网络地址转换（NAT）的类型

先决条件：网络地址转换（NAT）
网络地址转换（NAT）是一种将一个或多个本地IP地址转换为一个或多个全球IP地址的过程，反之亦然。这种技术旨在为本地主机提供互联网访问能力。NAT通常是通过路由器或防火墙来实现的。
网络地址转换功能正常工作。
通常，边界路由器被配置为进行NAT功能。也就是说，这种路由器有一个接口位于本地网络内，另一个接口则位于外部网络中。当数据包从本地网络传输到外部网络时，NAT会将该本地网络的私有IP地址转换为公共IP地址。而当数据包从外部网络返回到本地网络时，公共IP地址则会被重新转换为私有IP地址。
如果NAT的地址用完了，也就是说，配置好的地址池里没有剩余的地址了，那么这些数据包就会被丢弃。同时，还会向目标主机发送一个互联网控制消息协议（ICMP）消息，表示目标主机无法被访问。
NAT类型 – 
NAT共有三种类型：
静态NAT – 
在这种情况下，一个私有IP地址被映射到一个公共IP地址上。也就是说，私有IP地址被转换为公共IP地址。这种技术被用于Web托管领域。
配置 – 
 

这里有一个简单的网络拓扑结构。其中，PC的IP地址为192.168.1.1/24；路由器R1的IP地址为192.168.1.2/24，其接口为fa0/0；而服务器则具有IP地址为73.1.1.2/24。
现在，图中展示了本地内部以及全球范围内的配置情况。通过以下命令来配置静态NAT：IP NAT INNER SRC_STATIC_INNER_LOCAL_IP_ADDRESS INSER_GLOBAL_IP_ADDRESS。
 

R1(config)# ip nat inside source static 192.168.1.1 12.1.1.1 

现在，我们已经将路由器的内部接口配置为“IP NAT内部”，而外部接口则被配置为“IP NAT外部”。
 

R1(config)# int fa0/0R1(config-if)# ip nat inside R1(config)# int fa0/1R1(config-if)# ip nat outside 

2. 动态NAT – 
在这种NAT方式中，多个私有IP地址被映射到一组公共IP地址上。这种方式适用于那些在某一特定时间点上需要访问互联网的固定用户数量已知的情况。
配置 – 
 

有一台计算机的IP地址为192.168.1.1/24。路由器R1的IP地址为192.168.1.2/24，其接口fa0/0上的IP地址为12.1.1.1/24，而接口fa0/1上的IP地址为73.1.1.2/24。此外，还有一台服务器的IP地址为73.1.1.2/24。
现在，首先来配置访问列表：
 

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 

配置用于选择公共IP地址的NAT池。
 

R1(config)# ip nat pool pool1 12.1.1.1 12.1.1.3 netmask 255.255.255.0 

现在，让我们启用动态NAT功能吧：
 

R1(config)# ip nat inside source list 1 pool pool1

最后，我们还需要将路由器接口配置为“内部”或“外部”模式。
 

R1(config)# int fa0/0R1(config-if)# ip nat insideR1(config)# int fa0/1R1(config-if)# ip nat outside

3. 端口地址转换（PAT） – 
这种情况也被称为“NAT过载”。在这种情况下，许多本地（私有）IP地址可以被映射到一个单一的公共IP地址上。端口号则用于区分不同的流量，即确定哪些流量属于哪个IP地址。这种方式的优点在于成本较低，因为只需使用一个全球性的公共IP地址，就可以为数千名用户提供上网服务。
配置 – 
 

采用相同的拓扑结构，PC1的IP地址为192.168.1.1/24。路由器R1在接口fa0/0上的IP地址为192.168.1.2/24，在fa0/1接口上的IP地址为12.1.1.1/24。而服务器的IP地址为73.1.1.2/24。
现在，首先来配置访问列表：
 

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 

配置用于选择公共IP地址的NAT池。
 

R1(config)# ip nat pool pool1 12.1.1.1 12.1.1.1 netmask 255.255.255.0

请注意，nat池被缩减为仅一个IP地址。所使用的IP地址就是路由器的外部接口IP地址。如果你还有其他的IP地址，也可以将其使用起来。
现在，让我们启用动态NAT过载功能（PAT）：
 

R1(config)# ip nat inside source list 1 pool pool1 overload

或者，我们也可以使用其他方法。
 

R1(config)# ip nat inside source list 1 interface fastEthernet 0/1 overload

最后，我们还需要配置路由器接口，将其设置为“内部”或“外部”模式。
 

R1(config)# int fa0/0R1(config-if)# ip nat insideR1(config)# int fa0/1R1(config-if)# ip nat outside

NAT如何保护您：–

它能够隐藏网络中所有设备的IP地址，使这些设备对外看起来只有一个统一的IP地址。

这意味着，所有传入的信息包都必须由某个设备发起请求。如果某个恶意数据包不在预期接收的数据包列表中，那么该数据包就会被拒绝。

一些防火墙会使用白名单机制来阻止未经授权的出站流量。因此，如果你感染了恶意软件，你的防火墙就可以阻止该恶意软件与你的设备进行通信。