通过路由器NAT功能解决IP地址短缺问题

一、NAT概述

NAT（Network Address Translation）网络地址转换，其功能是将企业内部自行定义的非法IP地址转换为Internet公网上可识别的合法IP地址。

由于现行IP地址标准——IPv4的限制，Internet面临着IP地址空间短缺的问题，从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技术能较好解决现阶段IPV4地址短缺的问题。

目前，神州数码所有路由器产品，包括DCR-2500系列、DCR-1700系列和DCR-3600系列，均支持NAT功能，且功能丰富。

下面简要介绍神州数码路由器NAT的原理。

二、NAT原理及配置简介

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

我们以DCR-1700路由器为例。

运行：

Router(config)#show ip nat translation

显示应为：

Inside local，即内部局部地址——在内部网络上一个主机分配到的IP地址，通常是网管人员自己定义的私有地址。

Inside global，即内部全局地址——一个合法的IP地址，向外部网络描述一个或多个本地合法IP地址。

Outside local，即外部局部地址——出现在内部网络的一个外部主机的IP地址。不一定是合法地址，它可以在内部网络中，从可路由的地址空间进行分配。

Outside global，即外部全局地址——主机的拥有者在外部网络上分配给主机的IP地址。该地址可以从全局可路由地址或网络空间进行分配。

神州数码路由器目前支持内部地址翻译、外部地址翻译和双向地址翻译功能。

内部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译、源地址访问列表＋设备接口翻译、目的地址访问列表＋地址池翻译。

外部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译。

神州数码路由器中，NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

静态NAT

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。例如DCR-1700/3600路由器的配置：

ip nat inside source static 192.168.1.5 211.168.79.75

将局域网中的192.168.1.5永久映射为全局合法IP211.168.79.75。此功能可应用到内部网的WWW发布、Ftp Server及Mail Server。

NAT池

NAT池指用户向ISP申请了一组合法IP，在路由器中，将这一组IP定义成NAT池，通过动态分配的办法，共享很少的几个外部合法IP地址。如果NAT池中动态分配的外部IP地址全部被占用后，后续的NAT翻译申请将会失败。用地址超载功能，通过端口号区分不同的连接，可解决这个问题。

例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

ip access-list standard 1 permit 192.168.1.0 255.255.255.0//局域网中内部局部地址的配置

ip nat pool DCR 211.1.1.1 211.1.1.2 255.255.255.252//局域网中NAT池的配置

ip nat inside source list 1 pool DCR overload //地址超载的配置

如果局域网中有20台PC，但向ISP只申请到211.1.1.1和211.1.1.2两个合法IP，通过如上配置，可实现所有的PC同时访问Internet。推荐用户使用地址超载功能。

PAT

nat static add port tcp 80 200.1.1.61

PAT，即端口地址转换。通过PAT技术，用户只需向ISP申请一个合法IP，就可以满足所有的用户访问Internet。PAT可以支持同时连接64500个TCP／IP、UDP／IP，但实际可以支持的工作站个数会少一些。

例如DCR-2501/DCR-1700/DCR-3600路由器的配置：

ip access-list standard 1 permit 192.168.1.0 255.255.255.0

ip nat inside source list 1 interface Serial0/0 overload//指定访问列表 LIST 1访问外网时转换成 Serial0/0口的IP地址。

(t113)