISP 要求對網絡進行重新編址

需要合并兩個使用相同編址方案的內聯網

如何配置NAT?

一、 NAT簡介

NAT的功能就是指將使用私有地址的網絡與公用網絡INTERNET相連，使用私有地址的內部網絡通過NAT路由器發送數據時，私有地址將被轉化為合法注冊的IP地址從而可以與INTERNET上的其他主機進行通訊。

NAT路由器被置于內部網和INTERNET的邊界上并且在把數據包發送到外部網絡前將數據包的源地址轉換為合法的IP地址。當多個內部主機共享一個合法IP地址時，地址轉換是通過端口多路復用即改變外出數據包的源端口并進行端口映射完成。

二、 NAT工作過程

假設某公司申請DDN專線時，電信提供的合法地址為61.138.0.93/30，61.128.0.94/30，公司內部網絡地址為192.168.0.0/24，路由器局域口地址192.168.0.254/24，廣域口地址61.138.0.93/30，

當192.168.0.1/24這臺計算機向INTERNET上的服務器202.98.0.66發出請求，則相應的操作過程如下：

⑴內部主機192.168.0.1/24的用戶發出到INTERNET上主機202.98.0.66的連接請求;

⑵邊界路由器從內部主機接到第一個數據包時會檢查其NAT映射表，如果還沒有為該地址建立地址轉換映射，路由器便決定為該地址進行地址轉換，路由器為該內部地址192.168.0.1到合法IP地址61.138.0.93的映射，同時附加端口信息，以區別與內部其他主機的映射。

⑶邊界路由器用合法IP地址61.138.0.93及某端口號來替換內部IP地址192.168.0.1和對應的端口號，并轉發該數據包。

⑷INTERNET服務器202.98.0.66接到該數據包，并以該包的地址(61.138.0.93)來對內部主機192.168.0.1作出應答。

⑸當邊界路由器接受到目的地址為61.138.0.93的數據包時路由器將使用該IP地址、端口號從NAT的映射表中查找出對應的內部地址和端口號，然后將數據包的目的地址轉化為內部地址192.168.0.1，并將數據包發送到該主機。對于每一個請求路由器都重復2-5的步驟。

三、路由器NAT功能配置

以上面的假設為例，分別說明在CISCO、3COM路由器下配置NAT功能

一CISCO路由器

以CISCO2501為例，要求其IOS為11.2版本以上

cisco2501#conf t

cisco2501(config)# int e0

cisco2501(config-if)# ip address 192.168.0.254 255.255.255.0

cisco2501(config-if)# ip nat inside

(指定e0口為與內部網相連的內部端口)

cisco2501(config-if)#int s0

cisco2501(config-if)#encapsulation ppp

(指定封裝方式為PPP)

cisco2501(config-if)#ip address 61.138.0.93 255.255.255.252

cisco2501(config-if)# ip nat outside

(指定s0為與外部網絡相連的外部端口)

cisco2501(config-if)#exit

cisco2501(config)# bandwidth 128

(指定網絡帶寬128k)

cisco2501(config)# ip route 0.0.0.0 0.0.0.0 Serial0

(指定缺省路由)

cisco2501(config)# ip nat pool a 61.138.0.93 61.138.0.93 netmask 255.255.255.252

(指定內部合法地址池，起始地址，結束地址為合法IP 61.138.0.93)

cisco2501(config)# access-list 1 permit 192.168.0.0 0.0.0.255

(定義一個標準的access-list規則，以允許哪些內部地址可以進行地址轉換)

cisco2501(config)# ip nat inside source list 1 pool a overload

(設置內部地址與合法IP地址間建立地址轉換)

cisco2501(config)#end

cisco2501#wr

二3COM路由器

以3COM OCBN8832為例，要求其SOFTWARE VERSION為11.0版本以上

以root注冊，進行如下配置:

⑴配置局域網端口

[1] EnterpriseOS #setdefault !1 -ip netaddress=192.168.0.254 255.255.255.0

[2] EnterpriseOS #setdefault !! -path control =enable (激活路由器局域口PATH)

[3] EnterpriseOS #setdefault !1 -port control=enable (激活路由器局域口PORT)

⑵配置廣域網串行端口

[4] EnterpriseOS #setdefault !3 -path linetype=leased (指明該端口使用的通信線路類型)

[5] EnterpriseOS #setdefault !4 -port owner=ppp (指明該端口的使用者)

[6] EnterpriseOS #setdefault !4 -ip netaddress=61.138.0.93 255.255.255.252

[7] EnterpriseOS #setdefault !4 -nat addressmap 192.168.0.0/24 61.138.0.93 outbound

(指定將192.168.0.0/24內部主機使用的IP地址轉換成61.138.0.93)

[8] EnterpriseOS #setdault !4 -nat control=enable (啟用NAT服務)

[9] EnterpriseOS #setdault !3 -path control=enable

[10]EnterpriseOS #setdault !4 -port control=enalbe

⑶配置缺省路由

[11]EnterpriseOS #setdault -ip control=router (激活路由器的路由功能)

[12]EnterpriseOS #add -ip route 0.0.0.0 0.0.0.0 !4

網站標題：nat服務器的構建與安全配置 nat服務設置
文章地址：http://vcdvsql.cn/article42/dopjchc.html

成都網站建設公司_創新互聯，為您提供網站導航、關鍵詞優化、Google、微信公眾號、網站營銷、軟件開發

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯