分类: 系统运维
2011-10-20 10:22:08
NAT可以使使用非注册IP地址的私有IP网络连接到Internet。NAT服务工作在路由器上(同时可工作在三层交换机或防火墙上),通常用于连接两个网络,转换内部网络中的私有IP地址为合法的公网注册IP地址。NAT可以配置用来为整个内部网络使用单一地址与外部网络连接。这同时也带来了一种附加的安全增强,把整个内部网络隐藏在一个地址之后。此时路由器就相当于两个互联的网络间的代理,整个内部网络只需要一个全局地址就可以连接到任何外部网络。
NAT也应用在企业网络边缘,以允许内部用户访问Internet,和允许Internet用户访问内部网络设备,如邮件服务器。为了配置NAT,你需要配置至少一个路由器上的接口为NAT外部接口,其他接口为NAT内部接口,并配置一套数据包头中IP地址转换规则。为了配置NVI(Nat Virtual Interface,NAT虚拟接口),你需要至少在一个接口上启用NAT,以及一套转换规则。
总体来说,NAT主要可以用于以下三种情形:
n 无足够的公网IP地址可用时
当你想要连接到Internet,但你的网络中,并不是每个用户都有全局、合法的公网IP地址时,就可以使用NAT来解决。在连接内部网络和外部网络的边界路由器上配置NAT,在内部网络中多用户把数据包发送到外部网络之前把这些多个内部本地地址为一个或者少数几个内部全局地址。这是NAT的最基本功能。目前大多数路由器共享上网方式都是采用这种NAT应用方案的。
n 重构网络IP地址部署
在你需要改变你的内部地址时,你可以使用NAT来进行改变,这样可以节省许多工作量。例如你原来采用的是一个C类网段(如192.168.1.0),后来由于用户数增加,导致IP地址不够用。按照常理是你可能要重新采用B类,甚至A类网段IP地址为网络中的用户重新分配。这样一来,如果用户数较大,重新配置的工作量可能非常大。此时我们可以采用NAT方式,把新增加的用户单独用另一个网段的IP地地址(如192.168.2.0),然后再用一个支持NAT的设备与原来用户所在网段连接起来,通过NAT地址转换功能,只需要用一个原来网段的IP地址(如192.168.1.254)即可映射到新网段中所有用户的IP地址。这时新网段就相当于原来网段的一个设备,但可以实现两个网段处于同一网段的目的(因为新网段经过NAT地址转换后也为原来网段中的地址)。大大节省上重新配置的工作量。当然,这样做也存在一定的不便,对新网段中的用户管理存在一定难度,因为新网段中所有用户是共享一个原来网段IP地址的。
n 实现简单的TCP负载均衡
当你想要部署基本的TCP负载均衡时,你可以使用NAT把多个相同服务器的本地IP地址映射到一个全局IP地址,实现服务器的TCP负载均衡。这是NAT的TCP负载均衡功能。
本文摘自《路由器配置与管理完全手册(Cisco篇)试读样章》第五章
