网络地址转换知识汇总
 
一：NAT概述
1：什么是NAT
地址转换(NAT)就是：路由器将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。 在计算机网络中，网络地址转换（Network Address Translation或简称NAT，也叫做网络掩蔽或者IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。
 
2：NAT的实现方式
NAT的实现方式有三种：
静态转换Static Nat
动态转换Dynamic Nat
端口多路复用OverLoad。
 
（1）静态转换
是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
 
（2）动态转换
是指将内部网络的私有IP地址转换为公用IP地址，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。
 
（3）端口多路复用(Port address Translation，PAT)
是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation)。采用端口多路复用方式，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。
 
 
3：NAT的术语与转换表
（1）内部局部IP地址
在内部网络中分配给主机的私有IP地址。该地址是从私有地址空间中分配的，或随机挑选的。
 
（2）内部全局Ip地址
一个合法的IP地址，对外代表一个或多个内部局部地址，该地址通常是从全球统一可寻址的地址空间中分配的，一般由运营商提供。
 
（3）外部全局IP地址
由其所有者给外部网络上的主机分配的IP地址，该地址通常也是从全球统一可寻址的地址空间中分配的。
 
（4）外部局部IP地址
外部主机表现在内部网络的IP地址，这一以地址是从内部可寻址的地址空间中分配的。
 
（5）简单转换条目
将一个IP地址映射到另一个IP地址的转换条目。
 
（6）扩展转换条目
映射IP地址和端口号到另一个IP地址和端口号的条目。
 
（7）公有IP地址
也叫全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。
 
（8）私有IP地址
也叫内部地址，属于非注册地址，专门为组织机构内部使用。因特网分配编号委员会（IANA）保留了3块IP地址做为私有IP地址：
10.0.0.0 ——— 10.255.255.255
172.16.0.0——— 172.16.255.255
192.168.0.0———192.168.255.255
 
（9）地址池
地址池是有一些外部地址（全球唯一的IP地址）组合而成，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换到达外部网络时，将会在地址池中选择某个IP地址作为数据包的源IP地址，这样可以有效的利用用户的外部地址，提高访问外部网络的能力。
 
 
二：NAT的特性
1：NAT的优点：
（1）节省合法的注册地址，
（2）在地址重叠时提供解决方案，
（3）提高连接到因特网的灵活性，
（4）在网络发生变化时避免重新编址。
 
2：NAT的缺点
（1）地址转换将增加交换延迟，
（2）导致无法进行端到端IP跟踪，
（3）导致有些应用程序无法正常运行。
 
 
三：NAT的故障处理
1：是否设置了ACL，阻塞了进行过NAT或者没有进行过NAT的流量，配置时要牢记与ACL相关的NAT操作。如果针对没有进行ACL的流量配置了ACL，而到达的流量实际上是进行了NAT的流量，这就导致流量被丢弃。
 
2：定义需要进行NAT的ACL时，漏掉了需要进行地址转换的网络，用来定义需要进行NAT操作的网络地址的ACL，应该包括所有需要进行NAT的网络。如果列表中缺少一个或很多个地址，都将导致无法对来自这些地址的流量进行NAT。
 
3：在NAT语句中漏掉了overload关键字。为了建立PAT，在NAT配置命令的最后，必须是用overload关键字。漏掉这个关键字，将会导致无法进行PAT，最终将会导致只有数目有限的主机可以访问公用网络或者互联网，而不是期望中的所有主机。
 
4：不对称路由导致NAT失败。当分组进入一个使用 ip nat inside 命令进行配置的接口时，以及离开使用 ip nat outside 命令配置的接口时，就会发生NAT。在有很多接口的路由器上，必须确保需要进行NAT流量进入路由器的所有接口都是用 ip nat inside 命令进行配置的，而这个流量离开的所有接口都是用 ip nat outside 命令配置的。否则，流量在经过没有使用正确的NAT命令配置的接口时，无法进行NAT。
 
5：NAT地址池和静态NAT表项中有重叠地址。确保NAT地址池中的 ip 地址也不能用于静态NAT，这是很重要的，否则将会导致间断性的NAT失败。如果将广播地址配置到NAT地址池中，也会出现间断性的NAT失败。    
 
6：inside和outside接口配置错误，也会造成NAT失败。
 
 
 
 案例附上
本文标题：网络地址转换知识汇总
本文作者：小皮
本文来自：蚁安黑客官网
转载请注明本文链接:http://www.mayidui.net/t3116.html