端口地址轉(zhuǎn)換(PAT，Port AddressTranslation)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，又稱端口多路復用.采用端口多路復用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自Internet的攻擊。端口地址轉(zhuǎn)換首先是動態(tài)地址轉(zhuǎn)換，是根據(jù)端口號和地址進行映射轉(zhuǎn)換，允許多個局部地址同時共用一個全局地址，路由器會利用TCP或UDP端口號來唯一標識某臺IP主機，是一對多的關(guān)系。

網(wǎng)絡(luò)中有兩臺路由器互聯(lián)，其中R1和R2是通過以太網(wǎng)口連接，R1和R2各自連接一個本地局域網(wǎng)，IP地址分配如表所示，要求在路由器R1上配置基于端口的NAT，將PC1、PC2所在網(wǎng)段172.16.1.0/24的私有地址轉(zhuǎn)換為地址池222.196.1.3到222.196.1.100中的地址后訪問服務(wù)器Server0。整個網(wǎng)絡(luò)使用OSPF動態(tài)路由協(xié)議保證IP連通性。

基于端口的NAT配置

IP地址分配表

1 配置路由器R1

Router#config

Router_config#hostname R1

R1_config#int fa0/0

R1_config_f0/0#ip addr 172.16.1.1 255.255.255.0

R1_config_f0/1#ip addr 222.196.1.1 255.255.255.0

//配置路由器R1提供NAT服務(wù)

R1_config#ip nat pool outpool 222.196.1.3 222.196.1.100 255.255.255.0 #配置地址池名稱為outpool，池中地址范圍為222.196.1.3到222.196.1.100

R1_config#ip access-list standard pzhu

R1_config_std_nacl#permit 172.16.1.0 255.255.255.0

R1_config_std_nacl#exit

R1_config#ip nat inside source list pzhu pool outpool overload #配置PAT

//配置OSPF動態(tài)路由協(xié)議

R1_config#router ospf 1

R1_config_ospf_1#network 222.196.1.0 255.255.255.0 area 0

R1_config#int fa0/0

R1_config_f0/0#ip nat inside #配置NAT內(nèi)部接口

R1_config_f0/0#int fa0/1

R1_config_f0/1#ip nat outside #配置NAT外部接口

2 配置路由器R2

Router#config

Router_config#hostname R2

R2_config#int fa0/0

R2_config_f0/0#ip addr 125.66.248.1 255.255.255.0

R2_config_f0/0#int fa0/1

R2_config_f0/1#ip addr 222.196.1.2 255.255.255.0

R2_config#int loopback 0

R2_config_l0#ip addr 1.1.1.1 255.255.255.0

//配置OSPF動態(tài)路由協(xié)議

R2_config#router ospf 1

R2_config_ospf_1#network 222.196.1.0 255.255.255.0 area 0

R2_config_ospf_1#network 125.66.248.0 255.255.255.0 area 0

R2_config_ospf_1#network 1.1.1.0 255.255.255.0 area 0

3 查看R1和R2的路由表

R1的路由表

R1_config_f0/1#show ip route

......略

R2的路由表

R2_config#show ip route

......略

5.4 實驗調(diào)試

(1) debug ip nat detail

該命令可以查看地址翻譯的過程中的細節(jié)，包括報文的源、目的IP地址，協(xié)議、端口號，以及沒有翻譯成功的原因等。

在PC1和PC2上ping 125.66.248.2（PC2的IP地址），此時應(yīng)該是連通的。路由器R1的輸出如下信息：

R1#debug ip nat detail

R1#2004-1-18 01:28:54 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated

2004-1-18 01:28:54 NAT FastEthernet0/1: RX. ICMP s=125.66.248.2:512, d=222.196.1.3:512->172.16.1.2:512 translated

2004-1-18 01:28:55 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated

2004-1-18 01:28:55 NAT FastEthernet0/1: RX. ICMP s=125.66.248.2:512, d=222.196.1.3:512->172.16.1.2:512 translated

2004-1-18 01:28:56 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated

……………………………….

以上輸出表明路由器R1在網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中，首先把私有地址172.16.1.2轉(zhuǎn)換成公網(wǎng)地址222.196.1.3訪問地址125.66.248.2，然后當數(shù)據(jù)包回來的時候把公網(wǎng)地址222.196.1.3轉(zhuǎn)換成私有地址172.16.1.2，同時附帶了原地址和目的地址的端口號512。

關(guān)閉R1的NAT調(diào)試信息。

R1#no debug ip nat detail

（2）show ip nat translations

查看路由器R1的激活的NAT地址翻譯。

R1#show ip nat translations

Pro. Dir Inside local Inside global Outside local Outside global

ICMP OUT 172.16.1.2:512222.196.1.3:512125.66.248.2:512125.66.248.2:512