第一篇：NAT類型整理總結[小編推薦]

NAT類型整理總結（以思科為例）

本文例子：

公網地址段：100.1.1.0/24 內網地址段：192.168.100.0/24

一、靜態轉換

IP地址的對應關系是一對一，且是不變的，借助靜態轉換能實現外部網絡對內部網絡中某些指定的訪問，一個內網IP固定對應一個公網IP，常用于內網服務器允許公網訪問的情況。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：ip nat inside source static 192.168.100.1 100.1.1.10

二、動態轉換

IP地址的對應關系是N對N，且隨機、不確定的，所有被授權訪問的內網IP可隨機轉換為任何指定的合法的公網IP地址。公網IP地址池有幾個IP，那么同一時間就只能有幾臺電腦可以訪問公網，其他主機要上網必須等臨時映射關系結束才能使用被釋放的公網IP進行轉換。一般用于公網IP地址充足，同時訪問Internet的內網主機數少于公網地址池IP個數時使用。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 netmask 255.255.255.0(定義地址池IP范圍)

全局：ip nat inside source list 1 pool NatTest

三、端口多路復用PAT（常用）

IP地址的對應關系是多對一，通過改變外出數據包的源IP地址和源端口并進行端口轉換，多臺內網主機可共享一個公網IP地址實現互聯網的訪問，以隨機分配的端口號區分。常用于只有一個公網IP的情況，配置時注意后綴overload關鍵字不能缺少。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat inside source list 1 interface g0/0/1 overload（公網出接口）

四、動態 + 端口多路復用（常用）

IP地址的對應關系是N對M，與PAT類似，區別在于該類型有多個公網IP，內網主機隨機選擇其中一個公網IP，且每個公網IP允許多臺內網主機同時使用，以隨機分配的端口號區分。常用于有多個公網IP或雙出口的情況。出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 prefix-length 24 全局：ip nat inside source list 1 pool NatTest overload（公網地址池）

五、區域無關NAT 這個類型用得很少，相關資料也不多，以下介紹是從某博客復制過來的：

Domainless NAT就是說不再區分inside和outside，只是單純地做NAT，沒有用所謂的平衡點，進而兩個方向NAT的處理HOOK點也不再基于平衡點對稱，所有的NAT操作全部在PREROUTING上做，它用一個叫做NATVirtual Interface（NVI）的虛擬接口來實現，通過路由的方式將帶有ipnat enable配置的接口進來的包全部導入這個虛擬接口NVI0中。然后用數據包的源地址和目標地址分別查詢SNAT表和DNAT表，根據結果進行NAT操作，隨后進入真正的路由查詢，可見，不管方向，不管路由，只要數據包進入了一塊帶有ip natenable配置的物理網卡，就會先路由再NAT然后再路由（第一個路由只是匹配一下路由，而沒有真正的路由行為，第二個路由則是真實的路由行為），不管是SNAT和DNAT都在這里進行。數據包在進入真正的路由查詢前，NAT就已經完成了，在路由器看來，NAT操作被藏起來了，就好像數據包本來就是那個樣子一樣。當然Domainless的NAT也不再和任何其它操作關聯，ACL，VPN感興趣流匹配，policyrouting等都和NAT無關。

出接口配置 ip nat enable 入接口配置 ip nat enable 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat source list 1 interface g0/0/1 overload（注意source前沒有inside）

查看NAT規則狀態： show ip nat statistics rule 查看NAT轉換記錄： show ip nat translations

NAT與PAT的區別 ：

NAT（包括動態和靜態）的地址轉換是指每個內網地址都被轉換成IP地址+源端口的方式，這需要公網IP地址為多個,即有多少個內網IP訪問互聯網就需要多少個公網IP轉換，內外端口號一致。

PAT可以節省公網IP，公網IP地址不足時，就會出現內網地址被轉換成IP地址+端口段的形式，即一個公網IP允許多個內網IP共同使用，以隨機分配的端口號區分。

舉例如下：

NAT：

192.168.100.1：4444----〉100.1.1.2：4444 192.168.100.2：5555----〉100.1.1.1：5555 192.168.100.3：1233----〉100.1.1.4：1233

PAT：

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.1：50005

動態 + 端口多路復用

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.2：50004 192.168.100.4：1233----〉100.1.1.2：50005

ip nat inside source與ip nat source的區別 ：

ip nat inside source ：數據包由inside接口向outside接口發包時，是先路由再NAT轉換；而數據包由outside接口向inside接口發包時是先NAT轉換再路由，數據包的發送方向不同，則處理過程也不同。

ip nat source ：做NAT轉換時，在需要NAT轉換接口上使用的命令為ip nat enable，數據包在由一個接口向另一個接口發包時，順序是先路由再NAT然后再路由（第一個路由只是匹配一下路由，而沒有真正的路由行為，第二個路由則是真實的路由行為），不管數據包從哪個接口發向哪個接口，處理過程都是一樣的。

第二篇：NAT個人學習總結

個人學習總結---NAT

1、NAT本原理

NAT即網絡地址轉換，最初是由RFC1631(目前已由RFC3022替代)定義，用于私有地址向公有地址的轉換，以解決公有IP地址短缺的問題。后來隨著NAT技術的發展及應用的不斷深入，NAT更被證明是一項非常有用的技術，可用于多種用途，如：提供了單向隔離，具有很好的安全特性；可用于目標地址的映射，使公有地址可訪問配置私有地址的服務器；另外還可用于服務器的負載均衡和地址復用等。

NAT分為源NAT和目的NAT。源NAT是基于源地址的NAT，可細分為動態NAT、PAT和靜態NAT。動態NAT和PAT是一種單向的針對源地址的映射，主要用于內網訪問外網，減少公有地址的數目，隱藏內部地址。動態NAT指動態地將源地址轉換映射到一個相對較小的地址池中，對于同一個源IP，不同的連接可能映射到地址池中不同的地址；PAT是指將所有源地址都映射到同一個地址上，通過端口的映射實現不同連接的區分，實現公網地址的共享。靜態NAT是一種一對一的雙向地址映射，主要用于內部服務器向外提供服務的情況。在這種情況下，內部服務器可以主動訪問外部，外部也可以主動訪問這臺服務器，相當于在內、外網之間建立了一條雙向通道。

基于目標地址的NAT，我們稱為目的NAT，可分為目標地址映射、目標端口映射、服務器負載均衡等?；谀繕说刂返腘AT也稱為反向NAT或地址映射。目的NAT是一種單向的針對目標地址的映射，主要用于內部服務器向外部提供服務的情況，它與靜態NAT的區別在于它是單向的。外部可以主動訪問內部，內部卻不可以主動訪問外部。另外，可使用目的NAT實現負載均衡的功能，即可以將一個目標地址轉換為多個內部服務器地址。也可以通過端口的映射將不同的端口映射到不同的機器上。另外，掌握NAT的基本原理之后，NAT不僅僅可用于公有地址和私有地址之間的轉換，還可用于公有地址與公有地址之間、私有地址與私有地址之間的轉換。

2、Nat功能

NAT不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。1.寬帶分享：這是 NAT 主機的最大功能。

2.安全防護：NAT 之內的 PC 聯機到 Internet 上面時，他所顯示的 IP 是 NAT 主機的公共 IP，所以 Client 端的 PC 當然就具有一定程度的安全了，外界在進行 portscan（端口掃描）的時候，就偵測不到源Client 端的 PC。

3、Nat的分類

系統中把NAT的配置分為： 源地址轉換（Source）、目的地址轉換（Destination）及靜態地址轉換（Static）三種類型。

每條NAT規則都是和某個特定的接口關聯的，需要注意的是，源地址轉換是在離開接口時進行轉換的，目的地址轉換是在進入接口時進行轉換的，所以配置源地址轉換的時候必須和對應的出接口關聯，而配置目的地址轉換的時候需要和對應的入接口關聯。

內網環境：PC1----ge0/1口 外網環境：PC2----ge0/7口

外部地址：需要轉換的外部地址：101.1.1.101 內部地址：需要轉換的內部地址：100.1.1.77 內部接口：和內部網絡連接的接口名 ge0/1 外部接口：和外部網絡相連的接口名ge0/7 3.1 源NAT：

源地址轉換是一種單向的針對源地址的映射，主要用于內網訪問外網，減少公有地址的數目，隱藏內部地址。

ips# show ip nat source

ip nat source ge0/7 yuanip mudi any interface enable log 1

ips#

PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101 報文的處理流程：接口收包，交三層處理，然后對其查路由，找到下一跳出接口，在出接口檢查是否做源地址轉換。如果要做源地址轉換，查NAT表，檢查nat表中是否有對應的轉換條目，如果有，做轉換；如果沒有，從設置的全局地址中找要轉換的地址，對源地址做轉換。轉換后，重新封裝報文，交下層處理，將報文從出接口轉發。

在外網主機上面顯示源IP為：101.1.1.1，目的IP為101.1.1.101

內部客戶機向外部網絡發送一個請求時，本來源地址是100.1.1.77，而目標地址應該是101.1.1.101。但經過源NAT的轉換之后，源地址就變成了101.1.1.1，目標地址仍會是101.1.1.101。

反過來，外部網絡會回應我們的請求，那么這時源地址將會是101.1.1.101，目標地址是101.1.1.1。同樣地，IPS會處理這一請求，變成了源地址是101.1.1.1，目標地址是101.1.1.101。

實際上，網絡中數據的傳輸總是雙向的，那么IPS會同時轉換請求與應答設備的源地址，以達到路由目的。

3.2 目的NAT 目的地址轉換根據應用場不同，可以分為以下三種： 服務器地址、端口映射：實現外網地址和內部地址的單向映射或同時實現轉換端口；

服務器業務分流：根據訪問的業務不同，系統把目的地址轉換為內部不同的服務器地址；

服務器負載分擔：把一個外部IP映射到內部的一個地址池中，即一到多的映射功能；

接口映射：根據外網出接口的IP自動更改目的NAT規則，主要用于PPPoE等撥號上網獲得動態IP的情況。配置目的nat

ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為100.1.1.1 報文的處理流程：接口收包，在入接口檢查是否做目的地址轉換。如果要做目的地址轉換，查NAT表，檢查nat表中是否有對應的轉換條目，如果有，做轉換；如果沒有，從設置的全局地址中找要轉換的地址，對目的地址做轉換。轉換后，重新封裝報文，交下層處理，將報文從出接口轉發。

內部客戶機向外部網絡發送一個請求時，本來目的地址是100.1.1.77，而目標地址應該是100.1.1.1。但經過目的NAT的轉換之后，目的地址就變成了101.1.1.101，源地址仍會是100.1.1.77。3.3靜態NAT 靜態地址轉換是一對一的雙向地址映射。在這種情況下，被映射的內部主機可以主動訪問外部，外部也可以主動訪問這臺內部主機，相當于在內、外網之間建立了一條雙向通道。

外部地址：需要轉換的外部地址。101.1.1.102 內部地址：需要轉換的內部地址。100.1.1.77 外部接口：和外部網絡相連的接口名。ge0/7

ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#

PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101

在外網主機PC2上抓包顯示，源IP已經變為：101.1.1.102。

4、NAT的意義

1，環境ip資源的緊缺

2，通過nat的使用，可以很好的隱藏內網的內部網絡結構，避免來自外網的攻擊，保護內網的安全。

3，當兩個使用相同的私網網段的私網進行互通時，可以解決地址重疊的問題

4，當內網存在多個服務器時，可以將外網對服務器的訪問映射到不同的服務器上面，這樣可以達到負載分擔的效果。

5、問題補充

5.1我們的設備端口映射在哪里配置

端口映射配置在目的NAT。目標端口映射是目的NAT的一種?；谀繕说刂返腘AT也稱為反向NAT或地址映射。目的NAT是一種單向的針對目標地址的映射，主要用于內部服務器向外部提供服務的情況。外部可以主動訪問內部，內部卻不可以主動訪問外部。另外，可使用目的NAT實現負載均衡的功能，即可以將一個目標地址轉換為多個內部服務器地址。也可以通過端口的映射將不同的端口映射到不同的機器上。

PC1（client）-------------------IPS-------------------PC2（server）100.1.1.77

100.1.1.1

101.1.1.1

101.1.1.101 在PC2創建http server，端口號設置成1234

配置目的地址轉換，源ip為100.1.1.77 目的ip為100.1.1.1 轉換之后的ip為101.1.1.101，轉換后的端口配置成1234

在PC1上面的瀏覽器上面訪問http://100.1.1.1:4444 若目的NAT不配置端口轉換是無法訪問成功的 配置之后可訪問成功

在PC1上面抓包，查看端口是原來的端口

經過IPS的目的地址轉換，轉換之后的端口號變成了1234 在server上面抓包觀察報文如下;

5.2為什么源NAT不支持端口映射？

端口映射是基于目的NAT生效，轉換端口之后才能正常訪問server。假如源NAT配置了端口映射，本身client的源端口號在訪問server的時候是不關心的，所以源端口號轉換不轉換對server是沒有任何意義的。

5.3Http和ftp在經過NAT時有沒有區別？如果有，區別在哪里？

FTP客戶端的報文經過了路由器NAT之后，服務器端看到的報文的客戶端的報文的IP源地址和端口都已經被改變了，當然對于控制連接來說這沒有影響，因為有網關或者路由器的NAT模塊在中間做管理，但是對于正要通過控制連接建立的數據連接就有問題了，因為NAT改變的僅僅是IP報文頭，而對于因為報文中PORT命令中包含的地址和端口信息沒有做任何改動，這樣服務器是無法和一個內部地址建立連接的，所以這個時候就出現了ALG這個功能。ALG就是在發現如果報文頭做了NAT，在這個時候如果發現這個是一個FTP的連接的時候，就需要同時改變PORT命令中的地址和端口。HTTP在經過NAT網關時只需要使用普通的NAT轉換處理，但是對于FTP，由于FTP在應用層中攜帶了IP地址或端口等信息，因此需要ALG的幫助才能正常穿越NAT網關。FTP協議PORT模式的FTP在經過NAT時需要ALG的處理，因此NAT網關需要關注用戶的每一個FTP命令，并識別需要進行ALG處理的命令，進行相應的ALG處理

第三篇：Juniper Netscreen NAT簡單總結

Juniper Netscreen NAT簡單總結

1、源網絡地址轉換

執行源網絡地址轉換(NAT-src)時，安全設備將初始源 IP 地址轉換成不同的地址。已轉換地址可以來自動態 IP(DIP)池或安全設備的出口接口。如果從 DIP 池中提取已轉換的地址，安全設備可以隨機提取或提取明確的地址，也就是說，既可以從DIP 池中隨機提取地址，也可以持續提取與初始源 IP 地址有關的特定地址?？梢耘渲冒踩O備，在接口級或策略級應用 NAT-src。如果配置策略以應用 NAT-src，且入口接口處于 NAT 模式下，則基于策略的 NAT-src 設置會覆蓋基于接口的 NAT?；诓呗缘腘AT-SRC優先級高于接口級的NAT-src。

2、目標網絡地址轉換

基于策略的 NAT-dst:

MIP：MIP的地址轉換雙向執行，因此安全設備可以將到達 MIP 地址的所有信息流中的目標

IP 地址轉換成主機 IP 地址，并將主機 IP 地址發出的所有信息流中的源 IP 地址轉

換成 MIP 地址。

VIP：是從一個 IP 地址到基于目標端口號的另一個 IP 地址的映射。在同一子網中定義為接口的單個 IP 地址可以托管從若干服務(使用不同的目標端口號標識)到同樣多主機的映射。VIP 還支持端口映射。與 MIP 不同，VIP的地址轉換將單向執行。安全設備可以將到達VIP 地址的所有信息流中的目標 IP地址轉換成主機 IP 地址。

ScreenOS 不支持同時將基于策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全設備會在應用了基于策略的 NAT-dst 的任何信息流上應用MIP 或 VIP。換言之，如果安全設備偶然將 MIP 和 VIP 應用于同一信息流，則MIP 和 VIP 將禁用基于策略的 NAT-dst。感覺是MIP，VIP優先級高于基于策略的NAT-DST。

雖然 MIP 和 VIP 的地址轉換機制是雙向的，但基于策略的 NAT-src 和 NAT-dst 能夠將入站和出站信息流的地址轉換分開，以提供較好的控制與安全性能?；诓呗缘?NAT-src 和 NAT-dst 各提供一種單一方法，加起來可以取代基于接口的 MIP 和 VIP 功能，而且超過了后者。這一點太重要了，也就是在Netscreen可以用基于策略的NAT-src，NAT-dst實現所有的NAT功能，而且安全性、靈活性、控制粒度都優于其他方法。

Comment:

1、個人從不讓接口工作在NAT模式，不論是trust, untrust zone,還是DMZ Zone的接口都工作在route mode。

2、對于轉換的IP地址，一定要檢查是否存在該IP的路由。

eg 把trust zone的一臺服務器 10.180.0.25 對外發布為 59.42.5x.6x, 除了配置相應的NAT策略外，還一定 要添加路由59.42.5x.6x/32

set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中嘗試用基于策略NAT-src,NAT-dst完成所有的NAT

第四篇：NAT教案

NAT基本知識及其配置、無線接入模塊、廣域網接入

引入：

通過講述網絡地址的用盡帶來的影響，如何解決網絡地址少的問題，將課堂引入到NAT知識上來，描述IPV6的相關信息，提高學生的積極性。

新授：

一、NAT基本知識

網絡地址轉換(NAT,Network Address Translation)屬接入廣域網(WAN)技術，是一種將私有（保留）地址轉化為合法IP地址的轉換技術，它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。概述：

NAT（Network Address Translation，網絡地址轉換）是將IP 數據包頭中的IP 地址轉換為另一個IP 地址的過程。在實際應用中，NAT 主要用于實現私有網絡訪問公共網絡的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。

說明：

私有 IP 地址是指內部網絡或主機的IP 地址，公有IP 地址是指在因特網上全球唯一的IP 地址。

RFC 1918 為私有網絡預留出了三個IP 地址塊，如下： A 類：10.0.0.0～10.255.255.255 B 類：172.16.0.0～172.31.255.255 C 類：192.168.0.0～192.168.255.255 上述三個范圍內的地址不會在因特網上被分配，因此可以不必向ISP 或注冊中心申請而在公司或企業內部自由使用。實現方式：

NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路復用OverLoad。

靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。

動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。

端口多路復用（Port address Translation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換（PAT，Port Address Translation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。實例：

在配置網絡地址轉換的過程之前，首先必須搞清楚內部接口和外部接口，以及在哪個外部接口上啟用NAT。通常情況下，連接到用戶內部網絡的接口是NAT內部接口，而連接到外部網絡（如Internet）的接口是NAT外部接口。1).靜態地址轉換的實現

假設內部局域網使用的lP地址段為192.168.0.1~192.168.0.254，路由器局域網端（即默認網關）的IP地址為192.168.0.1，子網掩碼為255.255.255.0。網絡分配的合法IP地址范圍為61.159.62.128~61.159.62.135，路由器在廣域網中的IP地址為61.159.62.129，子網掩碼為255.255.255.248可用于轉換的IP地址范圍為61.159.62.130~61.159.62.134。要求將內部網址192.168.0.2~192.168.0.6分別轉換為合法IP地址61.159.62.130~61.159.62.134。

第一步，設置外部端口。interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步，設置內部端口。interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步，在內部本地與外部合法地址之間建立靜態地址轉換。ip nat inside source static 內部本地地址 外部合法地址。2).動態地址轉換的實現

假設內部網絡使用的IP地址段為172.16.100.1~172.16.100.254,路由器局域網端口（即默認網關）的IP地址為172.16.100.1，子網掩碼為255.255.255.0。網絡分配的合法IP地址范圍為61.159.62.128~61.159.62.191，路由器在廣域網中的IP地址為61.159.62.129，子網掩碼為255.255.255.192，可用于轉換的IP地址范圍為61.159.62.130~61.159.62.190。要求將內部網址172.16.100.1~172.16.100.254動態轉換為合法IP地址61.159.62.130~61.159.62.190。

第一步，設置外部端口。

設置外部端口命令的語法如下： ip nat outside 第二步，設置內部端口。

設置內部接口命令的語法如下： ip nat inside 第三步，定義合法IP地址池。

定義合法IP地址池命令的語法如下：

ip nat pool 地址池名稱起始IP地址 終止IP地址子網掩碼 其中，地址池名字可以任意設定。

第四步，定義內部網絡中允許訪問Internet的訪問列表。定義內部訪問列表命令的語法如下：

access-list 標號 permit 源地址通配符（其中，標號為1~99之間的整數）

access-list 1 permit 172.16.100.0 0.0.0.255 //允許訪問Internet的網段為172.16.100.0~172.16.100.255，反掩碼為0.0.0.255。需要注意的是，在這里采用的是反掩碼，而非子網掩碼。反掩碼與子網掩碼的關系為：反掩碼+子網掩碼=255.255.255.255。例如，子網掩碼為255.255.0.0，則反掩碼為0.0.255.255；子網掩碼為255.0.0.0，則反掩碼為0.255.255.255；子網掩碼為255.252.0.0，則反掩碼為0.3.255.255；子網掩碼為255.255.255.192，則反掩碼為0.0.0.63。

另外，如果想將多個IP地址段轉換為合法IP地址，可以添加多個訪問列表。例如，當欲將172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255轉換為合法IP地址時，應當添加下述命令：

access-list2 permit 172.16.98.0 0.0.0.255 access-list3 permit 172.16.99.0 0.0.0.255 第五步，實現網絡地址轉換。

在全局設置模式下，將第四步由access-list指定的內部本地地址列表與第三步指定的合法IP地址池進行地址轉換。命令語法如下：

ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 3).端口復用動態地址轉換（PAT)內部網絡使用的IP地址段為10.100.100.1~10.100.100.254，路由器局域網端口（即默認網關）的IP地址為10.100.100.1，子網掩碼為255.255.255.0。網絡分配的合法IP地址范圍為202.99.160.0~202.99.160.3，路由器廣域網中的IP地址為202.99.160.1，子網掩碼為255.255.255.252，可用于轉換的IP地址為202.99.160.2。要求將內部網址10.100.100.1~10.100.100.254 轉換為合法IP地址202.99.160.2。

第一步，設置外部端口。interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步，設置內部端口。interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步，定義合法IP地址池。

ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址緩沖池的名稱為onlyone,IP地址范圍為202.99.160.2，子網掩碼為255.255.255.252。由于本例只有一個IP地址可用，所以，起始IP地址與終止IP地址均為202.99.160.2。如果有多個IP地址，則應當分別鍵入起止的IP地址。

第四步，定義內部訪問列表。

access-list 1 permit 10.100.100.0 0.0.0.255 允許訪問Internetr的網段為10.100.100.0~10.100.100.255，子網掩碼為255.255.255.0。需要注意的是，在這里子網掩碼的順序跟平常所寫的順序相反，即0.0.0.255。

第五步，設置復用動態地址轉換。

在全局設置模式下，設置在內部的本地地址與內部合法IP地址間建立復用動態地址轉換。命令語法如下：

ip nat inside source list訪問列表號pool內部合法地址池名字overload 操作實例：

二、無線接入技術

無線接入技術RIT（radio interface technologies）無線接入技術（也稱空中接口）是無線通信的關鍵問題。它是指通過無線介質將用戶終端與網絡節點連接起來，以實現用戶與網絡間的信息傳遞。無線信道傳輸的信號應遵循一定的協議，這些協議即構成無線接入技術的主要內容。無線接入技術與有線接入技術的一個重要區別在于可以向用戶提供移動接入業務。無線接入網是指部分或全部采用無線電波這一傳輸媒質連接用戶與交換中心的一種接入技術。在通信網中，無線接入系統的定位：是本地通信網的一部分，是本地有線通信網的延伸、補充和臨時應急系統。組成：

典型的無線接入系統主要由控制器、操作維護中心、基站、固定用戶單元和移動終端等幾個部分組成。各部分所完成的功能如下。

控制器

控制器通過其提供的與交換機、基站和操作維護中心的接口與這些功能實體相連接。控制器的主要功能是處理用戶的呼叫（包括呼叫建立、拆線等）、對基站進行管理，通過基站進行無線信道控制、基站監測和對固定用戶單元及移動終端進行監視和管理。

操作維護中心

操作維護中心負責整個無線接入系統的操作和維護，其主要功能是對整個系統進行配置管理，對各個網絡單元的軟件及各種配置數據進行操作：在系統運轉過程中對系統的各個部分進行監測和數據采集；對系統運行中出現的故障進行記錄并告警。除此之外，還可以對系統的性能進行測試。

基站

基站通過無線收發信機提供與固定終接設備和移動終端之間的無線信道，并通過無線信道完成話音呼叫和數據的傳遞。控制器通過基站對無線信道進行管理。基站與固定終接設備和移動終端之間的無線接口可以使用不同技術，并決定整個系統的特點，包括所使用的無線頻率及其一定的適用范圍。

固定終接設備

固定終接設備為用戶提供電話、傳真、數據調制解調器等用戶終端的標準接口——Z接

口。它與基站通過無線接口相接。并向終端用戶透明地傳送交換機所能提供的業務和功能。固定終接設備可以采用定向天線或無方向性天線，采用定向天線直接指向基站方向可以提高無線接口中信號的傳輸質量、增加基站的覆蓋范圍。根據所能連接的用戶終端數量的多少；固定終接設備可分為單用戶單元和多用戶單元。單用戶單元（SSU）只能連接一個用戶終端；適用于用戶密度低、用戶之間距離較遠的情況；多用戶單元則可以支持多個用戶終端，一般較常見的有支持4個、8個、16個和32個用戶的多用戶單元，多用戶單元在用戶之間距離很近的情況下（比如一個樓上的用戶）比較經濟。

移動終端

移動終端從功能上可以看作是將固定終接設備和用戶終端合并構成的一個物理實體。由于它具備一定的移動性，因此支持移動終端的無線接入系統除了應具備固定無線接入系統所具有的功能外，還要具備一定的移動性管理等蜂窩移動通信系統所具有的功能。如果在價格上有所突破，移動終端會更受用戶及運營商的歡迎。

三、無線接入系統的接口 無線接入系統中的各個功能實體通過一系列接口相互連接，并通過標準的接口與本地交換機和用戶終端相互連接。在無線接入系統中最重要的兩個接口是控制器與交換機之間的接口和基站與固定終接設備之間的無線接口。除此之外，無線接入系統所包含的接口還有控制器與基站之間的接口、控制器與網管中心之間的接口以及固定終接設備與用戶終端之間的接口。技術類型：

無線接入系統可分以下幾種技術類型: 模擬調頻技術

工作在470MHz頻率以下,通過FDMA方式實現,因載頻帶寬小于25KHz,其用戶容量小,僅可提供話音通信或傳真等低速率數據通信業務,適用于用戶稀少、業務量低的農村地區。在超短波頻率已大量使用的情況下,在超短波頻段給無線接入技術規劃專用的頻率資源不會很多。因此,無線接入系統在與其他固定、移動無線電業務互不干擾的前提下可共用相同頻率。

數字直接擴頻技術

工作在1700MHz頻率以上,寬帶載波可提供話音通信或高速率、圖像通信等業務,其具有通信范圍廣、處理業務量大的特點,可滿足城市和農村地區的基本需求。

數字無繩電話技術

可提供話音通信或中速率數據通信等業務。歐洲的DECT、日本的PHS等技術體制和采用PHS體制的UT斯達康的小靈通等系統用途比較靈活,既可用于公眾網無線接入系統,也可用于專用網無線接入系統。最適宜建筑物內部或單位區域內的專用無線接入系統。也適宜公眾通信運營企業在用戶變換頻繁、業務量高的展覽中心、證券交易場所、集貿市場組建小區域無線接入系統,或在小海島上組建公眾無線接入系統。

蜂窩通信技術

利用模擬蜂窩移動通信技術,如TACS、AMPS等技術體制和數字蜂窩移動通信技術?如GSM、DAMPS、IS-95CDMA和正在討論的第3代無線傳輸技術等技術體制組建無線接入系統,但不具備漫游功能。這類技術適用于高業務量的城市地區。通訊技術 無線接入 調頻技術

三、廣域網接入技術

目前可供接入廣域網的方式有十種，即：PSTN、ISDN、ADSL、VDSL、DDN、Cable-Modem、LAN、PON、LMDS和 PLC。簡介如下： PSTN（撥號上網）

PSTN（公用電話交換網）通過普通電話線“-撥號接入”上網。最高速率為56kbps，實際速率為20－50kbps，其速率遠遠不能滿足多媒體信息傳輸需求，但方便，只要能打電話，再加上MODEM（調制解調器）即可。不足之處是在上網時不能撥打電話。ISDN（一線通）、ISDN（綜合業務數字網）在上網時可任意撥打電話。普通Modem撥號需要等待１到５分鐘才能接入，ISDN只需要１至３秒鐘就可實現接入，速度可達56－128kbps。窄帶ISDN也不能滿足高質量的VOD等寬帶應用。使用ISDN需要專用終端設備。

ADSL

ADSL（非對稱數字用戶環路）是一種通過普通電話線路提供寬帶數據業務的技術。它支持上行640kbps－1Mbps與下行1Mbps－8Mbps的速率，其有效傳輸距離為３－５公里。

ADSL無需撥號，始終在線，用戶到機房是專線，局端出口是共享方式。ADSL接入需要網卡或USB接口和ADSL MODEM。VDSL

VDSL（甚高速數字用戶環路），它是ADSL的快速版，其短距離內的最大下載速率可達55Mbps，上傳速率可達2.3Mbps。DDN

DDN（數字數據網），進網速率最高可達2M，接入方式一般為專線。

DDN專線向用戶提供永久性的數據連接，沿途不進行復雜的軟件處理，因此延時較短，避免了傳統分組網中傳輸協議復雜等缺點。DDN專線接入采用交叉連接裝置，可根據用戶需要，在約定的時間內接通。

有線寬帶網

Cable-Modem（線纜調制解調器）是一種超高速Modem，它利用現成的有線電視網進行數據傳輸。它有對稱速率型和非對稱速率型兩種連接方式，前者上傳和下載速率相同，在500kbps－2Mbps之間，后者上傳速率在500kbps－10Mbps之間，下載速率為2Mbps－10Mbps。由于采用共享結構，隨著用戶的增加，接入速度會有所下降。有線寬帶網需租用電信運營商的互聯網出口。LAN（小區寬帶）

LAN方式介入是利用以太網技術，采用光纜加雙絞線的方式對社區進行綜合布線，形成局域網，用戶的電腦通過網線與網卡相連，實現上網。LAN可提供10M以上的共享帶寬。

PON（無源光網絡）

PON是一種點對點的光纖傳輸和接入技術，在此網中不含有任何電子器件及電子電源，全部由光分路器等無源器件組成。PON每個用戶使用的帶寬可從66kbps到155Mbps間靈活劃分。LMDS（無線接入寬帶）

LMDS（本地多點分配接入系統）是目前可用于社區寬帶接入的一種無線接入技術。每個終端用戶帶寬可達25Mbps，總入量為600Mbps。每基站下的用戶共享帶寬。

PLC（電力線上網）

PLC（電力通訊技術）是利用電力線傳輸數據和語音信號的一種通訊方式，需要上網時，通過連接在電腦上的“電力貓”，再與電源插座連接即可。多數電力線網采用寬帶共享，可實現14Mbps或45Mbps的傳輸率。

小結：

通過本次課程的學習，學生能掌握NAT的相關配置，熟悉當前無線接入技術方案，形成統一的廣域網接入方案。

作業：

通過繪制簡單網絡拓撲，在其中進行NAT配置，實現NAT網絡地址轉換功能。

第五篇：Internet接入(NAT)實驗報告

Internet 接入（NAT））

實 驗 報告 告 實驗室名稱：

成績：

姓名

學號

班級

試驗臺號

試驗組號

實驗日期

實驗名稱 實驗六 Internet 的接入（NAT）和代理服務器 實驗目的 1.了解代理服務器的主要功能和工作原理 2.了解 NAT 概念 3.掌握 Wingate 的安裝、配置和使用方法 4.在 win2000server 下配置 NAT

實驗原理

1.服務器 TCP/IP 設置 實現與 Intemet 的通信，使用合法的 IP 地址、DNS 和網關 地 址 值。

另 一 塊網 卡 復 雜對 內 連 接，IP 地址 設 為192.168.44.2，子 網 掩 碼 設 為 255.255.255.0，網 卡 為 ：192.168.44.1。

2.路由和遠程訪問

對 window firewall 禁用

進入路由和遠程訪問服務器安裝向導

實

驗

步

驟

設置 NAT/基本防護墻

設置完畢 本機 IP 192.168.44.2 Ping 210.22.16.5

可以 ping 通。

根據實驗三新建網站 通過 210.22.16.5 主機訪問

成功！

實驗結果與體會

通過本次實驗學會了借助 NAT 接入 Internet，隨著計算機數量的不斷增加，IP 地址資源顯得捉襟見肘，借助 NAT，私有地址合法化，使用少量 IP地址，就可以讓局域網的主機與 Internet 通信。這次實驗也結合了之前實驗3 建站的知識。