NAT类型整理总结[小编推荐]_nat类型整理总结

NAT类型整理总结[小编推荐]由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“nat类型整理总结”。

NAT类型整理总结（以思科为例）

本文例子：

公网地址段：100.1.1.0/24 内网地址段：192.168.100.0/24

一、静态转换

IP地址的对应关系是一对一，且是不变的，借助静态转换能实现外部网络对内部网络中某些指定的访问，一个内网IP固定对应一个公网IP，常用于内网服务器允许公网访问的情况。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：ip nat inside source static 192.168.100.1 100.1.1.10

二、动态转换

IP地址的对应关系是N对N，且随机、不确定的，所有被授权访问的内网IP可随机转换为任何指定的合法的公网IP地址。公网IP地址池有几个IP，那么同一时间就只能有几台电脑可以访问公网，其他主机要上网必须等临时映射关系结束才能使用被释放的公网IP进行转换。一般用于公网IP地址充足，同时访问Internet的内网主机数少于公网地址池IP个数时使用。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：acce-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 netmask 255.255.255.0(定义地址池IP范围)

全局：ip nat inside source list 1 pool NatTest

三、端口多路复用PAT（常用）

IP地址的对应关系是多对一，通过改变外出数据包的源IP地址和源端口并进行端口转换，多台内网主机可共享一个公网IP地址实现互联网的访问，以随机分配的端口号区分。常用于只有一个公网IP的情况，配置时注意后缀overload关键字不能缺少。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：acce-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat inside source list 1 interface g0/0/1 overload（公网出接口）

四、动态 + 端口多路复用（常用）

IP地址的对应关系是N对M，与PAT类似，区别在于该类型有多个公网IP，内网主机随机选择其中一个公网IP，且每个公网IP允许多台内网主机同时使用，以随机分配的端口号区分。常用于有多个公网IP或双出口的情况。出接口配置 ip nat outside 入接口配置 ip nat inside 全局：acce-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 prefix-length 24 全局：ip nat inside source list 1 pool NatTest overload（公网地址池）

五、区域无关NAT 这个类型用得很少，相关资料也不多，以下介绍是从某博客复制过来的：

Domainle NAT就是说不再区分inside和outside，只是单纯地做NAT，没有用所谓的平衡点，进而两个方向NAT的处理HOOK点也不再基于平衡点对称，所有的NAT操作全部在PREROUTING上做，它用一个叫做NATVirtual Interface（NVI）的虚拟接口来实现，通过路由的方式将带有ipnat enable配置的接口进来的包全部导入这个虚拟接口NVI0中。然后用数据包的源地址和目标地址分别查询SNAT表和DNAT表，根据结果进行NAT操作，随后进入真正的路由查询，可见，不管方向，不管路由，只要数据包进入了一块带有ip natenable配置的物理网卡，就会先路由再NAT然后再路由（第一个路由只是匹配一下路由，而没有真正的路由行为，第二个路由则是真实的路由行为），不管是SNAT和DNAT都在这里进行。数据包在进入真正的路由查询前，NAT就已经完成了，在路由器看来，NAT操作被藏起来了，就好像数据包本来就是那个样子一样。当然Domainle的NAT也不再和任何其它操作关联，ACL，VPN感兴趣流匹配，policyrouting等都和NAT无关。

出接口配置 ip nat enable 入接口配置 ip nat enable 全局：acce-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat source list 1 interface g0/0/1 overload（注意source前没有inside）

查看NAT规则状态： show ip nat statistics rule 查看NAT转换记录： show ip nat translations

NAT与PAT的区别 ：

NAT（包括动态和静态）的地址转换是指每个内网地址都被转换成IP地址+源端口的方式，这需要公网IP地址为多个,即有多少个内网IP访问互联网就需要多少个公网IP转换，内外端口号一致。

PAT可以节省公网IP，公网IP地址不足时，就会出现内网地址被转换成IP地址+端口段的形式，即一个公网IP允许多个内网IP共同使用，以随机分配的端口号区分。

举例如下：

NAT：

192.168.100.1：4444----〉100.1.1.2：4444 192.168.100.2：5555----〉100.1.1.1：5555 192.168.100.3：1233----〉100.1.1.4：1233

PAT：

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.1：50005

动态 + 端口多路复用

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.2：50004 192.168.100.4：1233----〉100.1.1.2：50005

ip nat inside source与ip nat source的区别 ：

ip nat inside source ：数据包由inside接口向outside接口发包时，是先路由再NAT转换；而数据包由outside接口向inside接口发包时是先NAT转换再路由，数据包的发送方向不同，则处理过程也不同。

ip nat source ：做NAT转换时，在需要NAT转换接口上使用的命令为ip nat enable，数据包在由一个接口向另一个接口发包时，顺序是先路由再NAT然后再路由（第一个路由只是匹配一下路由，而没有真正的路由行为，第二个路由则是真实的路由行为），不管数据包从哪个接口发向哪个接口，处理过程都是一样的。