網絡地址轉換（NAT）

網絡地址轉換（NAT） 網絡地址轉換(NAT,Network Address Traslation)被普遍應用於各類類型Internet接入方式和備種類型的網絡中。緣由很簡單，NAT不只完美地解決了lP地址不足的問題，並且還可以有效地避免來自網絡外部的***，隱藏並保護網絡內部的計算機。雖然NAT能夠藉助於某些代理服務器未實現，但考慮到運算成本和網絡性能，不少時候都是在路由器上來實現的。關於NAT的考試在CISCO認證中，佔有很大一部分，下面咱們從下面幾個部分，由淺入深，帶領您認識NAT，掌握NAT,精通NAT。 1、網絡地址轉換概述 隨着接入Internet的計算機數量的不斷猛增，IP地址資源也就越發顯得捉襟見肘。事實上，除了中國教育和科研計算機網(CERNET)外，通常用戶幾乎申請不到整段的C類IP地址。在其餘ISP那裏，即便是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本沒法知足網絡用戶的需求，因而也就產生了NAT技術。 l.NAT簡介 藉助於NAT，私有(保留)地址的"內部"網絡經過路由器發送數據包時，私有地址被轉換成合法的IP地址，一個局域網只需使用少許IP地址(甚至是1個)便可實現私有地址網絡內全部計算機與Internet的通訊需求。 NAT將自動修改IP報文頭申的源IP地址和目的IP地址，IP地址校驗則在NAT處理過程當中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中，因此還須要同時對報文進行修改，以匹配IP頭中已經修改過的源IP地址................ 2、網絡地址轉換的實現 在配置網絡地址轉換的過程以前，首先必須搞清楚內部接口和外部接□，以及在哪一個外都接口上啓用NAT。一般狀況下，鏈接到用戶內部網絡的接口是NAT內部接口，而鏈接到外部網絡(如Internet)的接口是NAT外部接□................ 3、網絡地址轉換經典配置實例 示例一：所有采用端口複用地址轉換 當ISP分配的IP地址數量不多，網絡又沒有其餘特殊需求，即無需爲Internet提供網絡服務時，可採用端口利用地址轉換方式，使網絡內的計算機採用同一IP地址訪問Internet，在節約IP地址資源的同時，又可有效保護網絡內部的計算機。 網絡環境爲： 局域網採用10Mb/s光纖，以城域網方式接入Internet，如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲192.168.100.1~192.101.254，局域網端口Ethernet 0的IP地址爲192.168.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.99.160.128~202.99.160.131,鏈接ISP的端口Ethernet 1的IP地址爲202.99.160.129,子網掩碼爲255.255.255.252。可用於轉換的IP地址爲202.99.160.130。要求網絡內部的全部計算機都可訪問Internet................ 網絡地址轉換(NAT)概述 網絡地址轉換(NAT,Network Address Traslation)被普遍應用於各類類型Internet接入方式和備種類型的網絡中。緣由很簡單，NAT不只完美地解決了lP地址不足的問題，並且還可以有效地避免來自網絡外部的***，隱藏並保護網絡內部的計算機。 雖然NAT能夠藉助於某些代理服務器未實現，但考慮到運算成本和網絡性能，不少時候都是在路由器上來實現的。 隨着接入Internet的計算機數量的不斷猛增，IP地址資源也就越發顯得捉襟見肘。事實上，除了中國教育和科研計算機網(CERNET)外，通常用戶幾乎申請不到整段的C類IP地址。在其餘ISP那裏，即便是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本沒法知足網絡用戶的需求，因而也就產生了NAT技術。 l.NAT簡介 藉助於NAT，私有(保留)地址的"內部"網絡經過路由器發送數據包時，私有地址被轉換成合法的IP地址，一個局域網只需使用少許IP地址(甚至是1個)便可實現私有地址網絡內全部計算機與Internet的通訊需求。 NAT將自動修改IP報文頭申的源IP地址和目的IP地址，p地址校驗則在NAT處理過程當中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中，因此還須要同時對報文進行修改，以匹配IP頭中已經修改過的源IP地址。不然，在報文數據都分崩嵌入IP地址的應用程序就不能正常工做。使人遺憾的是，儘管NAT的Cisco版本能夠處理許多應用，但它畢竟也不是萬能的，一些應用仍是沒法被支持。表4一2一1列舉了Cisco NAT支持的和不支持的應用。 2.NAT實現方式 NAT的實現方式有三種，即靜態轉換、動態轉換相端口多路複用。 靜態轉換是指將內部網絡的私有IP地址轉換爲公IP地址時，IP地址對是一對--的，是一成不變的，某個私有IP地址只轉換爲某個公有IP地址。藉助於靜態轉換，局實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。 動態轉換是指將內部網絡的私有IP地址轉換爲公用IP地址時，IP地址對是不肯定的，而是隨機的，全部被受權訪問上ternet的私有IP地址可隨機轉換爲任何指定的合法IP地址。也就是說，只要指定哪些內部地址能夠進行轉換，以及用哪些合法地址做爲外部地址時，就能夠進行動態轉換。動態轉換可使用多個合法外部地址集。當ISP提供的合法IP地址略少於網絡內部的計算機數量時。能夠未用動態轉換的方式。 端口多路複用是指改變外出數據包的源端口並進行端口轉換，即端口地址轉換(FAT，Port Address Translation).採用端口多路複用方式。內部網絡的全部主機都可共享一個合法外部IP地址實現對Internet的訪問，從而能夠最大限度地節約IP地址資源。同時，又可隱藏網絡內部的全部主機，有效避兔來自internet的***"所以，目前網絡申應用最多的就是端口多路複用方式了。 網絡地址轉換(NAT)的實現 在配置網絡地址轉換的過程以前，首先必須搞清楚內部接口和外部接□，以及在哪一個外都接口上啓用NAT。一般狀況下，鏈接到用戶內部網絡的接口是NAT內部接口，而鏈接到外部網絡(如Internet)的接口是NAT外部接□。 1.靜態地址轉換的實現 假設內部局域網使用的lP地址段爲192.168.100.1~192.168.100.254，路由器局域網端□(即默認網關)的IP地址爲192.168.100•1，子網掩碼爲255.255.255.0。網絡分配的合法IP地址範圍爲61.159.62.128~61.159.62.135，路由器在廣域網中的IP地址爲61.159.62.129，子網掩碼爲255.255.255.248可用於轉換的IP地址範圍爲61.159.63.130~61.159.62.134。要求將內部網止192.168.100.2~192.168.100.6分別轉換爲合法IP地址61.159.62.130~61.159.62.134。 第一步，設置外部端口。 interface serial 0 ip address 61.159.62.129.255.255.255.248 ip nat outside 第二步，設置內部端口。 interface ethernet 0 ip address 192.168.100.1.255.255.0 ip nat inside 第三步，在內部本地與內部合法地址之間創建靜態地址轉換。 ip nat inside source static 內部本地地址內部合法地址 示例： ip nat inside source static 192.168.100.2 61.159.62.130//將內部網絡地址192.168.100.2轉換爲合法IP地址61.159.62.130 ip nat inside source static 192.168.100.3 61.159.62.131//將內部網絡地址192.168.100.3轉換爲合法IP地址61.159.62.131 ip nat inside source static 192.168.100.4 61.159.62.132//將內部網絡地址192.168.100.4轉換爲合法IP地址61.159.62.132 ip nat inside source static 192.168.100.5 61.159.62.133//將內部網絡地址192.168.100.5轉換爲合法IP地址61.159.62.133 ip nat inside source static 192.168.100.6 61.159.62.134//將內部網絡地址192.168.100.6轉換爲合法IP地址61.159.62.134 至此，靜態地址轉換配置完畢。 2.動態地址轉換的實現 假設內部網絡使用的IP地址段爲172.16.100.1~172.16.100.254,路由器局域網端口（即默認網關）的IP地址爲172.16.100.1,子網掩碼爲255.255.2585.0。網絡分配的合法IP地址範圍爲61.159.62.128~61.159.62.191，路由器在廣域網中的IP地址爲61.159.62.129,子網掩碼爲255.255.255.192,可用於轉換的IP地址範圍爲61.159.62.130~61.159.62.190。要求將內部網址172.16.100.1~172.16.100.254動態轉換爲合法IP地址61.159.62.130~61.159.62.190。 第一步，設置外部端口。 設置外部端口命令的語法以下： ip nat outside 示例： interface serial 0//進入串行端口serial 0 ip address 61.159.62.129 255.255.248//將其IP地址指定爲61.159.62.129,子網掩碼爲255.255.255.248 ip nat outside //將串行口serial 0設置爲外網端口 注意，能夠定義多個外部端口。 第二步，設置內部端口。 設置內部接口命令的語法以下： ip nat inside 示例： interface ethernet 0 //進入以太網端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 將其IP地址指定爲172.16.100.1,子網掩碼爲255.255.255.0 ip nat inside //將Ethernet 0 設置爲內網端口。 注意，能夠定義多個內部端口。 第三步，定義合法IP地址池。 定義合法IP地址池命令的語法以下： ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼 其中，地址池名字能夠任意設定。 示例： ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192//指明地址緩衝池的名稱爲net,IP地址範圍爲61.159.62.130~61.159.62.190,子網掩碼爲255.255.255.192。須要注意的是，即便掩碼爲255.255.255.0，也會由起始IP地址和終止IP地址對IP地址池進行限制。 或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 注意，若是有多個合法IP地址範圍，能夠分別添加。例如，若是還有一段合法IP地址範圍爲"211.82.216.1~211.82.216.254"，那麼，能夠再經過下述命令將其添加至緩衝池中。 ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0 或 ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24 第四步，定義內部網絡中容許訪問Internet的訪問列表。 定義內部訪問列表命令的語法以下： access-listl 標號 permit 源地址 通配符（其中，標號爲1~99之間的整數） access-listl permit 172.16.100.0 0.0.0.255 //容許訪問Internet的網段爲172.16.100.0~172.16.100.255，主機掩碼爲0.0.0.255。須要注意的是，在這裏採用的是主機掩碼，而非子網掩碼。子網掩碼與主機掩碼的關係爲：主機掩碼+子網掩碼=255.255.255.255。例如，子網掩碼爲255.255.0.0，則主機掩碼爲0.0.255.255；子網掩碼爲255.0.0.0,則主機掩碼爲0.255.255.255;子網掩碼爲255.252.0.0,則主機掩碼爲0.3.255.255;子網掩碼爲255.255.255.192，剛主機掩碼爲 0.0.0.63。 另外，若是想將多個IP地址段轉換爲合法IP地址，能夠添加多個訪問列表。例如，當欲將172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255轉換爲合法IP地址時，應當添加下述命令： access-list2 permit 172.16.98.0~0.0.0.255 access-list2 permit 172.16.99.0~0.0.0.255 第五步，實現網絡地址轉換。 在全局設置模式下，將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。命令語法以下： ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 示例： ip nat inside source list 1 pool chinanet 若是有多個內部訪問列表，能夠一一添加，以實現網絡地址轉換，如 ip nat insde source list 2 pool chinanet ip nat insde source list 2 pool chinanet 若是有多個地址池，也能夠一一添加，以增長合法地址池範圍，如 ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet 至此，動態地址轉換設置完畢。 3.端口複用動態地址轉換 內部網絡使用的IP地址段爲10.100.100.1~10.100.100.254,路由器局域網端口（即默認網關）的IP地址爲10.100.100.1，子網掩碼爲255.255.255.0。網絡分配的合法IP地址範圍爲202.99.160.0~202.99.160.3,路由器廣域網中的IP地址爲202.99.160.1,子網掩碼爲255.255.255.252，可用於轉換的IP地址爲202.99.160.2。要求將內部網址10.100.100.1~10.100.100.254 轉換爲合法IP地址202.99.160.2。 第一步，設置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 in nat outside 第二步，設置內部端口。 interface ethernet 0 ?ip address 1.100.100.1 255.255.255.0 ?ip nat inside 第三步，定義合法IP地址池。 in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址緩衝池的名稱爲onlyone,IP地址範圍爲202.99.160.2,子網掩碼爲255.255.255.252。因爲本例只有一個IP地址可用，因此，起始IP地址與終止IP地址均爲202.99.160.2。若是有多個IP地址，則應當分別鍵入起止的IP直址。 第四步，定義內部訪問列。 access-list 1 permit 10.100.100.0 0.0.0.255 容許訪問Internetr的網段爲10.100.100.0~10.100.100.255，子網掩碼爲255.255.255.0。須要注意的是，在這裏子網掩碼的順序跟日常所寫的順序相反，即0.255.255.255。 第五步，設置複用動態地址轉換。 在全局設置模式下，設置在內部的本地地址與內部合法IP地址間創建複用動態地址轉換。命令語法以下： ip nat inside source list訪問列表號pool內部合法地址池名字overload 示例： ip nat inside source list1 pool onlyone overload //以端口複用方式，將訪問列表1中的私有IP地址轉換爲onlyone IP地址池中定義的合法IP地址。 至此，端口複用動態地址轉換完成。 網絡地址轉換(NAT)-實例 示例一：所有采用端口複用地址轉換 當ISP分配的IP地址數量不多，網絡又沒有其餘特殊需求，即無需爲Internet提供網絡服務時，可採用端口利用地址轉換方式，使網絡內的計算機採用同一IP地址訪問Internet，在節約IP地址資源的同時，又可有效保護網絡內部的計算機。 網絡環境爲： 局域網採用10Mb/s光纖，以城域網方式接入Internet，如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲192.168.100.1~192.101.254，局域網端口Ethernet 0的IP地址爲192.168.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.99.160.128~202.99.160.131,鏈接ISP的端口Ethernet 1的IP地址爲202.99.160.129,子網掩碼爲255.255.255.252。可用於轉換的IP地址爲202.99.160.130。要求網絡內部的全部計算機都可訪問Internet。 案例分析： 既然只有一個可用的合法IP地址，同時處於局域網的服務器又只爲局域網提供服務，而不容許Internet中的主機對其訪問，所以徹底能夠採用端口複用地址轉換方式實現NAT，使得網絡內的全部計算機都可獨立訪問Internet。 配置清單： interface fastethernet0/0 ip address 192.168.100.1 255.255.0.0 //定義本地端口IP地址 duplex auto speed auto ip nat inside // 定義爲本地端口 ! interface fastethernet0/1 ip address 202.99.160.129 255.255.255.252 duplx auto speed auto ip nat outside ! ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定義合法IP地址池，名稱爲onlyone access-list 1 permit 192.168.100.0 0.0.0.255 //定義本地訪問列表 access-list 1 permit 192.168.100.0 0.0.0.255 ip nat inside source list1 pool onlyone overload //採用端口複用動態地址轉換 示例二：動態地址+端口複用地址轉換 許多FTP網站考慮到服務器性能和Internet鏈接帶寬的佔用問題，都限制同一IP地址的多個進程訪問。若是採用端口復地址轉換方式，則網絡內的因此計算機都採用同一IP地址訪問Internet,那麼，將所以而被禁止對該網站的訪問。因此，當提供的合法IP地址數量稍多時，可同時採用端口複用和動態地址轉換方式，從而既可保證全部用戶都可以得到訪問Internet的權力，同時，又不致、某些計算機因使用同一IP地址而被限制權限。須要注意的是，因爲全部計算機都採用動態地址轉換方式，所以Internet中的全部計算機將沒法實現對網絡內部服務器的訪問。 網絡環境： 局域網以2Mb/s DNA專線接入Internet，路由器選用安裝了廣域網模塊的Cisco 2611,如圖4-2-2所示。內部網絡使用的IP地址段爲172.16.100.1~172.16.102.254,局域網端口Ethernet 0的IP地址爲172.16.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.99.160.128~202.99.160.129,子網掩碼爲255.255.255.192,可用於轉換的IP地址範圍爲202.99.160.130~202.99.160.190。要求網絡部分的部分計算機能夠不受任何限制地訪問Internet，服務器無需提供Internet訪問服務。 案例分析： 既然要求網絡中的部分計算機能夠不受任何限制地訪問Internet,同時，服務器無需提供Internet訪問服務，那麼，只需採用動態地址轉換+端口複用地址轉換方式便可實現。部分有特殊需求的計算機採用動態地址轉換的NAT方式，其餘計算機則採用端口複用地址轉換的NAT方式。所以，部分有特殊需求的計算機可採用內部網址172.16.100.1~172.16.100.254，並動態轉換爲合法地址202.99.160.130~202.99.160.189，其餘計算機採用內部網址172.16.101.1~172.16.102.254,所有轉換爲202.99.160.190。 配置清單： interface fastethernet0/1 ip address 10.100.100.1 255.255.255.0 //定義局域網端口IP地址 duplex auto speed auto ip nat inside //定義爲局域端口 ! interface serial 0/0 ip address 202.99.160.129 255.255.255.192 //定義廣域網端口IP地址 ! duplex auto speed auto ip nat outside //定義爲廣域端口 ! ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定義合法IP地址池，名稱爲public ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定義合法IP地址池，名稱爲super ip nat inside source list1 pool super //定義列表達1採用動態地址轉換 ip nat inside source list2 pool public overload? //定義列表2採用端口複用地址轉換 access-list1 permit 172.16.100.0 0.0.0.255 //定義本地訪問列表1 access-list2 permit 172.16.102.0 0.0.0.255 //定義本地訪問列表2 access-list2 permit 172.16.102.0 0.0.0.255 示例三：靜態地址轉換+端口複用地址轉換 其實在不少時候，網絡中的服務器既爲網絡內部的客戶提供網絡服務，又同時爲Internet中的用戶提供訪問服務。所以，若是採用端口複用地址轉換或動態地址轉換，將因爲沒法肯定服務器的IP地址，而致使Internet用戶沒法實現對網絡內部服務器的訪問。此時，就應當採用靜態地址轉換+端口複用地址轉換的NAT方式。也就是說，對服務器採用靜態地址轉換，以確保服務器擁有固定的合法IP地址。而對普通的客戶計算機則採用端口複用地址轉換，使全部用戶都享有訪問Internet的權力。 網絡環境爲： 局域網採用10Mb/s光纖，以城域網方式接入Internet，如圖4-2-2所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲10.18.100.1~10.18.104.254,局域網端口Ethernet 0的IP地址爲10.18.100.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲211.82.220.80~211.82.220.87，鏈接ISP的端口Ethernet 1的IP地址爲211.82.220.81,子網掩碼爲255.255.255.248。要求網絡內部的全部計算機都可訪問Internet，而且在Internet中提供Web、E-mail、FTP和Media等4種服務。 案例分析： 既然網絡內的服務器要求可以被Internet訪問到，那麼，這部分主機必須擁有合法的IP地址，也就是說，服務器必須採用靜態地址轉換。其餘計算機因爲沒有任何限制，因此，可採用端口複用地址轉換的NAT方式。所以，服務器可採用內網址10.18.100.1~10.18.100.254，並分別映射爲一個合法的IP地址。其餘計算機則採用內部網址10.18.101.1~172.16.104.254,並所有轉換爲一個合法的IP地址。 配置清單： interface fastethernet0/0 ip address 10.18.100.1 255.255.0.0 //定義局域網口IP地址 duplex auto speed auto ip nat inside //定義局域網口 ! interface fastethernet0/1 ip address 211.82.220.81 255.255.255.248 //定義廣域網口IP地址 duplex auto speed auto ip nat outside //定義廣域網口 ! ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定義合法IP地址池 access-list 1 permit 10.18.101.0 0.0.0.255 //定義本地訪問列表1 access-list 1 premit 10.18.102.0 0.0.0.255 access-list 1 premit 10.18.103.0 0.0.0.255 access-list 1 premit 10.18.104.0 0.0.0.255 ip nat inside source list1 pool every overload //定義列表達1採用端口複用地址轉換 ip nat inside source static 10.18.100.10 211.82.220.82 //定義靜態地址轉換 ip nat inside source static 10.18.100.11 211.82.220.83 ip nat inside source static 10.18.100.12 211.82.220.84 ip nat inside source static 10.18.100.13 211.82.220.85 示例四：TCP/UDP端口NAT映射 若是ISP提供的合法IP地址的數量較多，咱們天然能夠採用靜態地址轉換+端口複用動態地址轉換的方式得以完美實現。但若是ISP只提供4個IP地址，其中2個做爲網絡號和廣播地址而不可以使用，1個IP地址要用於路由器定義爲默認網關， 那麼將只剩下1個IP地址可用。固然咱們也能夠利用這個僅存的一個IP地址採用端口複用地址轉換技術，從而實現整個局域網的Internet接入。可是因爲服務器也採用動態端口，所以，Internet中的計算機將沒法訪問到網絡內部的服務器。有沒有好的解決問題的方案呢？這就是TCP/UDP端口NAT映射。 咱們知道，不一樣應用程序使用的TCP/UDP的端口是不一樣的，好比，Web服務使用50，FTP服務使用21，SMTP服務使用25，POP3服務使用110，等等。所以，能夠將不一樣的TCP端口綁定至不一樣的內部IP地址，從而只使用一個合法的IP地址，便可在容許內部全部服務器被Internet訪問的同時，實現內部全部主機對Internet訪問。 網絡環境： 局域網採用10Mb/s光纖，以城域網方式接入Internet，如圖4-2-5所示。路由器選用擁有2個10/100 Mb/s自適應端口的Cisco 2611。內部網絡使用的IP地址段爲192.169.1.1~192.168.1.254，局域網端口Ethernet 0的IP地址爲192.168.1.1,子網掩碼爲255.255.255.0。網絡分配的合法IP地址範圍爲，211.82.220.128~211.82.220.131,鏈接ISP的端口Ethernet 1的IP地址爲211.82.220.129,子網掩碼爲255.225.255.252，可用於轉換的IP地址爲211.82.220.130。要求網絡內部的全部計算機都可訪問Internet。 案例分析： 既然只有一個可用的合法IP地址，固然只能採用端口複用方式實現NAT，不過，因爲同時又要求網絡內部的服務器能夠被Internet訪問到，所以，必須使用PAT建立TCP/UDP端口的NAT映射。須要注意的是，也能夠直接使用廣域端口建立TCP/UDP端口的NAT映射，也就是說，即便只有一個IP地址，也能夠完美實現端口複用。因爲合法IP地址位於路由器端口上，因此，再也不須要定義NAT池，只簡單地使用inside source list語句便可。 須要注意的是，因爲每種應用服務都有本身默認的端口，因此，這種NAT方式下，網絡內部每種應用服務中只能各自有一臺服務器成爲Internet中的主機，例如，只能有一臺Web服務器，一臺E-mail服務，一臺FTP服務器。儘管能夠採用改變默認端口的方式建立多臺應用服務器，但這種服務器在訪問時比較困難，要求用戶必須先了解某種服務採用的新TCP端口。 配置清單： interface fastethernet0/0 ip address 10.18.100.1 255.255.0.0 //指定局域網口的IP地址 duplex auto speed auto ip nat inside //指定局域網接口 ! interface fastethernet0/1 ip address 211.82.220.129 255.255.255.248 //指定廣域網口的IP地址 access-list 1 permit 192.168.1.0 0.0.0.255 ! ip nat inside source list1 interface fastethernet0/1 overload //啓用端口複用地址轉換，並直接採用fastethernet0/1的IP地址。 ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80 ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21 ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25 ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110 示例五：利用地址轉換實現負載均衡 隨着訪問量的上升，當一臺服務器難以勝任時，就必須採用負載均衡技術，將大量的訪問合理地分配至多臺服務器上。固然，實現負載均衡的手段有許多種，好比能夠採用服務器羣集負載均衡、交換機負載均衡、DNS解析負載均衡等等。 其實除此之外，也能夠經過地址轉換方式實現服務器的負載均衡。事實上，這些負載均衡的實現大可能是採用輪詢方式實現的，使每臺服務器都擁有平等的被訪問機會。 網絡環境： 局域網以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網模塊的Cisco 2611,如圖4-2-6所示。內部網絡使用的IP地址段爲10.1.1.1~10.1.3.254，局域網端口Ethernet 0的IP地址爲10.1.1.1,子網掩碼爲255.255.0.0。網絡分配的合法IP地址範圍爲202.110.198.80~202.110.198.87,鏈接ISP的端口Ethernet 1的IP地址爲202.110.198.81,子網掩碼爲255.255.255.248。要求網絡內部的全部計算機都可訪問Internet，而且在3臺Web服務器和2臺FTP服務器實現負載均衡。 案例分析： 既然要求網絡內全部計算機均可以接入Internet,而合法IP地址又只有5個可用，固然可採用端口複用地址轉換方式。原本對服務器經過採用靜態地址轉換，賦予其合法IP地址便可。可是，因爲服務器的訪問量太大（或者是服務器的性能太差），不得不使用多臺服務器做負載均衡，所以，必須將一個合法IP地址轉換成多相內部IP地址，以輪詢方式減輕每臺服務器的訪問壓力。 配置文件： interface fastethernet0/1 ip adderss 10.1.1.1 255.255.0.0 //定義局域網端口IP地址 duplex auto speed auto ip nat inside //定義爲局域端口 ! interface serial 0/0 ip address 202.110.198.81 255.255.255.248 //定義廣域網端口IP地址 duplex auto speed auto ip nat outside //定義爲廣域端口 ! access-list 1 permit 202.110.198.82 //定義輪詢地址列表1 access-list 2 permit 202.110.198.83 access-list 3 permit 10.1.1.0 0.0.255.255 //定義本地訪問列表3 ! ip nat pool websev 10.1.1.2 10.1.1.1 255.255.255.248 type rotary //定義Web服務器的IP地址池，Rotary關鍵字表示準備使用輪詢策略從NAT池中取出相應的IP地址用於轉換進來的IP報文，訪問202.110.198.82的請求將依次發送給10.1.1.二、10.1.1.2和10.1.1.4 ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定義合法IP地址池，名稱爲normal ip nat inside destination list 1 pool websev //inside destination list 語句定義與列表1相匹配的IP地址的報文將使用輪詢策略 ip nat inside destination list 2 pool ftpsev