企业网络管理宝典 NAT设置入门篇

稳定运行了一段时间以后，企业A又接到总公司信息技术部领导的电话，说是近要调整全网的IP地址，对那些不规范的地址进行整理。询问原因，得知是因为其它省公司和外联单位也拉有多条专线，其中有一部分专线上的应用也需要总公司后台服务器去访问对端路由器后的服务器（即情况与A公司相同），而各外联单位的服务器对外映射地址存在冲突现象，导致总公司端在写广域网段回程路由时出现问题。考虑到全网网络架构的可控性，总公司提出让各分公司整理内部需要总公司参与访问的路由，将相关地址全部NAT为本地内网地址，这样总公司只需要访问到已经规划好的各省分公司内网地址段即可，不会存在地址冲突问题，而且整个网络也变得更加可控。

企业A按照总公司的指示，进行了针对性调整。调整的思路是将企业B提供的NAT后地址196.1.1.10在本地防火墙（或者是路由器的内网口E0/0上）上进行一次目标地址转换。即将原本访问196.1.1.10的需求变成访问本地内网地址的需求，同时在内网的核心交换机上添加一条路由，具体操作如下（以在路由器内网口E0/0上配置为例，防火墙同理）。

interface Ethernet0/0

description to coreswitch

ip address 9.9.9.9 255.255.255.252

nat outbound static

这里添加了一条方向向外（也即指向本地内网）的静态NAT，相应的NAT语句为：

nat static inside ip 196.1.1.10 global ip 9.9.20.5

这其中196.1.1.10是企业B提供的NAT后地址，9.9.20.5为企业A的内网IP地址规划段中的一个地址，与之相对应的是要在核心交换机上将静态路由也作针对性调整。这里要提醒大家注意一点，这里的global ip地址不要属于在核心交换上已经规划的VLAN。配置调整完以后，测试整个网络的数据，一切正常。

如图4所示，新的数据包流程变为，企业A内网中的笔记本电脑访问9.9.20.5，在到达本端SDH路由器内网口时进行NAT转换将目标地址转换为196.1.1.10，然后在S2/0口上又进行了一次源地址的NAT转换，将客户机本身的源地址转换成S2/0的接口地址（也即满足企业B的网络要求）——10.1.1.1。到此为止，总公司和企业B的需求都得到了实现。

 
图4

由此案例可以看出，如果不采用合理的NAT技术应用，总公司和企业B的需求是很难得到同时满足的。这其实就是大家在书本上常常看到的双向NAT转换的一个应用实例。在企业中，这种纯静态的NAT应用比例要远远大于动态NAT（有一个IP池供地址调用）和PAT。