1、静态NAT 把私有地址和合法地址作一对一地转换。
192.168.1.1 E0 192.168.1.2 配置命令：
200.10.1.5 S0 200.10.1.6
Router(config)# ip nat inside source static 内部地址 外部地址 另外，还需要把E0口指定为NAT内部接口，S0口指定为NAT外部接口。
将多个合法IP地址构成一个NAT池，使用复用技术映射其中的地址，每个 地址有可以对应多台主机，各主机用端口进行区分。
复用NAT池是NAT池和PAT技术的结合，可用于大规模的局域网。
说明：在端口复用技术中，用端口区分的不是一台主机，而是一个网络 连接（会话），当一台主机同时建立了多个会话时，它的每个会话会占 用一个端口映射。假如一台路由器支持4000个会话，那么它支持的主机 数量会远少于4000台。
5、TCP负载均衡：
如果一个服务器的访问量非常大，我们通常会建立多台映像服 务器对访问进行分流。从外部来看，这些服务器的IP地址相同，NAT 设备会把多个对服务器的访问映射到不同的服务器上，实现负载均 衡。
192.168.1.1 S0:200.1.1.1/24 192.168.1.2
TCP负载均衡与其它NAT的主要区别在于，它是把来自外网的同 一合法IP地址翻译成不同的内网IP地址。
192.168.1.2
经过路由器后的包 源IP= 203.51.23.55 目的IP= 192.168.1.2
转换
静态转换
5
10.1.1.2
DA
10.1.1.1
SA
193.108.2.2
3
Internet
DA 193.108.2.2
4
NAT
10.1.1.1
SA 10.1.1.1
1
2
NAT转换表
172.20.7.3 外部主机B
10.1.1.1
SA
10.1.1.1
NAT转换类型
1、静态NAT： 将内部地址和外部地址进行一对一的转换。这种方法要求申请到的 合法IP地址足够多，可以与内部IP地址一一对应。
静态NAT一般用于那些需要固定的合法IP地址的主机，比如Web服务 器、FTP服务器、E-mail服务器等。
192.168.1.1 200.10.1.5
61.159.62.131
NAT转换表 内部用全局IP地址 61.159.62.131 外部用全局IP地址 155.34.2.3
TCP
192.168.100.3
61.159.62.132
155.34.2.3
2、NAT池（动态NAT）：
将多个合法IP地址统一的组织起来，构成一个IP地址池，当有主机需要 访问外网时，就分配一个合法IP地址与内部地址进行转换，当主机用完 后，就归还该地址。 对于NAT池，如果同时联网用户太多，可能出现地址耗尽的问题。
200.1.25.6
私有地址
注册地址
局域网专用IP地址 局域网专用IP地址是Internet特别划分出来的，它们不会 注册给任何组织。
IP地址范围 10.0.0.0~10.255.255.255 172.16.0.0~172.31.255.255 192.168.0.0~192.168.255.255 网络类型 网络个数 A B C 1 16 256
192.168.1.1 S0:200.1.1.1/24 192.168.1.2
DA 10.1.1.2 10.1.1.3 NAT 10.1.1.1 10.1.1.2 SA 10.1.1.2 协议 TCP 内部用局部IP地址 10.1.1.2:1028 SA Internet 61.159.62.130
2）设定被转换的地址范围： 被转换的地址范围使用标准访问控制列表进行定义。 比如：被转换的地址是形如192.168.*.*/24的地址，则 可定义：
Router 192.168.0.0 0.0.255.255
说明：这里定义的ACL不是用于数据过滤的，它只是用于 指定参与NAT转换的私有地址范围的。所以，我们不必把 它用在一个接口上。
协议
TCP
内部用局部IP地址 内部用全局IP地址 外部用全局IP地址
10.1.1.1
193.108.2.2
172.20.7.3:23
PAT 5 DA 10.1.1.1 10.1.1.2 NAT 2 1 NAT转换表 协议 TCP TCP 内部用局部IP地址 10.1.1.1:1492 10.1.1.2:1493 内部用全局IP地址 193.108.2.2:1492 193.108.2.2:1493 外部用全局IP地址 172.20.7.3:23 172.20.7.3:80 Internet 172.20.7.3 外部主机B SA 193.108.2.2 3 DA 193.108.2.2 4
4）指定NAT转换的入口和出口：
Router(config)# interface 内部接口
Router(config-if)# ip nat inside Router(config)# interface 外部接口 Router(config-if)# ip nat outside 说明：每种NAT都需要指定内部接口和外部接口。
1）建立IP地址池 Router(config)# ip nat pool 地址池名字 起始IP 结 束IP netmask 子网掩码 例：建立一个地址范围为200.1.1.1~200.1.1.10/24 的IP地址池。 Router(config)# ip nat pool P1 200.1.1.1 200.1.1.10 netmask 255.255.255.0 P1是地址池的名字。 说明：地址池中的地址应该是经过注册的合法IP地址。
R1(config)# interface f0/0
R1(config-if)# ip nat inside R1(config-if)# interface s0/0 R1(config-if)# ip nat outside
3、复用NAT池
当NAT池中的地址耗尽时，会导致后来的主机无法上网。所以当内 网的主机数超过NAT池中的地址数时，通常应配置成复用NAT池，这样 每个IP地址可对应多个会话，各个会话用端口号进行区分。 理论上讲，一个IP地址可以映射约65000个会话，但实际的路由器 往往只支持几千个会话（Cisco支持约4000个）。 在复用NAT池中，Cisco首先复用地址池中的第一个地址，达到能 力极限后，再复用第二个地址，依此类推。 复用NAT池的配置方法与NAT池的配置方法基本相同，只是： Router(config)# ip nat inside source list ACL表号 pool 地址池 名字 overload 在上面的命令中加上 overload 关键字表示使用端口复用技术。
192.168.1.1
192.168.1.2
200.10.1.5 200.10.1.6
NAT池
3、PAT（端口NAT）：
使用端口多路复用技术，将多个内部地址映射为一个合法地址，用不 同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。 路由器支持的PAT会话数是有限制的，所以使用PAT的局域网，其网络 的规模不应该太大。
192.168.1.2
200.10.1.6
1、静态NAT：
DA 192.168.100.2 192.168.100.3 NAT 192.168.100.1 192.168.100.2 SA 192.168.100.2 协议 TCP 内部用局部IP地址 192.168.100.2 SA Internet 155.34.2.3 61.159.62.130 DA 61.159.62.131
例： Router(config)# ip nat inside source static 192.168.1.1 200.10.1.5 Router(config)# ip nat inside source static 192.168.1.2 200.10.1.6 Router(config)# interface e0 Router(config-if)# ip nat inside
Router(config-if)# interface s0
Router(config-if)# ip nat outside
2、NAT池（动态NAT）
192.168.1.1
192.168.1.2
200.10.1.5
200.10.1.6
NAT池
主要工作：建立一个IP地址池。设定被转换的IP地址 范围。建立转换关系。设定转换的入口和出口。
NAT/NPAT技术
一、NAT概述
NAT是将一个IP地址转换为另一个IP地址的功能。
通常，一个局域网由于申请不到足够多的IP地址，或者 只是为了编址方便，在局域网内部采用私有IP地址为设备编 址，当设备访问外网时，再通过NAT将私有地址翻译为合法 地址。
NAT网关
Interne t
192.168.1.10
例：
R1 10.0.0.0/8 f0/0 s0/0
200.1.1.1-200.1.1.254/24
NAT池
内部网络地址为10.0.0.0/8，注册的IP地址是 200.1.1.1-200.1.1.254，用这些地址为内网的各个访 问提供NAT翻译。
R1(config)# ip nat pool ippool 200.1.1.1 200.1.1.254 netmask 255.255.255.0 R1(config)# access-list 30 permit 10.0.0.0 0.255.255.255 R1(config)# ip nat inside source list 30 pool ippool
R1是局域网和外网的边界路由器。局域网中使用私有IP地址进行编址。 如果在R1上启用RIP协议，则： R1(config)# router rip R1(config-router)# network 200.1.1.0 R1(config-router)# network 192.168.1.0 × 这里不应该在私有地址上启用路由，它会导致私有地址被外网路由器学 习到，扩大了它的有效范围。