NAT學(xué)習總結(jié).doc

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 雖然NAT可以借助于某些代理服務(wù)器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡(luò)性能，很多時候都是在路由器上來實現(xiàn)的。 隨著接入Internet的計算機數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(wǎng)(CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了NAT技術(shù)。l.NAT簡介借助于NAT，私有(保留)地址的內(nèi)部網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機與Internet的通信需求。 NAT將自動修改IP報文頭申的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中，所以還需要同時對報文進行修改，以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。2.NAT實現(xiàn)方式 NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復(fù)用OverLoad。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。3.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的實現(xiàn)在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個外部接口上啟用NAT。通常情況下，連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口，而連接到外部網(wǎng)絡(luò)(如Internet)的接口是NAT外部接口。 1).靜態(tài)地址轉(zhuǎn)換的實現(xiàn) 假設(shè)內(nèi)部局域網(wǎng)使用的lP地址段為54，路由器局域網(wǎng)端(即默認網(wǎng)關(guān))的IP地址為，子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2835，路由器在廣域網(wǎng)中的IP地址為29，子網(wǎng)掩碼為48可用于轉(zhuǎn)換的IP地址范圍為3034。要求將內(nèi)部網(wǎng)止分別轉(zhuǎn)換為合法IP地址3034。 第一步，設(shè)置外部端口。 interface serial 0 ip address 55.248 ip nat outside 第二步，設(shè)置內(nèi)部端口。 interface ethernet 0 ip address . ip nat inside 第三步，在內(nèi)部本地與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。 ip nat inside source static 內(nèi)部本地地址內(nèi)部合法地址 示例： ip nat inside source static 30/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址30 ip nat inside source static 31/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址31 ip nat inside source static 32/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址32 ip nat inside source static 33/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址33 ip nat inside source static 34/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址34 至此，靜態(tài)地址轉(zhuǎn)換配置完畢。 2).動態(tài)地址轉(zhuǎn)換的實現(xiàn) 假設(shè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,路由器局域網(wǎng)端口（即默認網(wǎng)關(guān)）的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2891，路由器在廣域網(wǎng)中的IP地址為29,子網(wǎng)掩碼為92,可用于轉(zhuǎn)換的IP地址范圍為3090。要求將內(nèi)部網(wǎng)址54動態(tài)轉(zhuǎn)換為合法IP地址3090。 第一步，設(shè)置外部端口。 設(shè)置外部端口命令的語法如下： ip nat outside 示例： interface serial 0/進入串行端口serial 0 ip address 29 255.255.248/將其IP地址指定為29,子網(wǎng)掩碼為48 ip nat outside /將串行口serial 0設(shè)置為外網(wǎng)端口 注意，可以定義多個外部端口。 第二步，設(shè)置內(nèi)部端口。 設(shè)置內(nèi)部接口命令的語法如下： ip nat inside 示例： interface ethernet 0 /進入以太網(wǎng)端口Ethernet 0 ip address / 將其IP地址指定為,子網(wǎng)掩碼為 ip nat inside /將Ethernet 0 設(shè)置為內(nèi)網(wǎng)端口。 注意，可以定義多個內(nèi)部端口。 第三步，定義合法IP地址池。 定義合法IP地址池命令的語法如下： ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼 其中，地址池名字可以任意設(shè)定。 示例： ip nat pool net 30 90 netmask 92/指明地址緩沖池的名稱為net,IP地址范圍為3090,子網(wǎng)掩碼為92。需要注意的是，即使掩碼為，也會由起始IP地址和終止IP地址對IP地址池進行限制。 或ip nat pool test 30 90 prefix-length 26 注意，如果有多個合法IP地址范圍，可以分別添加。例如，如果還有一段合法IP地址范圍為54，那么，可以再通過下述命令將其添加至緩沖池中。 ip nat pool cernet 54 netmask 或 ip nat pool test 54 prefix-length 24 第四步，定義內(nèi)部網(wǎng)絡(luò)中允許訪問Internet的訪問列表。 定義內(nèi)部訪問列表命令的語法如下： access-listl 標號 permit 源地址 通配符（其中，標號為199之間的整數(shù)） access-listl permit 55 /允許訪問Internet的網(wǎng)段為55，主機掩碼為55。需要注意的是，在這里采用的是主機掩碼，而非子網(wǎng)掩碼。子網(wǎng)掩碼與主機掩碼的關(guān)系為：主機掩碼+子網(wǎng)掩碼=55。例如，子網(wǎng)掩碼為，則主機掩碼為55；子網(wǎng)掩碼為,則主機掩碼為55;子網(wǎng)掩碼為,則主機掩碼為55;子網(wǎng)掩碼為92，剛主機掩碼為 3。 另外，如果想將多個IP地址段轉(zhuǎn)換為合法IP地址，可以添加多個訪問列表。例如，當欲將55和55轉(zhuǎn)換為合法IP地址時，應(yīng)當添加下述命令： access-list2 permit 55 access-list2 permit 55 第五步，實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換。 在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換。命令語法如下： ip nat inside source list 訪問列表標號 pool 內(nèi)部合法地址池名字 示例： ip nat inside source list 1 pool chinanet 如果有多個內(nèi)部訪問列表，可以一一添加，以實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，如 ip nat insde source list 2 pool chinanet ip nat insde source list 2 pool chinanet 如果有多個地址池，也可以一一添加，以增加合法地址池范圍，如 ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet 至此，動態(tài)地址轉(zhuǎn)換設(shè)置完畢。 3).端口復(fù)用動態(tài)地址轉(zhuǎn)換 內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,路由器局域網(wǎng)端口（即默認網(wǎng)關(guān)）的IP地址為，子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為,路由器廣域網(wǎng)中的IP地址為,子網(wǎng)掩碼為52，可用于轉(zhuǎn)換的IP地址為。要求將內(nèi)部網(wǎng)址54 轉(zhuǎn)換為合法IP地址。 第一步，設(shè)置外部端口。 interface serial 0 ip address 52 in nat outside 第二步，設(shè)置內(nèi)部端口。 interface ethernet 0 ?ip address ?ip nat inside 第三步，定義合法IP地址池。 in nat pool onlyone netmask 52 / 指明地址緩沖池的名稱為onlyone,IP地址范圍為,子網(wǎng)掩碼為52。由于本例只有一個IP地址可用，所以，起始IP地址與終止IP地址均為。如果有多個IP地址，則應(yīng)當分別鍵入起止的IP直址。 第四步，定義內(nèi)部訪問列。 access-list 1 permit 55 允許訪問Internetr的網(wǎng)段為55，子網(wǎng)掩碼為。需要注意的是，在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反，即55。 第五步，設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換。 在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。命令語法如下： ip nat inside source list訪問列表號pool內(nèi)部合法地址池名字overload 示例： ip nat inside source list1 pool onlyone overload /以端口復(fù)用方式，將訪問列表1中的私有IP地址轉(zhuǎn)換為onlyone IP地址池中定義的合法IP地址。 至此，端口復(fù)用動態(tài)地址轉(zhuǎn)換完成。 編輯本段網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)-實例示例一：全部采用端口復(fù)用地址轉(zhuǎn)換 當ISP分配的IP地址數(shù)量很少，網(wǎng)絡(luò)又沒有其他特殊需求，即無需為Internet提供網(wǎng)絡(luò)服務(wù)時，可采用端口利用地址轉(zhuǎn)換方式，使網(wǎng)絡(luò)內(nèi)的計算機采用同一IP地址訪問Internet，在節(jié)約IP地址資源的同時，又可有效保護網(wǎng)絡(luò)內(nèi)部的計算機。 網(wǎng)絡(luò)環(huán)境為： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.101.254，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2831,連接ISP的端口Ethernet 1的IP地址為29,子網(wǎng)掩碼為52?？捎糜谵D(zhuǎn)換的IP地址為30。要求網(wǎng)絡(luò)內(nèi)部的所有計算機均可訪問Internet。 案例分析： 既然只有一個可用的合法IP地址，同時處于局域網(wǎng)的服務(wù)器又只為局域網(wǎng)提供服務(wù)，而不允許Internet中的主機對其訪問，因此完全可以采用端口復(fù)用地址轉(zhuǎn)換方式實現(xiàn)NAT，使得網(wǎng)絡(luò)內(nèi)的所有計算機均可獨立訪問Internet。 配置清單： interface fastethernet0/0 ip address /定義本地端口IP地址 duplex auto speed auto ip nat inside / 定義為本地端口 ! interface fastethernet0/1 ip address 29 52 duplx auto speed auto ip nat outside ! ip nat pool onlyone 30 30 netmadk 52 /定義合法IP地址池，名稱為onlyone access-list 1 permit 55 /定義本地訪問列表 access-list 1 permit 55 ip nat inside source list1 pool onlyone overload /采用端口復(fù)用動態(tài)地址轉(zhuǎn)換 示例二：動態(tài)地址+端口復(fù)用地址轉(zhuǎn)換 許多FTP網(wǎng)站考慮到服務(wù)器性能和Internet連接帶寬的占用問題，都限制同一IP地址的多個進程訪問。如果采用端口復(fù)地址轉(zhuǎn)換方式，則網(wǎng)絡(luò)內(nèi)的所以計算機都采用同一IP地址訪問Internet,那么，將因此而被禁止對該網(wǎng)站的訪問。所以，當提供的合法IP地址數(shù)量稍多時，可同時采用端口復(fù)用和動態(tài)地址轉(zhuǎn)換方式，從而既可保證所有用戶都能夠獲得訪問Internet的權(quán)力，同時，又不致、某些計算機因使用同一IP地址而被限制權(quán)限。需要注意的是，由于所有計算機都采用動態(tài)地址轉(zhuǎn)換方式，因此Internet中的所有計算機將無法實現(xiàn)對網(wǎng)絡(luò)內(nèi)部服務(wù)器的訪問。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)以2Mb/s DNA專線接入Internet，路由器選用安裝了廣域網(wǎng)模塊的Cisco 2611,如圖4-2-2所示。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2829,子網(wǎng)掩碼為92,可用于轉(zhuǎn)換的IP地址范圍為3090。要求網(wǎng)絡(luò)部分的部分計算機可以不受任何限制地訪問Internet，服務(wù)器無需提供Internet訪問服務(wù)。 案例分析： 既然要求網(wǎng)絡(luò)中的部分計算機可以不受任何限制地訪問Internet,同時，服務(wù)器無需提供Internet訪問服務(wù)，那么，只需采用動態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換方式即可實現(xiàn)。部分有特殊需求的計算機采用動態(tài)地址轉(zhuǎn)換的NAT方式，其他計算機則采用端口復(fù)用地址轉(zhuǎn)換的NAT方式。因此，部分有特殊需求的計算機可采用內(nèi)部網(wǎng)址54，并動態(tài)轉(zhuǎn)換為合法地址3089，其他計算機采用內(nèi)部網(wǎng)址54,全部轉(zhuǎn)換為90。 配置清單： interface fastethernet0/1 ip address /定義局域網(wǎng)端口IP地址 duplex auto speed auto ip nat inside /定義為局域端口 ! interface serial 0/0 ip address 29 92 /定義廣域網(wǎng)端口IP地址 ! duplex auto speed auto ip nat outside /定義為廣域端口 ! ip nat pool public 30 90 netmask 92 /定義合法IP地址池，名稱為public ip nat pool super 30 89 netmask 92 /定義合法IP地址池，名稱為super ip nat inside source list1 pool super /定義列表達1采用動態(tài)地址轉(zhuǎn)換 ip nat inside source list2 pool public overload? /定義列表2采用端口復(fù)用地址轉(zhuǎn)換 access-list1 permit 55 /定義本地訪問列表1 access-list2 permit 55 /定義本地訪問列表2 access-list2 permit 55 示例三：靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換 其實在很多時候，網(wǎng)絡(luò)中的服務(wù)器既為網(wǎng)絡(luò)內(nèi)部的客戶提供網(wǎng)絡(luò)服務(wù)，又同時為Internet中的用戶提供訪問服務(wù)。因此，如果采用端口復(fù)用地址轉(zhuǎn)換或動態(tài)地址轉(zhuǎn)換，將由于無法確定服務(wù)器的IP地址，而導(dǎo)致Internet用戶無法實現(xiàn)對網(wǎng)絡(luò)內(nèi)部服務(wù)器的訪問。此時，就應(yīng)當采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換的NAT方式。也就是說，對服務(wù)器采用靜態(tài)地址轉(zhuǎn)換，以確保服務(wù)器擁有固定的合法IP地址。而對普通的客戶計算機則采用端口復(fù)用地址轉(zhuǎn)換，使所有用戶都享有訪問Internet的權(quán)力。 網(wǎng)絡(luò)環(huán)境為： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為07，連接ISP的端口Ethernet 1的IP地址為1,子網(wǎng)掩碼為48。要求網(wǎng)絡(luò)內(nèi)部的所有計算機均可訪問Internet，并且在Internet中提供Web、E-mail、FTP和Media等4種服務(wù)。 案例分析： 既然網(wǎng)絡(luò)內(nèi)的服務(wù)器要求能夠被Internet訪問到，那么，這部分主機必須擁有合法的IP地址，也就是說，服務(wù)器必須采用靜態(tài)地址轉(zhuǎn)換。其他計算機由于沒有任何限制，所以，可采用端口復(fù)用地址轉(zhuǎn)換的NAT方式。因此，服務(wù)器可采用內(nèi)網(wǎng)址54，并分別映射為一個合法的IP地址。其他計算機則采用內(nèi)部網(wǎng)址54,并全部轉(zhuǎn)換為一個合法的IP地址。 配置清單： interface fastethernet0/0 ip address /定義局域網(wǎng)口IP地址 duplex auto speed auto ip nat inside /定義局域網(wǎng)口 ! interface fastethernet0/1 ip address 1 48 /定義廣域網(wǎng)口IP地址 duplex auto speed auto ip nat outside /定義廣域網(wǎng)口 ! ip nat pool every 6 6 netmask 48 /定義合法IP地址池 access-list 1 permit 55 /定義本地訪問列表1 access-list 1 premit 55 access-list 1 premit 55 access-list 1 premit 55 ip nat inside source list1 pool every overload /定義列表達1采用端口復(fù)用地址轉(zhuǎn)換 ip nat inside source static 0 2 /定義靜態(tài)地址轉(zhuǎn)換 ip nat inside source static 1 3 ip nat inside source static 2 4 ip nat inside source static 3 5 示例四：TCP/UDP端口NAT映射 如果ISP提供的合法IP地址的數(shù)量較多，我們自然可以采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用動態(tài)地址轉(zhuǎn)換的方式得以完美實現(xiàn)。但如果ISP只提供4個IP地址，其中2個作為網(wǎng)絡(luò)號和廣播地址而不可使用，1個IP地址要用于路由器定義為默認網(wǎng)關(guān)， 那么將只剩下1個IP地址可用。當然我們也可以利用這個僅存的一個IP地址采用端口復(fù)用地址轉(zhuǎn)換技術(shù)，從而實現(xiàn)整個局域網(wǎng)的Internet接入。但是由于服務(wù)器也采用動態(tài)端口，因此，Internet中的計算機將無法訪問到網(wǎng)絡(luò)內(nèi)部的服務(wù)器。有沒有好的解決問題的方案呢？這就是TCP/UDP端口NAT映射。 我們知道，不同應(yīng)用程序使用的TCP/UDP的端口是不同的，比如，Web服務(wù)使用50，F(xiàn)TP服務(wù)使用21，SMTP服務(wù)使用25，POP3服務(wù)使用110，等等。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址，從而只使用一個合法的IP地址，即可在允許內(nèi)部所有服務(wù)器被Internet訪問的同時，實現(xiàn)內(nèi)部所有主機對Internet訪問。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-5所示。路由器選用擁有2個10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為，2831,連接ISP的端口Ethernet 1的IP地址為29,子網(wǎng)掩碼為52，可用于轉(zhuǎn)換的IP地址為30。要求網(wǎng)絡(luò)內(nèi)部的所有計算機均可訪問Internet。 案例分析： 既然只有一個可用的合法IP地址，當然只能采用端口復(fù)用方式實現(xiàn)NAT，不過，由于同時又要求網(wǎng)絡(luò)內(nèi)部的服務(wù)器可以被Internet訪問到，因此，必須使用PAT創(chuàng)建TCP/UDP端口的NAT映射。需要注意的是，也可以直接使用廣域端口創(chuàng)建TCP/UDP端口的NAT映射，也就是說，即使只有一個IP地址，也可以完美實現(xiàn)端口復(fù)用。由于合法IP地址位于路由器端口上，所以，不再需要定義NAT池，只簡單地使用inside source list語句即可。 需要注意的是，由于每種應(yīng)用服務(wù)都有自己默認的端口，所以，這種NAT方式下，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)中只能各自有一臺服務(wù)器成為Internet中的主機，例如，只能有一臺Web服務(wù)器，一臺E-mail服務(wù)，一臺FTP服務(wù)器。盡管可以采用改變默認端口的方式創(chuàng)建多臺應(yīng)用服務(wù)器，但這種服務(wù)器在訪問時比較困難，要求用戶必須先了解某種服務(wù)采用的新TCP端口。 配置清單： interface fastethernet0/0 ip address /指定局域網(wǎng)口的IP地址 duplex auto speed auto ip nat inside /指定局域網(wǎng)接口 ! interface fastethernet0/1 ip address 29 48 /指定廣域網(wǎng)口的IP地址 access-list 1 permit 55 ! ip nat inside source list1 interface fastethernet0/1 overload /啟用端口復(fù)用地址轉(zhuǎn)換，并直接采用fastethernet0/1的IP地址。 ip nat inside source static tcp 1 80 29.80 ip nat inside source static tcp 2 21 29.21 ip nat inside source static tcp 3 25 29.25 ip nat inside source static tcp 3 110 29 110 示例五：利用地址轉(zhuǎn)換實現(xiàn)負載均衡 隨著訪問量的上升，當一臺服務(wù)器難以勝任時，就必須采用負載均衡技術(shù)，將大量的訪問合理地分配至多臺服務(wù)器上。當然，實現(xiàn)負載均衡的手段有許多種，比如可以采用服務(wù)器群集負載均衡、交換機負載均衡、DNS解析負載均衡等等。 其實除此以外，也可以通過地址轉(zhuǎn)換方式實現(xiàn)服務(wù)器的負載均衡。事實上，這些負載均衡的實現(xiàn)大多是采用輪詢方式實現(xiàn)的，使每臺服務(wù)器都擁有平等的被訪問機會。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網(wǎng)模塊的Cisco 2611,如圖4-2-6所示。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為07,連接ISP的端口Ethernet 1的IP地址為1,子網(wǎng)掩碼為48。要求網(wǎng)絡(luò)內(nèi)部的所有計算機均可訪問Internet，并且在3臺Web服務(wù)器和2臺FTP服務(wù)器實現(xiàn)負載均衡。 案例分析： 既然要求網(wǎng)絡(luò)內(nèi)所有計算機都可以接入Internet,而合法IP地址又只有5個可用，當然可采用端口復(fù)用地址轉(zhuǎn)換方式。本來對服務(wù)器通過采用靜態(tài)地址轉(zhuǎn)換，賦予其合法IP地址即可。但是，由于服務(wù)器的訪問量太大（或者是服務(wù)器的性能太差），不得不使用多臺服務(wù)器作負載均衡，因此，必須將一個合法IP地址轉(zhuǎn)換成多相內(nèi)部IP地址，以輪詢方式減輕每臺服務(wù)器的訪問壓力。 配置文件： interface fastethernet0/1 ip adderss /定義局域網(wǎng)端口IP地址 duplex auto speed auto ip nat inside /定義為局域端口 ! interface serial 0/0 ip address 1 48 /定義廣域網(wǎng)端口IP地址 duplex auto speed auto ip nat outside /定義為廣域端口 ! access-list 1 permit 2 /定義輪詢地址列表1 access-list 2 permit 3 /定義輪詢地址列表2access-list 3 permit 55 /定義本地訪問列表3 ! ip nat pool websev 48 type rotary /定義Web服務(wù)器的IP地址池，Rotary關(guān)鍵字表示準備使用輪詢策略從NAT池中取出相應(yīng)的IP地址用于轉(zhuǎn)換進來的IP報文，訪問2的請求將依次發(fā)送給web服務(wù)器：、和 ip nat pool ftpsev 48 type rotary /定義ftp服務(wù)器的IP地址池。ip nat pool normal 4 4 netmask 48 /定義合法IP地址池，名稱為normal ip nat inside destination list 1 pool websev /inside destination list 語句定義與列表1相匹配的IP地址的報文將使用輪詢策略 ip nat inside destination list 2 pool ftpsev#*#*#*#*#*#*#*#*#*#*#*#*#*#四種不同的NAT類型討論前提:考慮到UDP的無狀態(tài)特性，目前針對其的NAT實現(xiàn)大致可分為Full