第一篇：NAT類型整理總結(jié)[小編推薦]

NAT類型整理總結(jié)（以思科為例）

本文例子：

公網(wǎng)地址段：100.1.1.0/24 內(nèi)網(wǎng)地址段：192.168.100.0/24

一、靜態(tài)轉(zhuǎn)換

IP地址的對(duì)應(yīng)關(guān)系是一對(duì)一，且是不變的，借助靜態(tài)轉(zhuǎn)換能實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些指定的訪問，一個(gè)內(nèi)網(wǎng)IP固定對(duì)應(yīng)一個(gè)公網(wǎng)IP，常用于內(nèi)網(wǎng)服務(wù)器允許公網(wǎng)訪問的情況。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：ip nat inside source static 192.168.100.1 100.1.1.10

二、動(dòng)態(tài)轉(zhuǎn)換

IP地址的對(duì)應(yīng)關(guān)系是N對(duì)N，且隨機(jī)、不確定的，所有被授權(quán)訪問的內(nèi)網(wǎng)IP可隨機(jī)轉(zhuǎn)換為任何指定的合法的公網(wǎng)IP地址。公網(wǎng)IP地址池有幾個(gè)IP，那么同一時(shí)間就只能有幾臺(tái)電腦可以訪問公網(wǎng)，其他主機(jī)要上網(wǎng)必須等臨時(shí)映射關(guān)系結(jié)束才能使用被釋放的公網(wǎng)IP進(jìn)行轉(zhuǎn)換。一般用于公網(wǎng)IP地址充足，同時(shí)訪問Internet的內(nèi)網(wǎng)主機(jī)數(shù)少于公網(wǎng)地址池IP個(gè)數(shù)時(shí)使用。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 netmask 255.255.255.0(定義地址池IP范圍)

全局：ip nat inside source list 1 pool NatTest

三、端口多路復(fù)用PAT（常用）

IP地址的對(duì)應(yīng)關(guān)系是多對(duì)一，通過改變外出數(shù)據(jù)包的源IP地址和源端口并進(jìn)行端口轉(zhuǎn)換，多臺(tái)內(nèi)網(wǎng)主機(jī)可共享一個(gè)公網(wǎng)IP地址實(shí)現(xiàn)互聯(lián)網(wǎng)的訪問，以隨機(jī)分配的端口號(hào)區(qū)分。常用于只有一個(gè)公網(wǎng)IP的情況，配置時(shí)注意后綴overload關(guān)鍵字不能缺少。

出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat inside source list 1 interface g0/0/1 overload（公網(wǎng)出接口）

四、動(dòng)態(tài) + 端口多路復(fù)用（常用）

IP地址的對(duì)應(yīng)關(guān)系是N對(duì)M，與PAT類似，區(qū)別在于該類型有多個(gè)公網(wǎng)IP，內(nèi)網(wǎng)主機(jī)隨機(jī)選擇其中一個(gè)公網(wǎng)IP，且每個(gè)公網(wǎng)IP允許多臺(tái)內(nèi)網(wǎng)主機(jī)同時(shí)使用，以隨機(jī)分配的端口號(hào)區(qū)分。常用于有多個(gè)公網(wǎng)IP或雙出口的情況。出接口配置 ip nat outside 入接口配置 ip nat inside 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat pool NatTest 100.1.1.10 100.1.1.12 prefix-length 24 全局：ip nat inside source list 1 pool NatTest overload（公網(wǎng)地址池）

五、區(qū)域無關(guān)NAT 這個(gè)類型用得很少，相關(guān)資料也不多，以下介紹是從某博客復(fù)制過來的：

Domainless NAT就是說不再區(qū)分inside和outside，只是單純地做NAT，沒有用所謂的平衡點(diǎn)，進(jìn)而兩個(gè)方向NAT的處理HOOK點(diǎn)也不再基于平衡點(diǎn)對(duì)稱，所有的NAT操作全部在PREROUTING上做，它用一個(gè)叫做NATVirtual Interface（NVI）的虛擬接口來實(shí)現(xiàn)，通過路由的方式將帶有ipnat enable配置的接口進(jìn)來的包全部導(dǎo)入這個(gè)虛擬接口NVI0中。然后用數(shù)據(jù)包的源地址和目標(biāo)地址分別查詢SNAT表和DNAT表，根據(jù)結(jié)果進(jìn)行NAT操作，隨后進(jìn)入真正的路由查詢，可見，不管方向，不管路由，只要數(shù)據(jù)包進(jìn)入了一塊帶有ip natenable配置的物理網(wǎng)卡，就會(huì)先路由再NAT然后再路由（第一個(gè)路由只是匹配一下路由，而沒有真正的路由行為，第二個(gè)路由則是真實(shí)的路由行為），不管是SNAT和DNAT都在這里進(jìn)行。數(shù)據(jù)包在進(jìn)入真正的路由查詢前，NAT就已經(jīng)完成了，在路由器看來，NAT操作被藏起來了，就好像數(shù)據(jù)包本來就是那個(gè)樣子一樣。當(dāng)然Domainless的NAT也不再和任何其它操作關(guān)聯(lián)，ACL，VPN感興趣流匹配，policyrouting等都和NAT無關(guān)。

出接口配置 ip nat enable 入接口配置 ip nat enable 全局：access-list 1 permit 192.168.100.0 0.0.0.255 全局：ip nat source list 1 interface g0/0/1 overload（注意source前沒有inside）

查看NAT規(guī)則狀態(tài)： show ip nat statistics rule 查看NAT轉(zhuǎn)換記錄： show ip nat translations

NAT與PAT的區(qū)別 ：

NAT（包括動(dòng)態(tài)和靜態(tài)）的地址轉(zhuǎn)換是指每個(gè)內(nèi)網(wǎng)地址都被轉(zhuǎn)換成IP地址+源端口的方式，這需要公網(wǎng)IP地址為多個(gè),即有多少個(gè)內(nèi)網(wǎng)IP訪問互聯(lián)網(wǎng)就需要多少個(gè)公網(wǎng)IP轉(zhuǎn)換，內(nèi)外端口號(hào)一致。

PAT可以節(jié)省公網(wǎng)IP，公網(wǎng)IP地址不足時(shí)，就會(huì)出現(xiàn)內(nèi)網(wǎng)地址被轉(zhuǎn)換成IP地址+端口段的形式，即一個(gè)公網(wǎng)IP允許多個(gè)內(nèi)網(wǎng)IP共同使用，以隨機(jī)分配的端口號(hào)區(qū)分。

舉例如下：

NAT：

192.168.100.1：4444----〉100.1.1.2：4444 192.168.100.2：5555----〉100.1.1.1：5555 192.168.100.3：1233----〉100.1.1.4：1233

PAT：

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.1：50005

動(dòng)態(tài) + 端口多路復(fù)用

192.168.100.1：4444----〉100.1.1.1：50003 192.168.100.2：5555----〉100.1.1.1：50004 192.168.100.3：1233----〉100.1.1.2：50004 192.168.100.4：1233----〉100.1.1.2：50005

ip nat inside source與ip nat source的區(qū)別 ：

ip nat inside source ：數(shù)據(jù)包由inside接口向outside接口發(fā)包時(shí)，是先路由再NAT轉(zhuǎn)換；而數(shù)據(jù)包由outside接口向inside接口發(fā)包時(shí)是先NAT轉(zhuǎn)換再路由，數(shù)據(jù)包的發(fā)送方向不同，則處理過程也不同。

ip nat source ：做NAT轉(zhuǎn)換時(shí)，在需要NAT轉(zhuǎn)換接口上使用的命令為ip nat enable，數(shù)據(jù)包在由一個(gè)接口向另一個(gè)接口發(fā)包時(shí)，順序是先路由再NAT然后再路由（第一個(gè)路由只是匹配一下路由，而沒有真正的路由行為，第二個(gè)路由則是真實(shí)的路由行為），不管數(shù)據(jù)包從哪個(gè)接口發(fā)向哪個(gè)接口，處理過程都是一樣的。

第二篇：NAT個(gè)人學(xué)習(xí)總結(jié)

個(gè)人學(xué)習(xí)總結(jié)---NAT

1、NAT本原理

NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，最初是由RFC1631(目前已由RFC3022替代)定義，用于私有地址向公有地址的轉(zhuǎn)換，以解決公有IP地址短缺的問題。后來隨著NAT技術(shù)的發(fā)展及應(yīng)用的不斷深入，NAT更被證明是一項(xiàng)非常有用的技術(shù)，可用于多種用途，如：提供了單向隔離，具有很好的安全特性；可用于目標(biāo)地址的映射，使公有地址可訪問配置私有地址的服務(wù)器；另外還可用于服務(wù)器的負(fù)載均衡和地址復(fù)用等。

NAT分為源NAT和目的NAT。源NAT是基于源地址的NAT，可細(xì)分為動(dòng)態(tài)NAT、PAT和靜態(tài)NAT。動(dòng)態(tài)NAT和PAT是一種單向的針對(duì)源地址的映射，主要用于內(nèi)網(wǎng)訪問外網(wǎng)，減少公有地址的數(shù)目，隱藏內(nèi)部地址。動(dòng)態(tài)NAT指動(dòng)態(tài)地將源地址轉(zhuǎn)換映射到一個(gè)相對(duì)較小的地址池中，對(duì)于同一個(gè)源IP，不同的連接可能映射到地址池中不同的地址；PAT是指將所有源地址都映射到同一個(gè)地址上，通過端口的映射實(shí)現(xiàn)不同連接的區(qū)分，實(shí)現(xiàn)公網(wǎng)地址的共享。靜態(tài)NAT是一種一對(duì)一的雙向地址映射，主要用于內(nèi)部服務(wù)器向外提供服務(wù)的情況。在這種情況下，內(nèi)部服務(wù)器可以主動(dòng)訪問外部，外部也可以主動(dòng)訪問這臺(tái)服務(wù)器，相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。

基于目標(biāo)地址的NAT，我們稱為目的NAT，可分為目標(biāo)地址映射、目標(biāo)端口映射、服務(wù)器負(fù)載均衡等?；谀繕?biāo)地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對(duì)目標(biāo)地址的映射，主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況，它與靜態(tài)NAT的區(qū)別在于它是單向的。外部可以主動(dòng)訪問內(nèi)部，內(nèi)部卻不可以主動(dòng)訪問外部。另外，可使用目的NAT實(shí)現(xiàn)負(fù)載均衡的功能，即可以將一個(gè)目標(biāo)地址轉(zhuǎn)換為多個(gè)內(nèi)部服務(wù)器地址。也可以通過端口的映射將不同的端口映射到不同的機(jī)器上。另外，掌握NAT的基本原理之后，NAT不僅僅可用于公有地址和私有地址之間的轉(zhuǎn)換，還可用于公有地址與公有地址之間、私有地址與私有地址之間的轉(zhuǎn)換。

2、Nat功能

NAT不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。1.寬帶分享：這是 NAT 主機(jī)的最大功能。

2.安全防護(hù)：NAT 之內(nèi)的 PC 聯(lián)機(jī)到 Internet 上面時(shí)，他所顯示的 IP 是 NAT 主機(jī)的公共 IP，所以 Client 端的 PC 當(dāng)然就具有一定程度的安全了，外界在進(jìn)行 portscan（端口掃描）的時(shí)候，就偵測(cè)不到源Client 端的 PC。

3、Nat的分類

系統(tǒng)中把NAT的配置分為： 源地址轉(zhuǎn)換（Source）、目的地址轉(zhuǎn)換（Destination）及靜態(tài)地址轉(zhuǎn)換（Static）三種類型。

每條NAT規(guī)則都是和某個(gè)特定的接口關(guān)聯(lián)的，需要注意的是，源地址轉(zhuǎn)換是在離開接口時(shí)進(jìn)行轉(zhuǎn)換的，目的地址轉(zhuǎn)換是在進(jìn)入接口時(shí)進(jìn)行轉(zhuǎn)換的，所以配置源地址轉(zhuǎn)換的時(shí)候必須和對(duì)應(yīng)的出接口關(guān)聯(lián)，而配置目的地址轉(zhuǎn)換的時(shí)候需要和對(duì)應(yīng)的入接口關(guān)聯(lián)。

內(nèi)網(wǎng)環(huán)境：PC1----ge0/1口 外網(wǎng)環(huán)境：PC2----ge0/7口

外部地址：需要轉(zhuǎn)換的外部地址：101.1.1.101 內(nèi)部地址：需要轉(zhuǎn)換的內(nèi)部地址：100.1.1.77 內(nèi)部接口：和內(nèi)部網(wǎng)絡(luò)連接的接口名 ge0/1 外部接口：和外部網(wǎng)絡(luò)相連的接口名ge0/7 3.1 源NAT：

源地址轉(zhuǎn)換是一種單向的針對(duì)源地址的映射，主要用于內(nèi)網(wǎng)訪問外網(wǎng)，減少公有地址的數(shù)目，隱藏內(nèi)部地址。

ips# show ip nat source

ip nat source ge0/7 yuanip mudi any interface enable log 1

ips#

PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101 報(bào)文的處理流程：接口收包，交三層處理，然后對(duì)其查路由，找到下一跳出接口，在出接口檢查是否做源地址轉(zhuǎn)換。如果要做源地址轉(zhuǎn)換，查NAT表，檢查nat表中是否有對(duì)應(yīng)的轉(zhuǎn)換條目，如果有，做轉(zhuǎn)換；如果沒有，從設(shè)置的全局地址中找要轉(zhuǎn)換的地址，對(duì)源地址做轉(zhuǎn)換。轉(zhuǎn)換后，重新封裝報(bào)文，交下層處理，將報(bào)文從出接口轉(zhuǎn)發(fā)。

在外網(wǎng)主機(jī)上面顯示源IP為：101.1.1.1，目的IP為101.1.1.101

內(nèi)部客戶機(jī)向外部網(wǎng)絡(luò)發(fā)送一個(gè)請(qǐng)求時(shí)，本來源地址是100.1.1.77，而目標(biāo)地址應(yīng)該是101.1.1.101。但經(jīng)過源NAT的轉(zhuǎn)換之后，源地址就變成了101.1.1.1，目標(biāo)地址仍會(huì)是101.1.1.101。

反過來，外部網(wǎng)絡(luò)會(huì)回應(yīng)我們的請(qǐng)求，那么這時(shí)源地址將會(huì)是101.1.1.101，目標(biāo)地址是101.1.1.1。同樣地，IPS會(huì)處理這一請(qǐng)求，變成了源地址是101.1.1.1，目標(biāo)地址是101.1.1.101。

實(shí)際上，網(wǎng)絡(luò)中數(shù)據(jù)的傳輸總是雙向的，那么IPS會(huì)同時(shí)轉(zhuǎn)換請(qǐng)求與應(yīng)答設(shè)備的源地址，以達(dá)到路由目的。

3.2 目的NAT 目的地址轉(zhuǎn)換根據(jù)應(yīng)用場(chǎng)不同，可以分為以下三種： 服務(wù)器地址、端口映射：實(shí)現(xiàn)外網(wǎng)地址和內(nèi)部地址的單向映射或同時(shí)實(shí)現(xiàn)轉(zhuǎn)換端口；

服務(wù)器業(yè)務(wù)分流：根據(jù)訪問的業(yè)務(wù)不同，系統(tǒng)把目的地址轉(zhuǎn)換為內(nèi)部不同的服務(wù)器地址；

服務(wù)器負(fù)載分擔(dān)：把一個(gè)外部IP映射到內(nèi)部的一個(gè)地址池中，即一到多的映射功能；

接口映射：根據(jù)外網(wǎng)出接口的IP自動(dòng)更改目的NAT規(guī)則，主要用于PPPoE等撥號(hào)上網(wǎng)獲得動(dòng)態(tài)IP的情況。配置目的nat

ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為100.1.1.1 報(bào)文的處理流程：接口收包，在入接口檢查是否做目的地址轉(zhuǎn)換。如果要做目的地址轉(zhuǎn)換，查NAT表，檢查nat表中是否有對(duì)應(yīng)的轉(zhuǎn)換條目，如果有，做轉(zhuǎn)換；如果沒有，從設(shè)置的全局地址中找要轉(zhuǎn)換的地址，對(duì)目的地址做轉(zhuǎn)換。轉(zhuǎn)換后，重新封裝報(bào)文，交下層處理，將報(bào)文從出接口轉(zhuǎn)發(fā)。

內(nèi)部客戶機(jī)向外部網(wǎng)絡(luò)發(fā)送一個(gè)請(qǐng)求時(shí)，本來目的地址是100.1.1.77，而目標(biāo)地址應(yīng)該是100.1.1.1。但經(jīng)過目的NAT的轉(zhuǎn)換之后，目的地址就變成了101.1.1.101，源地址仍會(huì)是100.1.1.77。3.3靜態(tài)NAT 靜態(tài)地址轉(zhuǎn)換是一對(duì)一的雙向地址映射。在這種情況下，被映射的內(nèi)部主機(jī)可以主動(dòng)訪問外部，外部也可以主動(dòng)訪問這臺(tái)內(nèi)部主機(jī)，相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。

外部地址：需要轉(zhuǎn)換的外部地址。101.1.1.102 內(nèi)部地址：需要轉(zhuǎn)換的內(nèi)部地址。100.1.1.77 外部接口：和外部網(wǎng)絡(luò)相連的接口名。ge0/7

ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#

PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101

在外網(wǎng)主機(jī)PC2上抓包顯示，源IP已經(jīng)變?yōu)椋?01.1.1.102。

4、NAT的意義

1，環(huán)境ip資源的緊缺

2，通過nat的使用，可以很好的隱藏內(nèi)網(wǎng)的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免來自外網(wǎng)的攻擊，保護(hù)內(nèi)網(wǎng)的安全。

3，當(dāng)兩個(gè)使用相同的私網(wǎng)網(wǎng)段的私網(wǎng)進(jìn)行互通時(shí)，可以解決地址重疊的問題

4，當(dāng)內(nèi)網(wǎng)存在多個(gè)服務(wù)器時(shí)，可以將外網(wǎng)對(duì)服務(wù)器的訪問映射到不同的服務(wù)器上面，這樣可以達(dá)到負(fù)載分擔(dān)的效果。

5、問題補(bǔ)充

5.1我們的設(shè)備端口映射在哪里配置

端口映射配置在目的NAT。目標(biāo)端口映射是目的NAT的一種?；谀繕?biāo)地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對(duì)目標(biāo)地址的映射，主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況。外部可以主動(dòng)訪問內(nèi)部，內(nèi)部卻不可以主動(dòng)訪問外部。另外，可使用目的NAT實(shí)現(xiàn)負(fù)載均衡的功能，即可以將一個(gè)目標(biāo)地址轉(zhuǎn)換為多個(gè)內(nèi)部服務(wù)器地址。也可以通過端口的映射將不同的端口映射到不同的機(jī)器上。

PC1（client）-------------------IPS-------------------PC2（server）100.1.1.77

100.1.1.1

101.1.1.1

101.1.1.101 在PC2創(chuàng)建http server，端口號(hào)設(shè)置成1234

配置目的地址轉(zhuǎn)換，源ip為100.1.1.77 目的ip為100.1.1.1 轉(zhuǎn)換之后的ip為101.1.1.101，轉(zhuǎn)換后的端口配置成1234

在PC1上面的瀏覽器上面訪問http://100.1.1.1:4444 若目的NAT不配置端口轉(zhuǎn)換是無法訪問成功的 配置之后可訪問成功

在PC1上面抓包，查看端口是原來的端口

經(jīng)過IPS的目的地址轉(zhuǎn)換，轉(zhuǎn)換之后的端口號(hào)變成了1234 在server上面抓包觀察報(bào)文如下;

5.2為什么源NAT不支持端口映射？

端口映射是基于目的NAT生效，轉(zhuǎn)換端口之后才能正常訪問server。假如源NAT配置了端口映射，本身client的源端口號(hào)在訪問server的時(shí)候是不關(guān)心的，所以源端口號(hào)轉(zhuǎn)換不轉(zhuǎn)換對(duì)server是沒有任何意義的。

5.3Http和ftp在經(jīng)過NAT時(shí)有沒有區(qū)別？如果有，區(qū)別在哪里？

FTP客戶端的報(bào)文經(jīng)過了路由器NAT之后，服務(wù)器端看到的報(bào)文的客戶端的報(bào)文的IP源地址和端口都已經(jīng)被改變了，當(dāng)然對(duì)于控制連接來說這沒有影響，因?yàn)橛芯W(wǎng)關(guān)或者路由器的NAT模塊在中間做管理，但是對(duì)于正要通過控制連接建立的數(shù)據(jù)連接就有問題了，因?yàn)镹AT改變的僅僅是IP報(bào)文頭，而對(duì)于因?yàn)閳?bào)文中PORT命令中包含的地址和端口信息沒有做任何改動(dòng)，這樣服務(wù)器是無法和一個(gè)內(nèi)部地址建立連接的，所以這個(gè)時(shí)候就出現(xiàn)了ALG這個(gè)功能。ALG就是在發(fā)現(xiàn)如果報(bào)文頭做了NAT，在這個(gè)時(shí)候如果發(fā)現(xiàn)這個(gè)是一個(gè)FTP的連接的時(shí)候，就需要同時(shí)改變PORT命令中的地址和端口。HTTP在經(jīng)過NAT網(wǎng)關(guān)時(shí)只需要使用普通的NAT轉(zhuǎn)換處理，但是對(duì)于FTP，由于FTP在應(yīng)用層中攜帶了IP地址或端口等信息，因此需要ALG的幫助才能正常穿越NAT網(wǎng)關(guān)。FTP協(xié)議PORT模式的FTP在經(jīng)過NAT時(shí)需要ALG的處理，因此NAT網(wǎng)關(guān)需要關(guān)注用戶的每一個(gè)FTP命令，并識(shí)別需要進(jìn)行ALG處理的命令，進(jìn)行相應(yīng)的ALG處理

第三篇：Juniper Netscreen NAT簡(jiǎn)單總結(jié)

Juniper Netscreen NAT簡(jiǎn)單總結(jié)

1、源網(wǎng)絡(luò)地址轉(zhuǎn)換

執(zhí)行源網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT-src)時(shí)，安全設(shè)備將初始源 IP 地址轉(zhuǎn)換成不同的地址。已轉(zhuǎn)換地址可以來自動(dòng)態(tài) IP(DIP)池或安全設(shè)備的出口接口。如果從 DIP 池中提取已轉(zhuǎn)換的地址，安全設(shè)備可以隨機(jī)提取或提取明確的地址，也就是說，既可以從DIP 池中隨機(jī)提取地址，也可以持續(xù)提取與初始源 IP 地址有關(guān)的特定地址。可以配置安全設(shè)備，在接口級(jí)或策略級(jí)應(yīng)用 NAT-src。如果配置策略以應(yīng)用 NAT-src，且入口接口處于 NAT 模式下，則基于策略的 NAT-src 設(shè)置會(huì)覆蓋基于接口的 NAT?；诓呗缘腘AT-SRC優(yōu)先級(jí)高于接口級(jí)的NAT-src。

2、目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換

基于策略的 NAT-dst:

MIP：MIP的地址轉(zhuǎn)換雙向執(zhí)行，因此安全設(shè)備可以將到達(dá) MIP 地址的所有信息流中的目標(biāo)

IP 地址轉(zhuǎn)換成主機(jī) IP 地址，并將主機(jī) IP 地址發(fā)出的所有信息流中的源 IP 地址轉(zhuǎn)

換成 MIP 地址。

VIP：是從一個(gè) IP 地址到基于目標(biāo)端口號(hào)的另一個(gè) IP 地址的映射。在同一子網(wǎng)中定義為接口的單個(gè) IP 地址可以托管從若干服務(wù)(使用不同的目標(biāo)端口號(hào)標(biāo)識(shí))到同樣多主機(jī)的映射。VIP 還支持端口映射。與 MIP 不同，VIP的地址轉(zhuǎn)換將單向執(zhí)行。安全設(shè)備可以將到達(dá)VIP 地址的所有信息流中的目標(biāo) IP地址轉(zhuǎn)換成主機(jī) IP 地址。

ScreenOS 不支持同時(shí)將基于策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全設(shè)備會(huì)在應(yīng)用了基于策略的 NAT-dst 的任何信息流上應(yīng)用MIP 或 VIP。換言之，如果安全設(shè)備偶然將 MIP 和 VIP 應(yīng)用于同一信息流，則MIP 和 VIP 將禁用基于策略的 NAT-dst。感覺是MIP，VIP優(yōu)先級(jí)高于基于策略的NAT-DST。

雖然 MIP 和 VIP 的地址轉(zhuǎn)換機(jī)制是雙向的，但基于策略的 NAT-src 和 NAT-dst 能夠?qū)⑷胝竞统稣拘畔⒘鞯牡刂忿D(zhuǎn)換分開，以提供較好的控制與安全性能?；诓呗缘?NAT-src 和 NAT-dst 各提供一種單一方法，加起來可以取代基于接口的 MIP 和 VIP 功能，而且超過了后者。這一點(diǎn)太重要了，也就是在Netscreen可以用基于策略的NAT-src，NAT-dst實(shí)現(xiàn)所有的NAT功能，而且安全性、靈活性、控制粒度都優(yōu)于其他方法。

Comment:

1、個(gè)人從不讓接口工作在NAT模式，不論是trust, untrust zone,還是DMZ Zone的接口都工作在route mode。

2、對(duì)于轉(zhuǎn)換的IP地址，一定要檢查是否存在該IP的路由。

eg 把trust zone的一臺(tái)服務(wù)器 10.180.0.25 對(duì)外發(fā)布為 59.42.5x.6x, 除了配置相應(yīng)的NAT策略外，還一定 要添加路由59.42.5x.6x/32

set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中嘗試用基于策略NAT-src,NAT-dst完成所有的NAT

第四篇：NAT教案

NAT基本知識(shí)及其配置、無線接入模塊、廣域網(wǎng)接入

引入：

通過講述網(wǎng)絡(luò)地址的用盡帶來的影響，如何解決網(wǎng)絡(luò)地址少的問題，將課堂引入到NAT知識(shí)上來，描述IPV6的相關(guān)信息，提高學(xué)生的積極性。

新授：

一、NAT基本知識(shí)

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。概述：

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是將IP 數(shù)據(jù)包頭中的IP 地址轉(zhuǎn)換為另一個(gè)IP 地址的過程。在實(shí)際應(yīng)用中，NAT 主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP地址空間的枯竭。

說明：

私有 IP 地址是指內(nèi)部網(wǎng)絡(luò)或主機(jī)的IP 地址，公有IP 地址是指在因特網(wǎng)上全球唯一的IP 地址。

RFC 1918 為私有網(wǎng)絡(luò)預(yù)留出了三個(gè)IP 地址塊，如下： A 類：10.0.0.0～10.255.255.255 B 類：172.16.0.0～172.31.255.255 C 類：192.168.0.0～192.168.255.255 上述三個(gè)范圍內(nèi)的地址不會(huì)在因特網(wǎng)上被分配，因此可以不必向ISP 或注冊(cè)中心申請(qǐng)而在公司或企業(yè)內(nèi)部自由使用。實(shí)現(xiàn)方式：

NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat和端口多路復(fù)用OverLoad。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備（如服務(wù)器）的訪問。

動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。

端口多路復(fù)用（Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。實(shí)例：

在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個(gè)外部接口上啟用NAT。通常情況下，連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口，而連接到外部網(wǎng)絡(luò)（如Internet）的接口是NAT外部接口。1).靜態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)

假設(shè)內(nèi)部局域網(wǎng)使用的lP地址段為192.168.0.1~192.168.0.254，路由器局域網(wǎng)端（即默認(rèn)網(wǎng)關(guān)）的IP地址為192.168.0.1，子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為61.159.62.128~61.159.62.135，路由器在廣域網(wǎng)中的IP地址為61.159.62.129，子網(wǎng)掩碼為255.255.255.248可用于轉(zhuǎn)換的IP地址范圍為61.159.62.130~61.159.62.134。要求將內(nèi)部網(wǎng)址192.168.0.2~192.168.0.6分別轉(zhuǎn)換為合法IP地址61.159.62.130~61.159.62.134。

第一步，設(shè)置外部端口。interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步，設(shè)置內(nèi)部端口。interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步，在內(nèi)部本地與外部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。ip nat inside source static 內(nèi)部本地地址 外部合法地址。2).動(dòng)態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn)

假設(shè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為172.16.100.1~172.16.100.254,路由器局域網(wǎng)端口（即默認(rèn)網(wǎng)關(guān)）的IP地址為172.16.100.1，子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為61.159.62.128~61.159.62.191，路由器在廣域網(wǎng)中的IP地址為61.159.62.129，子網(wǎng)掩碼為255.255.255.192，可用于轉(zhuǎn)換的IP地址范圍為61.159.62.130~61.159.62.190。要求將內(nèi)部網(wǎng)址172.16.100.1~172.16.100.254動(dòng)態(tài)轉(zhuǎn)換為合法IP地址61.159.62.130~61.159.62.190。

第一步，設(shè)置外部端口。

設(shè)置外部端口命令的語法如下： ip nat outside 第二步，設(shè)置內(nèi)部端口。

設(shè)置內(nèi)部接口命令的語法如下： ip nat inside 第三步，定義合法IP地址池。

定義合法IP地址池命令的語法如下：

ip nat pool 地址池名稱起始IP地址 終止IP地址子網(wǎng)掩碼 其中，地址池名字可以任意設(shè)定。

第四步，定義內(nèi)部網(wǎng)絡(luò)中允許訪問Internet的訪問列表。定義內(nèi)部訪問列表命令的語法如下：

access-list 標(biāo)號(hào) permit 源地址通配符（其中，標(biāo)號(hào)為1~99之間的整數(shù)）

access-list 1 permit 172.16.100.0 0.0.0.255 //允許訪問Internet的網(wǎng)段為172.16.100.0~172.16.100.255，反掩碼為0.0.0.255。需要注意的是，在這里采用的是反掩碼，而非子網(wǎng)掩碼。反掩碼與子網(wǎng)掩碼的關(guān)系為：反掩碼+子網(wǎng)掩碼=255.255.255.255。例如，子網(wǎng)掩碼為255.255.0.0，則反掩碼為0.0.255.255；子網(wǎng)掩碼為255.0.0.0，則反掩碼為0.255.255.255；子網(wǎng)掩碼為255.252.0.0，則反掩碼為0.3.255.255；子網(wǎng)掩碼為255.255.255.192，則反掩碼為0.0.0.63。

另外，如果想將多個(gè)IP地址段轉(zhuǎn)換為合法IP地址，可以添加多個(gè)訪問列表。例如，當(dāng)欲將172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255轉(zhuǎn)換為合法IP地址時(shí)，應(yīng)當(dāng)添加下述命令：

access-list2 permit 172.16.98.0 0.0.0.255 access-list3 permit 172.16.99.0 0.0.0.255 第五步，實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換。

在全局設(shè)置模式下，將第四步由access-list指定的內(nèi)部本地地址列表與第三步指定的合法IP地址池進(jìn)行地址轉(zhuǎn)換。命令語法如下：

ip nat inside source list 訪問列表標(biāo)號(hào) pool 內(nèi)部合法地址池名字 3).端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換（PAT)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為10.100.100.1~10.100.100.254，路由器局域網(wǎng)端口（即默認(rèn)網(wǎng)關(guān)）的IP地址為10.100.100.1，子網(wǎng)掩碼為255.255.255.0。網(wǎng)絡(luò)分配的合法IP地址范圍為202.99.160.0~202.99.160.3，路由器廣域網(wǎng)中的IP地址為202.99.160.1，子網(wǎng)掩碼為255.255.255.252，可用于轉(zhuǎn)換的IP地址為202.99.160.2。要求將內(nèi)部網(wǎng)址10.100.100.1~10.100.100.254 轉(zhuǎn)換為合法IP地址202.99.160.2。

第一步，設(shè)置外部端口。interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步，設(shè)置內(nèi)部端口。interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步，定義合法IP地址池。

ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址緩沖池的名稱為onlyone,IP地址范圍為202.99.160.2，子網(wǎng)掩碼為255.255.255.252。由于本例只有一個(gè)IP地址可用，所以，起始IP地址與終止IP地址均為202.99.160.2。如果有多個(gè)IP地址，則應(yīng)當(dāng)分別鍵入起止的IP地址。

第四步，定義內(nèi)部訪問列表。

access-list 1 permit 10.100.100.0 0.0.0.255 允許訪問Internetr的網(wǎng)段為10.100.100.0~10.100.100.255，子網(wǎng)掩碼為255.255.255.0。需要注意的是，在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反，即0.0.0.255。

第五步，設(shè)置復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。

在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。命令語法如下：

ip nat inside source list訪問列表號(hào)pool內(nèi)部合法地址池名字overload 操作實(shí)例：

二、無線接入技術(shù)

無線接入技術(shù)RIT（radio interface technologies）無線接入技術(shù)（也稱空中接口）是無線通信的關(guān)鍵問題。它是指通過無線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點(diǎn)連接起來，以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無線信道傳輸?shù)男盘?hào)應(yīng)遵循一定的協(xié)議，這些協(xié)議即構(gòu)成無線接入技術(shù)的主要內(nèi)容。無線接入技術(shù)與有線接入技術(shù)的一個(gè)重要區(qū)別在于可以向用戶提供移動(dòng)接入業(yè)務(wù)。無線接入網(wǎng)是指部分或全部采用無線電波這一傳輸媒質(zhì)連接用戶與交換中心的一種接入技術(shù)。在通信網(wǎng)中，無線接入系統(tǒng)的定位：是本地通信網(wǎng)的一部分，是本地有線通信網(wǎng)的延伸、補(bǔ)充和臨時(shí)應(yīng)急系統(tǒng)。組成：

典型的無線接入系統(tǒng)主要由控制器、操作維護(hù)中心、基站、固定用戶單元和移動(dòng)終端等幾個(gè)部分組成。各部分所完成的功能如下。

控制器

控制器通過其提供的與交換機(jī)、基站和操作維護(hù)中心的接口與這些功能實(shí)體相連接?？刂破鞯闹饕δ苁翘幚碛脩舻暮艚校òê艚薪?、拆線等）、對(duì)基站進(jìn)行管理，通過基站進(jìn)行無線信道控制、基站監(jiān)測(cè)和對(duì)固定用戶單元及移動(dòng)終端進(jìn)行監(jiān)視和管理。

操作維護(hù)中心

操作維護(hù)中心負(fù)責(zé)整個(gè)無線接入系統(tǒng)的操作和維護(hù)，其主要功能是對(duì)整個(gè)系統(tǒng)進(jìn)行配置管理，對(duì)各個(gè)網(wǎng)絡(luò)單元的軟件及各種配置數(shù)據(jù)進(jìn)行操作：在系統(tǒng)運(yùn)轉(zhuǎn)過程中對(duì)系統(tǒng)的各個(gè)部分進(jìn)行監(jiān)測(cè)和數(shù)據(jù)采集；對(duì)系統(tǒng)運(yùn)行中出現(xiàn)的故障進(jìn)行記錄并告警。除此之外，還可以對(duì)系統(tǒng)的性能進(jìn)行測(cè)試。

基站

基站通過無線收發(fā)信機(jī)提供與固定終接設(shè)備和移動(dòng)終端之間的無線信道，并通過無線信道完成話音呼叫和數(shù)據(jù)的傳遞。控制器通過基站對(duì)無線信道進(jìn)行管理?；九c固定終接設(shè)備和移動(dòng)終端之間的無線接口可以使用不同技術(shù)，并決定整個(gè)系統(tǒng)的特點(diǎn)，包括所使用的無線頻率及其一定的適用范圍。

固定終接設(shè)備

固定終接設(shè)備為用戶提供電話、傳真、數(shù)據(jù)調(diào)制解調(diào)器等用戶終端的標(biāo)準(zhǔn)接口——Z接

口。它與基站通過無線接口相接。并向終端用戶透明地傳送交換機(jī)所能提供的業(yè)務(wù)和功能。固定終接設(shè)備可以采用定向天線或無方向性天線，采用定向天線直接指向基站方向可以提高無線接口中信號(hào)的傳輸質(zhì)量、增加基站的覆蓋范圍。根據(jù)所能連接的用戶終端數(shù)量的多少；固定終接設(shè)備可分為單用戶單元和多用戶單元。單用戶單元（SSU）只能連接一個(gè)用戶終端；適用于用戶密度低、用戶之間距離較遠(yuǎn)的情況；多用戶單元?jiǎng)t可以支持多個(gè)用戶終端，一般較常見的有支持4個(gè)、8個(gè)、16個(gè)和32個(gè)用戶的多用戶單元，多用戶單元在用戶之間距離很近的情況下（比如一個(gè)樓上的用戶）比較經(jīng)濟(jì)。

移動(dòng)終端

移動(dòng)終端從功能上可以看作是將固定終接設(shè)備和用戶終端合并構(gòu)成的一個(gè)物理實(shí)體。由于它具備一定的移動(dòng)性，因此支持移動(dòng)終端的無線接入系統(tǒng)除了應(yīng)具備固定無線接入系統(tǒng)所具有的功能外，還要具備一定的移動(dòng)性管理等蜂窩移動(dòng)通信系統(tǒng)所具有的功能。如果在價(jià)格上有所突破，移動(dòng)終端會(huì)更受用戶及運(yùn)營(yíng)商的歡迎。

三、無線接入系統(tǒng)的接口 無線接入系統(tǒng)中的各個(gè)功能實(shí)體通過一系列接口相互連接，并通過標(biāo)準(zhǔn)的接口與本地交換機(jī)和用戶終端相互連接。在無線接入系統(tǒng)中最重要的兩個(gè)接口是控制器與交換機(jī)之間的接口和基站與固定終接設(shè)備之間的無線接口。除此之外，無線接入系統(tǒng)所包含的接口還有控制器與基站之間的接口、控制器與網(wǎng)管中心之間的接口以及固定終接設(shè)備與用戶終端之間的接口。技術(shù)類型：

無線接入系統(tǒng)可分以下幾種技術(shù)類型: 模擬調(diào)頻技術(shù)

工作在470MHz頻率以下,通過FDMA方式實(shí)現(xiàn),因載頻帶寬小于25KHz,其用戶容量小,僅可提供話音通信或傳真等低速率數(shù)據(jù)通信業(yè)務(wù),適用于用戶稀少、業(yè)務(wù)量低的農(nóng)村地區(qū)。在超短波頻率已大量使用的情況下,在超短波頻段給無線接入技術(shù)規(guī)劃專用的頻率資源不會(huì)很多。因此,無線接入系統(tǒng)在與其他固定、移動(dòng)無線電業(yè)務(wù)互不干擾的前提下可共用相同頻率。

數(shù)字直接擴(kuò)頻技術(shù)

工作在1700MHz頻率以上,寬帶載波可提供話音通信或高速率、圖像通信等業(yè)務(wù),其具有通信范圍廣、處理業(yè)務(wù)量大的特點(diǎn),可滿足城市和農(nóng)村地區(qū)的基本需求。

數(shù)字無繩電話技術(shù)

可提供話音通信或中速率數(shù)據(jù)通信等業(yè)務(wù)。歐洲的DECT、日本的PHS等技術(shù)體制和采用PHS體制的UT斯達(dá)康的小靈通等系統(tǒng)用途比較靈活,既可用于公眾網(wǎng)無線接入系統(tǒng),也可用于專用網(wǎng)無線接入系統(tǒng)。最適宜建筑物內(nèi)部或單位區(qū)域內(nèi)的專用無線接入系統(tǒng)。也適宜公眾通信運(yùn)營(yíng)企業(yè)在用戶變換頻繁、業(yè)務(wù)量高的展覽中心、證券交易場(chǎng)所、集貿(mào)市場(chǎng)組建小區(qū)域無線接入系統(tǒng),或在小海島上組建公眾無線接入系統(tǒng)。

蜂窩通信技術(shù)

利用模擬蜂窩移動(dòng)通信技術(shù),如TACS、AMPS等技術(shù)體制和數(shù)字蜂窩移動(dòng)通信技術(shù)?如GSM、DAMPS、IS-95CDMA和正在討論的第3代無線傳輸技術(shù)等技術(shù)體制組建無線接入系統(tǒng),但不具備漫游功能。這類技術(shù)適用于高業(yè)務(wù)量的城市地區(qū)。通訊技術(shù) 無線接入 調(diào)頻技術(shù)

三、廣域網(wǎng)接入技術(shù)

目前可供接入廣域網(wǎng)的方式有十種，即：PSTN、ISDN、ADSL、VDSL、DDN、Cable-Modem、LAN、PON、LMDS和 PLC。簡(jiǎn)介如下： PSTN（撥號(hào)上網(wǎng)）

PSTN（公用電話交換網(wǎng)）通過普通電話線“-撥號(hào)接入”上網(wǎng)。最高速率為56kbps，實(shí)際速率為20－50kbps，其速率遠(yuǎn)遠(yuǎn)不能滿足多媒體信息傳輸需求，但方便，只要能打電話，再加上MODEM（調(diào)制解調(diào)器）即可。不足之處是在上網(wǎng)時(shí)不能撥打電話。ISDN（一線通）、ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）在上網(wǎng)時(shí)可任意撥打電話。普通Modem撥號(hào)需要等待１到５分鐘才能接入，ISDN只需要１至３秒鐘就可實(shí)現(xiàn)接入，速度可達(dá)56－128kbps。窄帶ISDN也不能滿足高質(zhì)量的VOD等寬帶應(yīng)用。使用ISDN需要專用終端設(shè)備。

ADSL

ADSL（非對(duì)稱數(shù)字用戶環(huán)路）是一種通過普通電話線路提供寬帶數(shù)據(jù)業(yè)務(wù)的技術(shù)。它支持上行640kbps－1Mbps與下行1Mbps－8Mbps的速率，其有效傳輸距離為３－５公里。

ADSL無需撥號(hào)，始終在線，用戶到機(jī)房是專線，局端出口是共享方式。ADSL接入需要網(wǎng)卡或USB接口和ADSL MODEM。VDSL

VDSL（甚高速數(shù)字用戶環(huán)路），它是ADSL的快速版，其短距離內(nèi)的最大下載速率可達(dá)55Mbps，上傳速率可達(dá)2.3Mbps。DDN

DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)），進(jìn)網(wǎng)速率最高可達(dá)2M，接入方式一般為專線。

DDN專線向用戶提供永久性的數(shù)據(jù)連接，沿途不進(jìn)行復(fù)雜的軟件處理，因此延時(shí)較短，避免了傳統(tǒng)分組網(wǎng)中傳輸協(xié)議復(fù)雜等缺點(diǎn)。DDN專線接入采用交叉連接裝置，可根據(jù)用戶需要，在約定的時(shí)間內(nèi)接通。

有線寬帶網(wǎng)

Cable-Modem（線纜調(diào)制解調(diào)器）是一種超高速M(fèi)odem，它利用現(xiàn)成的有線電視網(wǎng)進(jìn)行數(shù)據(jù)傳輸。它有對(duì)稱速率型和非對(duì)稱速率型兩種連接方式，前者上傳和下載速率相同，在500kbps－2Mbps之間，后者上傳速率在500kbps－10Mbps之間，下載速率為2Mbps－10Mbps。由于采用共享結(jié)構(gòu)，隨著用戶的增加，接入速度會(huì)有所下降。有線寬帶網(wǎng)需租用電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)出口。LAN（小區(qū)寬帶）

LAN方式介入是利用以太網(wǎng)技術(shù)，采用光纜加雙絞線的方式對(duì)社區(qū)進(jìn)行綜合布線，形成局域網(wǎng)，用戶的電腦通過網(wǎng)線與網(wǎng)卡相連，實(shí)現(xiàn)上網(wǎng)。LAN可提供10M以上的共享帶寬。

PON（無源光網(wǎng)絡(luò)）

PON是一種點(diǎn)對(duì)點(diǎn)的光纖傳輸和接入技術(shù)，在此網(wǎng)中不含有任何電子器件及電子電源，全部由光分路器等無源器件組成。PON每個(gè)用戶使用的帶寬可從66kbps到155Mbps間靈活劃分。LMDS（無線接入寬帶）

LMDS（本地多點(diǎn)分配接入系統(tǒng)）是目前可用于社區(qū)寬帶接入的一種無線接入技術(shù)。每個(gè)終端用戶帶寬可達(dá)25Mbps，總?cè)肓繛?00Mbps。每基站下的用戶共享帶寬。

PLC（電力線上網(wǎng)）

PLC（電力通訊技術(shù)）是利用電力線傳輸數(shù)據(jù)和語音信號(hào)的一種通訊方式，需要上網(wǎng)時(shí)，通過連接在電腦上的“電力貓”，再與電源插座連接即可。多數(shù)電力線網(wǎng)采用寬帶共享，可實(shí)現(xiàn)14Mbps或45Mbps的傳輸率。

小結(jié)：

通過本次課程的學(xué)習(xí)，學(xué)生能掌握NAT的相關(guān)配置，熟悉當(dāng)前無線接入技術(shù)方案，形成統(tǒng)一的廣域網(wǎng)接入方案。

作業(yè)：

通過繪制簡(jiǎn)單網(wǎng)絡(luò)拓?fù)?，在其中進(jìn)行NAT配置，實(shí)現(xiàn)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換功能。

第五篇：Internet接入(NAT)實(shí)驗(yàn)報(bào)告

Internet 接入（NAT））

實(shí) 驗(yàn) 報(bào)告 告 實(shí)驗(yàn)室名稱：

成績(jī)：

姓名

學(xué)號(hào)

班級(jí)

試驗(yàn)臺(tái)號(hào)

試驗(yàn)組號(hào)

實(shí)驗(yàn)日期

實(shí)驗(yàn)名稱 實(shí)驗(yàn)六 Internet 的接入（NAT）和代理服務(wù)器 實(shí)驗(yàn)?zāi)康?1.了解代理服務(wù)器的主要功能和工作原理 2.了解 NAT 概念 3.掌握 Wingate 的安裝、配置和使用方法 4.在 win2000server 下配置 NAT

實(shí)驗(yàn)原理

1.服務(wù)器 TCP/IP 設(shè)置 實(shí)現(xiàn)與 Intemet 的通信，使用合法的 IP 地址、DNS 和網(wǎng)關(guān) 地 址 值。

另 一 塊網(wǎng) 卡 復(fù) 雜對(duì) 內(nèi) 連 接，IP 地址 設(shè) 為192.168.44.2，子 網(wǎng) 掩 碼 設(shè) 為 255.255.255.0，網(wǎng) 卡 為 ：192.168.44.1。

2.路由和遠(yuǎn)程訪問

對(duì) window firewall 禁用

進(jìn)入路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?/p>

實(shí)

驗(yàn)

步

驟

設(shè)置 NAT/基本防護(hù)墻

設(shè)置完畢 本機(jī) IP 192.168.44.2 Ping 210.22.16.5

可以 ping 通。

根據(jù)實(shí)驗(yàn)三新建網(wǎng)站 通過 210.22.16.5 主機(jī)訪問

成功！

實(shí)驗(yàn)結(jié)果與體會(huì)

通過本次實(shí)驗(yàn)學(xué)會(huì)了借助 NAT 接入 Internet，隨著計(jì)算機(jī)數(shù)量的不斷增加，IP 地址資源顯得捉襟見肘，借助 NAT，私有地址合法化，使用少量 IP地址，就可以讓局域網(wǎng)的主機(jī)與 Internet 通信。這次實(shí)驗(yàn)也結(jié)合了之前實(shí)驗(yàn)3 建站的知識(shí)。