在Cisco环境中，配置NAT以实现IP地址的节约使用。

网络地址转换（NAT）的目的就是保护IP地址的隐私性。 这使得私有IP网络能够使用未注册的IP地址来连接到互联网。 在数据包被路由到另一个网络之前，NAT充当着路由器的角色，它将两个网络连接起来。同时，NAT还会将内部网络中使用的私有地址（这些地址并非全局唯一的地址）转换为合法的地址。 作为该功能的一部分，NAT可以设置为仅向外部世界展示整个网络中的一个地址。 通过将整个内部网络隐藏在一个地址之后，可以大大提高安全性。 在需要远程访问的场景中，NAT经常被使用。因为它能够同时实现安全性和地址节约的双重好处。

NAT配置的要求：

• 访问列表：在开始任何配置操作之前，必须先配置所有与所提供的配置任务相关的访问列表。
• NAT的先决条件：在您的网络上进行NAT配置之前，请确保您了解哪些接口被设置为用于NAT功能，以及这些接口的具体用途。

以下这些前提条件将有助于您确定如何配置和运行NAT功能：

• 用户们通过各种界面与系统进行交互。
• 互联网可以通过多种方式进行访问。

NAT配置目的：

• 允许内部用户访问互联网。
• 允许内部设备（如邮件服务器）访问互联网。
• 允许重叠的网络之间相互通信。
• 允许具有不同地址方案的网络之间进行通信。
• TCP流量会被重定向到另一个TCP端口或地址上。
• 在网络迁移过程中，应该使用 NAT 技术。

NAT的工作原理：

本质上，NAT使得单个设备（如路由器）能够作为本地网络与互联网（或公共网络）之间的中介来发挥作用。 因此，只需要一个独特的IP地址，就可以向网络之外的所有人表示出一组机器。 传统的NAT方式需要至少创建两个路由器接口：一个用于外部NAT，另一个用于内部NAT。此外，还需要配置相应的规则，以将数据包头部中的IP地址进行转换（如果需要的话，还可以将数据包的有效载荷也进行转换）。 为了配置 NAT 虚拟接口，至少需要一个接口启用了 NAT 功能，并且该接口的规则与上述要求一致。

NAT的类型：

当在路由器上使用NAT功能时，通常只有两个网络会被连接在一起。 在数据包被发送到其他网络之前，内部网络中的私有地址会先通过NAT转换成为公共地址。 您可以选择利用这一功能来设置NAT，这样整个网络就只能向外部世界展示一个地址而已。 通过进行这种翻译，NAT能够有效地将内部网络与外部世界隔离开来，从而增强系统的安全性。 NAT可以有以下几种形式：

• 通过静态地址转换技术，可以在本地地址和全球地址之间进行一对一的映射。
• 未注册的IP地址可以通过动态地址转换技术，从已注册的IP地址池中转换为已注册的IP地址。
• 这种技术利用不同的端口来将多个未注册的IP地址映射到同一个已注册的IP地址上。这种技术也被称为“端口地址转换”（PAT）。一个全球唯一的IP地址就可以被用来为数千个用户提供互联网连接服务。

外部地址与内部地址：

在网络地址转换（NAT）的上下文中，由某个需要被翻译的组织所控制的网络被称为“内部网络”。 当NAT被设置时，该网络中的主机所使用的地址会集中在一个特定的范围内（即本地地址空间）。 网络之外的用户将这些主机视为位于不同的区域中（即所谓的全球地址空间）。 同样地，那些被该 stub 网络所连接，但并未由任何组织进行管理的网络，也被称为“外部网络”。 此外，外部网络中的主机也可能被转换，因此它们既拥有本地地址，也拥有全局地址。 NAT使用以下定义：

• 在内部网络中，分配给某个主机的IP地址被称为“内部本地地址”。通常情况下，由网络信息中心或服务提供商提供的IP地址是不合法的。
• 内部全局地址：这是由网络接口控制器或服务提供商分配的有效IP地址。对于外部世界来说，这个地址相当于一个或多个内部本地IP地址。
• 外部主机在内部网络中所使用的IP地址，被称为“外部本地地址”。该地址是从可以内部路由的地址空间中分配出来的。不过，它并不一定是有效的地址。
• 在外部网络中，主机所有者为其分配的IP地址被称为“外部全球地址”。该地址是从网络空间中选取的，或者是一个可以被全球范围内路由的地址。

配置NAT的益处：

• 当企业必须利用现有的网络来访问互联网，但又面临IP地址耗尽的问题时，NAT可以帮助他们实现这一目标。
• 网站所使用的IP地址必须是在网络信息中心（NIC）中注册过的地址。如果同时存在或预计会有超过254个客户端，那么缺乏B类地址就会成为一个严重的问题。为了解决这些问题，Cisco IOS XE NAT可以将那些隐藏起来的内部地址转换为一组可访问的C类地址。
• 那些已经在内部网络中为用户注册了IP地址的网站，可能希望将这些地址在线上保密。这样做可以阻止黑客直接攻击客户。通过隐藏客户的地址，就能实现一定程度的安全保护。
• 局域网管理员完全有能力通过Cisco IOS XE的NAT功能来扩展A类地址的分配范围。A类地址的扩展所使用的资源来自互联网号码分配机构的预留资源池（参见RFC 1597）。这种扩展方式不会影响到局域网与互联网之间的地址分配情况。
• 通过使用Cisco IOS XE软件，可以选择性或动态地执行NAT功能。因此，网络管理员可以结合使用RFC 1597、RFC 1918以及已注册的地址来达成这一目标。NAT功能适用于各种设备，有助于节省IP地址资源并简化网络管理。此外，Cisco IOS XE的NAT功能还允许选择那些可以被NAT处理的内部主机。
• NAT能够在不需要对网络中的主机或设备进行任何修改的情况下进行配置，这是它的一个主要优势。不过，在其他一些设备上，需要对其进行相应的调整才能使用NAT功能。
• 在 Cisco IOS XE Denali 16.3版本中，增加了对NAT功能的多租户支持。对于虚拟路由与转发实例的配置修改，多租户支持并不会受到影响。也就是说，对一个虚拟路由与转发实例进行的配置修改，不会影响到网络中其他虚拟路由与转发实例之间的流量传输。
• NAT是一种功能，它使得一个组织的IP网络在对外展示时，看起来所使用的IP地址空间与实际使用的并不一致。 因此，NAT使得那些无法在全球范围内进行路由的组织能够将其地址转换为可在全球范围内进行路由的地址格式，从而连接到互联网。 对于那些需要更换服务提供商或自愿转换为无类域间路由（CIDR）地址块的企业来说，NAT还提供了一种简便的重新编号方法。 RFC 1631描述了网络地址转换（NAT）的相关技术。

NAT的用途：

以下这些情况可以受益于NAT技术：

• 如果您的任何主机都没有全球唯一的IP地址，那么请连接到互联网。 使用未注册IP地址的私有IP网络可以通过网络地址转换（NAT）技术来连接到互联网。 NAT是一种在设备上的配置，它位于一个 stub域（即内部网络）与公共网络（如互联网，即外部网络）之间的边界上。 在将数据包传输到外部网络之前，NAT会将内部本地地址转换为全局唯一的IP地址。 NAT只有在 stub 域中的少数主机同时需要与域外部进行通信时，才具有实际的使用价值。 在需要进行外部通信时，只有一小部分域的IP地址需要被转换为全球唯一的IP地址。 此外，一旦这些地址不再需要了，它们就可以再次被使用。
• 请更换内部地址。与其手动更新这些内部地址（这可能需要花费大量时间），不如使用NAT技术来转换这些地址。
• 对于TCP流量的基本负载分配来说，TCP负载分配功能使得可以将一个全局IP地址分配给多个本地IP地址。