哪些設備具有nat功能

『壹』 nat類型有哪些

1、靜態NAT：

指將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換，可以實現外部網路對內部網路中某些特定設備（如伺服器）的訪問。

2、動態NAT：

將內部網路的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。

3、綜合NAT：

即埠地址轉換採用埠多路復用方式。內部網路的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。

NAT應用

靜態NAT通過手動設置，使 Internet 客戶進行的通信能夠映射到某個特定的私有網路地址和埠。如果想讓連接在 Internet 上的計算機能夠使用某個私有網路上的伺服器（如網站伺服器）以及應用程序（如游戲），那麼靜態映射是必需的。靜態映射不會從 NAT 轉換表中刪除。

如果在 NAT 轉換表中存在某個映射，那麼 NAT 只是單向地從 Internet 向私有網路傳送數據。這樣，NAT 就為連接到私有網路部分的計算機提供了某種程度的保護。但是，如果考慮到 Internet 的安全性，NAT 就要配合全功能的防火牆一起使用。

『貳』 路由都有nat功能么

凡是路由器都具有nat功能，這個功能不能被關閉，但是你可以不用。如果不需要nat功能，那麼完全沒必要用路由器，三層交換機即可

『叄』 什麼交換機有natnat需要配置什麼方面的東西

交換機沒有nat功能
路由器才支持nat功能的。nat就是代理上網，看路由器級別吧，低端的默認就開啟了（如家用路由）
企業級的一般都是自己定義那些ip可以nat的。

『肆』 NAT的特性及應用場合

NAT英文全稱是「Network Address Translation」，中文意思是「網路地址轉換」，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標准，允許一個整體機構以一個公用IP（Internet Protocol）地址出現在Internet上。顧名思義，它是一種把內部私有網路地址（IP地址）翻譯成合法網路IP地址的技術。如圖

簡單的說，NAT就是在區域網內部網路中使用內部地址，而當內部節點要與外部網路進行通訊時，就在網關（可以理解為出口，打個比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（internet）上正常使用，NAT可以使多台計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個區域網中的計算機接入Internet中。這時，NAT屏蔽了內部網路，所有內部網計算機對於公共網路來說是不可見的，而內部網計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內部地址，是指在內部網路中分配給節點的私有IP地址，這個地址只能在內部網路中使用，不能被路由（一種網路技術，可以實現不同路徑轉發）。雖然內部地址可以隨機挑選，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT將這些無法在互聯網上使用的保留IP地址翻譯成可以在互聯網上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網路信息中心）或者ISP(網路服務提供商)分配的地址，對外代表一個或多個內部局部地址，是全球統一的可定址的地址。

NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能，網路管理員只需在路由器的IOS中設置NAT功能，就可以實現對內部網路的屏蔽。再比如防火牆將WEB Server的內部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業來說，現在通過軟體也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

NAT技術類型

NAT有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網路地址埠轉換NAPT（Port－Level NAT）。

其中靜態NAT設置起來最為簡單和最容易實現的一種，內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。而動態地址NAT則是在外部網路中定義了一系列的合法地址，採用動態分配的方法映射到內部網路。NAPT則是把內部地址映射到外部網路的一個IP地址的不同埠上。根據不同的需要，三種NAT方案各有利弊。

動態地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用於撥號，對於頻繁的遠程聯接也可以採用動態NAT。當遠程用戶聯接上之後，動態地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以後使用。

網路地址埠轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用於接入設備中，它可以將中小型的網路隱藏在一個合法的IP地址後面。NAPT與動態地址NAT不同，它將內部連接映射到外部網路中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP埠號。

在Internet中使用NAPT時，所有不同的信息流看起來好像來源於同一個IP地址。這個優點在小型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基於PPP的動態IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到節省的ISP上網費用和易管理的特點，用NAPT還是很值得的。

。

----------------------------------------------------------------------------

隨著internet的網路迅速發展，IP地址短缺已成為一個十分突出的問題。為了解決這個問題，出現了多種解決方案。下面幾紹一種在目前網路環境中比較有效的方法即地址轉換(NAT)功能。

一、NAT簡介

NAT(Network Address Translation)的功能，就是指在一個網路內部，根據需要可以隨意自定義的IP地址，而不需要經過申請。在網路內部，各計算機間通過內部的IP地址進行通訊。而當內部的計算機要與外部internet網路進行通訊時，具有NAT功能的設備（比如：路由器）負責將其內部的IP地址轉換為合法的IP地址（即經過申請的IP地址）進行通信。

二、NAT 的應用環境：

情況1：一個企業不想讓外部網路用戶知道自己的網路內部結構，可以通過NAT將內部網路與外部Internet 隔離開，則外部用戶根本不知道通過NAT設置的內部IP地址。

情況2：一個企業申請的合法Internet IP地址很少，而內部網路用戶很多。可以通過NAT功能實現多個用戶同時公用一個合法IP與外部Internet 進行通信。

三、設置NAT所需路由器的硬體配置和軟體配置：

設置NAT功能的路由器至少要有一個內部埠（Inside），一個外部埠（Outside）。內部埠連接的網路用戶使用的是內部IP地址。

內部埠可以為任意一個路由器埠。外部埠連接的是外部的網路，如Internet 。外部埠可以為路由器上的任意埠。

設置NAT功能的路由器的IOS應支持NAT功能(本文事例所用路由器為Cisco2501，其IOS為11.2版本以上支持NAT功能)。

四、關於NAT的幾個概念：

內部本地地址（Inside local address）：分配給內部網路中的計算機的內部IP地址。

內部合法地址（Inside global address）：對外進入IP通信時，代表一個或多個內部本地地址的合法IP地址。需要申請才可取得的IP地址。

五、NAT的設置方法：

NAT設置可以分為靜態地址轉換、動態地址轉換、復用動態地址轉換。

1、靜態地址轉換適用的環境

靜態地址轉換將內部本地地址與內部合法地址進行一對一的轉換，且需要指定和哪個合法地址進行轉換。如果內部網路有E-mail伺服器或FTP伺服器等可以為外部用戶提供的服務，這些伺服器的IP地址必須採用靜態地址轉換，以便外部用戶可以使用這些服務。

靜態地址轉換基本配置步驟：

（1）、在內部本地地址與內部合法地址之間建立靜態地址轉換。在全局設置狀態下輸入：

Ip nat inside source static 內部本地地址 內部合法地址

（2）、指定連接網路的內部埠 在埠設置狀態下輸入：

ip nat inside

（3）、指定連接外部網路的外部埠 在埠設置狀態下輸入：

ip nat outside

註：可以根據實際需要定義多個內部埠及多個外部埠。
2、動態地址轉換適用的環境：

動態地址轉換也是將本地地址與內部合法地址一對一的轉換，但是動態地址轉換是從內部合法地址池中動態地選擇一個末使用的地址對內部本地地址進行轉換。

動態地址轉換基本配置步驟：

（1）、在全局設置模式下，定義內部合法地址池

ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼

其中地址池名稱可以任意設定。

（2）、在全局設置模式下，定義一個標準的access-list規則以允許哪些內部地址可以進行動態地址轉換。

Access-list 標號 permit 源地址 通配符

其中標號為1-99之間的整數。

（3）、在全局設置模式下，將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。

ip nat inside source list 訪問列表標號 pool內部合法地址池名字

（4）、指定與內部網路相連的內部埠在埠設置狀態下：

ip nat inside

（5）、指定與外部網路相連的外部埠

Ip nat outside
3、復用動態地址轉換適用的環境：

復用動態地址轉換首先是一種動態地址轉換，但是它可以允許多個內部本地地址共用一個內部合法地址。只申請到少量IP地址但卻經常同時有多於合法地址個數的用戶上外部網路的情況，這種轉換極為有用。

注意：當多個用戶同時使用一個IP地址，外部網路通過路由器內部利用上層的如TCP或UDP埠號等唯一標識某台計算機。

復用動態地址轉換配置步驟：

在全局設置模式下，定義內部合地址池

ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼

其中地址池名字可以任意設定。

在全局設置模式下，定義一個標準的access-list規則以允許哪些內部本地地址可以進行動態地址轉換。

access-list 標號 permit 源地址 通配符

其中標號為1－99之間的整數。

在全局設置模式下，設置在內部的本地地址與內部合法IP地址間建立復用動態地址轉換。

ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 overload

在埠設置狀態下，指定與內部網路相連的內部埠

ip nat inside

在埠設置狀態下，指定與外部網路相連的外部埠

ip nat outside

『伍』 到底什麼樣的是NAT設備

NAT------網路地址轉換,是通過將專用的網路地址（企業內部網Intranet）轉換為公用地址（如互聯網Internet），從而對外隱藏了內部管理的IP地址。這樣，通過在內部使用非注冊的 IP 地址，並將它們轉換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及節省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內部網路結構，從而降低了內部網路受到攻擊的風險。

NAT功能通常被集成到路由器、防火牆、單獨的NAT設備中，當然，現在比較流行的操作系統或其他軟體（主要是代理軟體，如WINROUTE），大多也有著NAT的功能。NAT設備（或軟體）維護一個狀態表，用來把內部網路的私有IP地址映射到外部網路的合法IP地址上去。每個包在NAT設備（或軟體）中都被翻譯成正確的IP地址發往下一級。與普通路由器不同的是，NAT設備實際上對包頭進行修改，將內部網路的源地址變為NAT設備自己的外部網路地址，而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。

NAT分為三種類型：表態NAT（staticNAT）、NAT池（pooledNAT)和商品NAT（PAT）。其中靜態NAT將內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址，而NAT池則是在外部網路中定義了一系列的合法地址，採用動態分配的方法映射到內部網路，埠NAT則是把內部地址映射到外部網路的一個IP地址的不同埠上。

『陸』 什麼是NATNAPT有哪些特點NAT的優點和缺點有哪些NAT的優點和缺點有哪些

NAT（Network Address Translation，網路地址轉換）為1994年提出的，當在專用網內部的一些主機本來已經分配到了本地IP地址（即僅在本專用網內使用的專用地址），但現在又想和網際網路上的主機通信（並不需要加密）時，可使用NAT方法。

NAT的優點：通過NAT轉換，接入子網可以使用私用IP，對外連接時由路由綁定私用IP與對外IP的關系，修改傳輸的IP包上的地址，從而只需要255個對外IP就能滿足內部接入子網的對外連接需求。

缺點：

1、在一個具有NAT功能的路由器下的主機並沒有創建真正的IP地址，並且不能參與一些網際網路協議。一些需要初始化從外部網路創建的TCP連接和無狀態協議（比如UDP）無法實現。

除非NAT路由器管理者預先設置了規則，否則送來的數據包將不能到達正確的目的地址。一些協議有時可以在應用層網關（見下）的輔助下，在參與NAT的主機之間容納一個NAT的實例，比如FTP。NAT也會使安全協議變的復雜，比如IPsec。

2、NAT除了帶來方便和代價之外，對全雙工連接支持的缺少在一些情況下可以看作是一個有好處的特徵而不是一個限制。

在一定程度上，NAT依賴於本地網路上的一台機器來初始化和路由器另一邊的主機的任何連接，它可以阻止外部網路上的主機的惡意活動。這樣就可以阻止網路蠕蟲病毒來提高本地系統的可靠性，阻擋惡意瀏覽來提高本地系統的

NAPT的優勢：能夠使用一個全球有效IP地址獲得通用性。

缺點：在於其通信僅限於TCP或UDP。當所有通信都採用TCP或UDP，NAPT允許一台內部計算機訪問多台外部計算機，並允許多台內部主機訪問同一台外部計算機，相互之間不會發生沖突。

(6)哪些設備具有nat功能擴展閱讀

藉助於NAT，私有（保留）地址的"內部"網路通過路由器發送數據包時，私有地址被轉換成合法的IP地址，一個區域網只需使用少量IP地址（甚至是1個）即可實現私有地址網路內所有計算機與Internet的通信需求。

NAT將自動修改IP報文的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中，所以還需要同時對報文的數據部分進行修改，以匹配IP頭中已經修改過的源IP地址。

否則，在報文數據部分嵌入IP地址的應用程序就不能正常工作。

『柒』 請問什麼樣的交換機是支持NAT的!

交換機是二層設備，也就是說他只認識MAC地址，而不認識IP地址。
而NAT技術是對三層地址（IP地址）進行翻譯的，所以可以肯定的說二層交換機是不支持NAT的，路由器支持（三層交換機也支持，也就是帶路由功能的交換機，呵呵，現在高端的路由器和交換機的概念已經很模糊了）。
所以現在一般的路由器，包括TP-link、Dlink的SOHO寬頻路由器都支持NAT的

『捌』 關於系統的NAT功能

NAT------網路地址轉換,是通過將專用的網路地址（企業內部網Intranet）轉換為公用地址（如互聯網Internet），從而對外隱藏了內部管理的IP地址。這樣，通過在內部使用非注冊的 IP 地址，並將它們轉換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及節省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內部網路結構，從而降低了內部網路受到攻擊的風險。

NAT功能通常被集成到路由器、防火牆、單獨的NAT設備中，當然，現在比較流行的操作系統或其他軟體（主要是代理軟體，如WINROUTE），大多也有著NAT的功能。NAT設備（或軟體）維護一個狀態表，用來把內部網路的私有IP地址映射到外部網路的合法IP地址上去。每個包在NAT設備（或軟體）中都被翻譯成正確的IP地址發往下一級。與普通路由器不同的是，NAT設備實際上對包頭進行修改，將內部網路的源地址變為NAT設備自己的外部網路地址，而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。

NAT分為三種類型：表態NAT（staticNAT）、NAT池（pooledNAT)和商品NAT（PAT）。其中靜態NAT將內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址，而NAT池則是在外部網路中定義了一系列的合法地址，採用動態分配的方法映射到內部網路，埠NAT則是把內部地址映射到外部網路的一個IP地址的不同埠上。

/*

SMTP<->25

POP3<->110

FTP<->20,21

HTTP<->80

說到20，我來加一個小插曲。我們都知道FTP對應的埠應該是21，為什麼又冒出來一個20呢？其實，我們們進行FTP文件傳輸中，客戶端首先連接到FTP伺服器的21埠，進行用戶的認證，認證成功後，當我們要傳輸文件時，伺服器會開一個埠為20來進行傳輸數據文件，也就是說，埠20才是真正傳輸所用到的埠，埠21隻用於FTP的登陸認證。我們平常下載文件時，會遇到下載到99%時，文件不完成，不能成功的下載。其實是因為文件下載完畢後，還要在21埠再行進行用戶認證，而我們下載文件的時間如果過長，客戶機與伺服器的21埠的連接會被伺服器認為是超時連接而中斷掉，就是這個原因。解決方法就是設置21埠的響應時間。

*/

利用WINDOWS 2000 Server 進行NAT設置

WINDOWS 20000 SERVER FAMILY強大的網路功能，說起來真是VERY GOOD。她集成很多網路功能，比如說DHCP、DNS、SNMP、路由……，進行NAT的設置，我們只需要一個WINDOWS 2000 SERVER就足夠了，不必藉助於其他的軟體。

說干就干，我們以中文版的WINDOWS 2000 SERVER為例，在NAT伺服器上加兩塊網卡，一塊是與內部網路相連（如IP：192.168.0.35），另一塊則是與外部網路相連（如IP：88.88.88.88），在配置之前，要保證NAT伺服器與內部私有網路及外部公用網路的數據傳輸沒有故障。具體配置如下：

打開「開始——>程序——>管理工具——>路由和遠程訪問」，出現一個對話框，左側有一個「伺服器狀態」，一個「BDWSER（本地）」（不一定是BDWSER，其實就應該是你的機器名），點「BDWSER（本地）」，然後點「操作——>配置並啟用路由和遠程訪問」，會彈出一個的對話框，下一步，會出現如圖二的對話框，選擇「Internet連接伺服器」，下一步，

如圖三，選擇「設置有網路地址轉換（NAT）路由協議的路由器」，下一步

如圖四，選擇「使用選擇的Internet連接——>本地連接2」，這里要注意一點，「本地連接2」即為伺服器的外部連接，如本例中域名為5imax.net地址為88.88.88.88；而「本地連接」而是伺服器與內部網路的連接。然後「下一步——>完成」，此時「路由和遠程訪問」會自動啟動，我們稍侯等待「路由和遠程訪問」的啟動。

通過以上的配置，我們就可以利用NAT將內部地址轉發到外部地址，也就相當於本機（WINDOWS 2000 SERVER）可以通過NAT代理內部的機器共享上網了。如果NAT伺服器使用了DHCP，那麼客戶機只要自動獲取IP即可；如果沒有設置，客戶機要指定IP：192.168.0.*,子網掩碼:255.255.255.0,網關：192.168.0.35，DNS：202.97.224.68（使用本地ISP提供DNS伺服器地址即可）。接下來，我們應該來配置外部埠到內部埠的映射（如圖一中的88.88.88.88:80——>192.168.0.102:80），使得外部訪問者訪問http://www.5imax.net相應的HTTP服務時，NAT主機會將服務的請求自動轉換到內部網路所提供相應服務的主機上，反之，內部主機服務的反饋信息經由NAT主機轉換發送到外部訪問者。

在「路由和遠程訪問」對話框的左側，打開「BDWSER（本地）——>IP路由選擇——>網路地址轉換（NAT）」，這時在「路由和遠程訪問」對話框的右側窗口應該有二個介面，外部網路和內部網路（如圖五）。

在詳細信息窗格中，右鍵單擊要配置的介面，然後單擊「屬性」。 在「特殊埠」選項卡上，在「協議」中，單擊「TCP」或「UDP」（根據不同的服務選擇不同的協議，如HTTP服務為TCP，TFTP服務為UDP，但此例中並未涉及到UDP協議），然後單擊「添加」。 在「傳入埠」中，鍵入傳入公用通信的埠號（如圖六中的「傳入埠80）。在「傳出埠」中，鍵入專用網路資源的埠號（如圖六中的「傳出埠80」）。在「專用地址」中，鍵入專用網路資源的專用地址（如圖六中的「專用地址192.168.0.102」，即圖一所示主機C：192.168.0.102）。單擊「確定」，添加完畢。同樣，FTP和MAIL的服務添加的埠為20，21，25和110。

以上的例子是僅使用單個公用IP進行NAT的轉換，如果是使用多個公用IP，那麼我們在配置映射埠之前，要進行NAT地址池的設置。在詳細信息窗格中，右鍵單擊要配置的介面（即外部網路介面，本地連接2），然後單擊「屬性」。在「地址池」選項卡上，單擊「添加」，並執行下列操作之一：

如果正在使用以 IP 地址和子網掩碼表示的 IP 地址范圍，則在「起始地址」中鍵入起始 IP 地址，然後在「掩碼」中鍵入子網掩碼。

如果正在使用不能以 IP 地址和子網掩碼表示的 IP 地址范圍，在「起始地址」中鍵入起始 IP 地址，然後在「結束地址」中鍵入結束 IP 地址。

在設置埠映射時（即特殊埠），請單擊「在此地址池項上」，然後鍵入傳入公用通信的公用 IP 地址，其他的設置與上述的設置方法相訪。

到了這里，我們的全部工作——利用NAT主機代理內部網路共享Interent和內部網路到NAT主機的埠映射——就完成了。為了安全起見，我們最好在NAT主機的接入處加一個防火牆或設置NAT主機的「IP安全機制（IPSEC）」和「TCP/IP篩選」。「IP安全機制」和「TCP/IP篩選」的設置就在外部網路的TCP/IP協議中的安全選項中，參考WINDOWS 2000的幫助文件進行設置就可以，我們在這里就不再贅述了。

NAT的小結

當然，使用NAT進行埠映射，用NAT代理軟體同樣可以做到（比如說WINROUTE），而且相應的設置比較簡單，一般只要默認安裝上後，在軟體中進行簡單設置就可以了。手都寫累了，有機會我們以後再談。

利用NAT保護內部網路，特別是軟體的NAT，適用於小、中型的網路，而大型的網路一般要使用硬體（如路由），因為NAT服務也要消耗NAT伺服器的資源的。在大型的網路中，使用路由來做NAT，要做相應的安全設置，一般參考路由手冊及CISCO ISO安全模型即可。

NAT的使用，使內部網路相應於外部網路不可見化，入侵者要先侵入NAT伺服器（或NAT設備），然後利用NAT做跳板，進一步侵入內部網路。這樣，對於入侵者就有一定的難度，如果NAT伺服器與內部伺服器使用不同的操作系統，那麼入侵者需要對這兩個操作系統都要熟悉才可以做到的，這對於一般的入侵者來說，入侵行為無疑是提高了一個台階。文章到此結束，本文的意圖不僅僅只是一個步驟，而是希望大家以此為一個基點，利用現有的技術，組建出更安全的網路。

SMTP<->25

POP3<->110

FTP<->20,21

HTTP<->80

說到20，我來加一個小插曲。我們都知道FTP對應的埠應該是21，為什麼又冒出來一個20呢？其實，我們們進行FTP文件傳輸中，客戶端首先連接到FTP伺服器的21埠，進行用戶的認證，認證成功後，當我們要傳輸文件時，伺服器會開一個埠為20來進行傳輸數據文件，也就是說，埠20才是真正傳輸所用到的埠，埠21隻用於FTP的登陸認證。我們平常下載文件時，會遇到下載到99%時，文件不完成，不能成功的下載。其實是因為文件下載完畢後，還要在21埠再行進行用戶認證，而我們下載文件的時間如果過長，客戶機與伺服器的21埠的連接會被伺服器認為是超時連接而中斷掉，就是這個原因。解決方法就是設置21埠的響應時間。

*/

利用WINDOWS 2000 Server 進行NAT設置

WINDOWS 20000 SERVER FAMILY強大的網路功能，說起來真是VERY GOOD。她集成很多網路功能，比如說DHCP、DNS、SNMP、路由……，進行NAT的設置，我們只需要一個WINDOWS 2000 SERVER就足夠了，不必藉助於其他的軟體。

說干就干，我們以中文版的WINDOWS 2000 SERVER為例，在NAT伺服器上加兩塊網卡，一塊是與內部網路相連（如IP：192.168.0.35），另一塊則是與外部網路相連（如IP：88.88.88.88），在配置之前，要保證NAT伺服器與內部私有網路及外部公用網路的數據傳輸沒有故障。具體配置如下：

打開「開始——>程序——>管理工具——>路由和遠程訪問」，出現一個對話框，左側有一個「伺服器狀態」，一個「BDWSER（本地）」（不一定是BDWSER，其實就應該是你的機器名），點「BDWSER（本地）」，然後點「操作——>配置並啟用路由和遠程訪問」，會彈出一個的對話框，下一步，會出現如圖二的對話框，選擇「Internet連接伺服器」，下一步，

如圖三，選擇「設置有網路地址轉換（NAT）路由協議的路由器」，下一步

如圖四，選擇「使用選擇的Internet連接——>本地連接2」，這里要注意一點，「本地連接2」即為伺服器的外部連接，如本例中域名為5imax.net地址為88.88.88.88；而「本地連接」而是伺服器與內部網路的連接。然後「下一步——>完成」，此時「路由和遠程訪問」會自動啟動，我們稍侯等待「路由和遠程訪問」的啟動。

通過以上的配置，我們就可以利用NAT將內部地址轉發到外部地址，也就相當於本機（WINDOWS 2000 SERVER）可以通過NAT代理內部的機器共享上網了。如果NAT伺服器使用了DHCP，那麼客戶機只要自動獲取IP即可；如果沒有設置，客戶機要指定IP：192.168.0.*,子網掩碼:255.255.255.0,網關：192.168.0.35，DNS：202.97.224.68（使用本地ISP提供DNS伺服器地址即可）。接下來，我們應該來配置外部埠到內部埠的映射（如圖一中的88.88.88.88:80——>192.168.0.102:80），使得外部訪問者訪問http://www.5imax.net相應的HTTP服務時，NAT主機會將服務的請求自動轉換到內部網路所提供相應服務的主機上，反之，內部主機服務的反饋信息經由NAT主機轉換發送到外部訪問者。
在「路由和遠程訪問」對話框的左側，打開「BDWSER（本地）——>IP路由選擇——>網路地址轉換（NAT）」，這時在「路由和遠程訪問」對話框的右側窗口應該有二個介面，外部網路和內部網路（如圖五）。

在詳細信息窗格中，右鍵單擊要配置的介面，然後單擊「屬性」。 在「特殊埠」選項卡上，在「協議」中，單擊「TCP」或「UDP」（根據不同的服務選擇不同的協議，如HTTP服務為TCP，TFTP服務為UDP，但此例中並未涉及到UDP協議），然後單擊「添加」。 在「傳入埠」中，鍵入傳入公用通信的埠號（如圖六中的「傳入埠80）。在「傳出埠」中，鍵入專用網路資源的埠號（如圖六中的「傳出埠80」）。在「專用地址」中，鍵入專用網路資源的專用地址（如圖六中的「專用地址192.168.0.102」，即圖一所示主機C：192.168.0.102）。單擊「確定」，添加完畢。同樣，FTP和MAIL的服務添加的埠為20，21，25和110。

以上的例子是僅使用單個公用IP進行NAT的轉換，如果是使用多個公用IP，那麼我們在配置映射埠之前，要進行NAT地址池的設置。在詳細信息窗格中，右鍵單擊要配置的介面（即外部網路介面，本地連接2），然後單擊「屬性」。在「地址池」選項卡上，單擊「添加」，並執行下列操作之一：

如果正在使用以 IP 地址和子網掩碼表示的 IP 地址范圍，則在「起始地址」中鍵入起始 IP 地址，然後在「掩碼」中鍵入子網掩碼。

如果正在使用不能以 IP 地址和子網掩碼表示的 IP 地址范圍，在「起始地址」中鍵入起始 IP 地址，然後在「結束地址」中鍵入結束 IP 地址。

在設置埠映射時（即特殊埠），請單擊「在此地址池項上」，然後鍵入傳入公用通信的公用 IP 地址，其他的設置與上述的設置方法相訪。

到了這里，我們的全部工作——利用NAT主機代理內部網路共享Interent和內部網路到NAT主機的埠映射——就完成了。為了安全起見，我們最好在NAT主機的接入處加一個防火牆或設置NAT主機的「IP安全機制（IPSEC）」和「TCP/IP篩選」。「IP安全機制」和「TCP/IP篩選」的設置就在外部網路的TCP/IP協議中的安全選項中，參考WINDOWS 2000的幫助文件進行設置就可以，我們在這里就不再贅述了。

NAT的小結

當然，使用NAT進行埠映射，用NAT代理軟體同樣可以做到（比如說WINROUTE），而且相應的設置比較簡單，一般只要默認安裝上後，在軟體中進行簡單設置就可以了。手都寫累了，有機會我們以後再談。

利用NAT保護內部網路，特別是軟體的NAT，適用於小、中型的網路，而大型的網路一般要使用硬體（如路由），因為NAT服務也要消耗NAT伺服器的資源的。在大型的網路中，使用路由來做NAT，要做相應的安全設置，一般參考路由手冊及CISCO ISO安全模型即可。

NAT的使用，使內部網路相應於外部網路不可見化，入侵者要先侵入NAT伺服器（或NAT設備），然後利用NAT做跳板，進一步侵入內部網路。這樣，對於入侵者就有一定的難度，如果NAT伺服器與內部伺服器使用不同的操作系統，那麼入侵者需要對這兩個操作系統都要熟悉才可以做到的，這對於一般的入侵者來說，入侵行為無疑是提高了一個台階。文章到此結束，本文的意圖不僅僅只是一個步驟，而是希望大家以此為一個基點，利用現有的技術，組建出更安全的網路

『玖』 NAT是做什麼的

NAT——網路地址轉換，是通過將專用網路地址（如企業內部網Intranet）轉換為公用地址（如互聯網Internet），從而對外隱藏了內部管理的 IP 地址。這樣，通過在內部使用非注冊的 IP 地址，並將它們轉換為一小部分外部注冊的 IP 地址，從而減少了IP 地址注冊的費用以及節省了目前越來越缺乏的地址空間（即IPV4）。同時，這也隱藏了內部網路結構，從而降低了內部網路受到攻擊的風險。

NAT功能通常被集成到路由器、防火牆、單獨的NAT設備中，當然，現在比較流行的操作系統或其他軟體（主要是代理軟體，如WINROUTE），大多也有著NAT的功能。NAT設備（或軟體）維護一個狀態表，用來把內部網路的私有IP地址映射到外部網路的合法IP地址上去。每個包在NAT設備（或軟體）中都被翻譯成正確的IP地址發往下一級。與普通路由器不同的是，NAT設備實際上對包頭進行修改，將內部網路的源地址變為NAT設備自己的外部網路地址，而普通路由器僅在將數據包轉發到目的地前讀取源地址和目的地址。