广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

经常听身边的网管朋友谈论nat技术，那么什么时候用到nat技术呢？主要有两方面，第一是公网ip地址不够用，当企业只租用到了数量有限的公网ip时，不可能为内部每台计算机都分配一个公网ip，如何解决ip地址不够用的问题呢？

　　这时就可以采用nat技术，多个内部计算机在访问internet时使用同一个公网ip地址；第二是当公司希望对内部计算机进行有效的安全保护时可以采用nat技术，内部网络中的所有计算机上网时受到路由器或服务器（防火墙）的保护，黑客与病毒的攻击被阻挡在网络出口设备上，大大提高了内部计算机的安全性。

一、nat服务器篇：

　　接下来笔者将带领大家一步步在windows 2003 server服务器上配置并启用nat功能。

　　1.具体网络环境：

　　电信的adsl，交换机一个，服务器一台，客户机若干，网线已经做好，所有机器上用的都是windows2000或是xp。

　　2.配置服务器nat地址转换

　　第一步：启动“路由和远程访问”，通过“开始->程序->管理工具->路由和远程访问”，默认状态下，将本地计算机列出为服务器。如果要添加其他服务器，请在控制台目录树中，右键单击“服务器状态”，然后单击“添加服务器”。

　　第二步：右击要启用的服务器（这里是本地服务器），然后单击“配置并启用路由和远程访问”，启动配置向导。

　　第三步：出现欢迎页面后单击下一步。出现选择服务器角色设置页面，选择“网络地址转换（nat）”，接着单击下一步。

　　第四步：在internet连接页面中选择“使用internet连接”，在下面的internet列表中选项“外网连接”，我们将让客户机通过这条连接访问internet，界面如下图。单击下一步继续。

　　小提示：这一点非常重要，一定不能把内网与外网的接口选择错误，否则配置的nat就无法生效，因此我们在上面将本地连接的名称进行了修改，这里就显得一目了然了。

　　接下来将出现是否启用基本名称和地址启用服务对话框，如果你没有dhcp和dns服务器就可以选择启用，单击下一步。完成向导后系统将启动路由和远程访问功能并完成初始化工作。

　　配置静态路由，通过路由和远程访问窗口的“服务器->ip路由选择->静态路由”。右击“静态路由”，选择“新建静态路由”。弹出“静态路由”配置对话框，在接口处选择“外网连接”，目标与子网掩码均填写“0.0.0.0”，跃点数填写“1”。“确定”退出。

　　小提示：当目标与子网掩码都填写0.0.0.0时候表示这条静态路由是默认路由，任何到外网的数据包都通过外网接口传输。

　　3.测试配置结果

　　首先用随便一个客户机ping nat服务器本地地址，即ping 192.168.1.254。接着用客户机ping nat服务器本地地址对端地址，即通过adsl动态获取的ip地址。（这个地址是公网地址）最后用服务器ping客户机，如：ping 192.168.1.2。

　　当上述ping均成功连通的话说明我们的nat设置成功，内部网络的计算机都已经被服务器所保护，而且当他们与internet上的数据进行传输时使用的ip地址也是服务器通过adsl拨号获得的ip地址。

　　总结：
　　nat得到了广大中小企业的青睐，一台服务器可以轻松的配置成nat服务器，当然前提是必须安装两个网卡。配置了nat的网络在安全性和可靠性方面大大提高。不过nat也存在着缺点，那就是在一定程度上由于数据包要经过一个地址转换的过程，所以传输速度上 会受到影响。

二、一步步教你配置nat（华为3com篇）

　　上一篇我们讲解了如何使用windows操作系统建立nat（一步步教你配置nat服务器篇），成功的将内网计算机隐藏在nat服务器之下，一方面提高了网络的安全性，另一方面解决了公网络ip地址不够用的问题。我们还可以通过在路由器上做配置，让路由器在路由数据包的同时起到nat的作用。今天就将详细配置指令教给大家。

　　1.网络环境：

　　内网用户ip地址为10.83.91.0/255.255.254.0，也就是说ip地址为两个c类地址，涵盖范围为10.83.91.0到10.83.92.255。路由器使用的是华为公司出品的2621产品，该产品有两个以太网口供我们使用。网口一连接外网，ip地址为公网地址；网口二连接内 网，ip地址为私网地址。

　　2.配置过程：

　　公司希望在路由器上配置nat功能，让内网中的用户使用nat访问外网。2621路由器上已经配置了外网接口ip为61.51.3.103(公网ip地址），内网接口ip地址为10.83.91.254。nat配置命令如下，笔者将一一做详细注释。

　　“acl 1”

　　命令解释：设置一个访问控制列表，列表号为1。

　　“rule normal permit source 10.83.91.254 0.0.1.255”

　　命令解释：为访问控制列表添加规则，容许10.83.91.254/255.255.254.0这个网段的所有地址通过。注意一点的是命令中使用的是0.0.1.255这样的反向掩码形式，实际上他代表子网掩码为255.255.254.0。

　　“nat outbound 1 interface”

　　命令解释：在nat出口接口上进行设置，即外网接口，启用nat功能。容许nat的主机为访问控制列表1中规定的地址。

　　小提示：华为路由器启用nat功能时使用了一种称作easyip的技术，可以让内网ip映射为路由器的外网接口ip地址，从而让多个内网ip地址对应一个公网ip，这个技术可以在数量上节省一个公网ip地址。

　　3.附属功能：

　　有的公司可能有专门的www服务器或mail服务器，对于这些服务器来说不能使用nat进行映射，因为nat后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问www和mail服务器的。这时可以在路由器上使用nat server命令解决这个问题，对主机进行宣告。例如上面的公司如果其www服务器的ip地址内网是10.83.91.2，公网发布地址为61.51.3.104的话，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。

　　总结：

　　笔者在公司的2621上配置了nat后网络运行非常稳定，不过配置时要注意以下几点，一是设置访问控制列表时一定要设置相应的规则，如果acl是空或者规则采用permit any都会造成nat的失效，因为路由器将不知道哪个接口为nat外网接口，哪个是内网接口。

三、一步步教你配置nat（思科路由器篇）

　　上篇我们介绍了如何在华为路由器2621上配置nat，今天给大家简单介绍下在cisco路由器上设置nat功能的命令，理论方面是一样的，只是在具体命令上有所区别。

　　1.网络环境：

　　内网用户ip地址为10.83.91.0/255.255.255.0，路由器使用的是cisco公司出品的2600产品，该产品有两个以太网口供我们使用。网口一连接外网，ip地址为公网地址；网口二连接内网，ip地址为私网地址。

　　2.配置过程：

　　公司希望在路由器上配置nat功能，让内网中的用户使用nat访问外网。2600系列路由器上已经配置了外网接口ip为61.51.3.103(公网ip地址），内网接口ip地址为10.83.91.254。nat配置命令如下，笔者将一一做详细注释。

　　ip nat pool xxzx 61.51.3.103 61.51.3.103 netmask 255.255.255.252

　　定义一个外网地址池名为xxzx，头一个ip为地址池起始地址，后一个ip为地址池的终止地址。如果公网ip地址不够用的话，可以都用同一个ip地址。netmask后是子网掩码。

　　access-list 1 permit 10.83.91.0 0.0.1.255

　　定义容许nat的网段，同样采用反向掩码进行描述，0.0.1.255代表的子网掩码255.255.255.0。

　　ip nat inside source list 1 pool xxzx overload

　　启用nat，容许nat的地址为acl 1中定义的，而转换后使用的ip地址为xxzx地址池中定义的，最后的overload表示所有内网计算机都使用同一个外网ip地址，多台机器复用一个ip。然后进入内网接口输入ip nat inside进入外网接口输入ip nat outside命令。经过上面五步命令就完成了全部的nat配置工作。

　　3.附属功能：

　　有的公司可能有专门的www服务器或mail服务器，对于这些服务器来说不能使用nat进行映射，因为nat后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问www和mail服务器的。这时可以在路由器上对主机进行宣告。例如上面的公司如果其 www服务器的ip地址内网是10.83.91.2，公网发布地址为61.51.3.104的话，可以使用如下命令宣告：ip nat inside source static 61.51.3.104 10.83.91.2

（）