网络地址转换（NAT）

网络地址转换（NAT） 网络地址转换(NAT,Network Address Traslation)被普遍应用于各类类型Internet接入方式和备种类型的网络中。缘由很简单，NAT不只完美地解决了lP地址不足的问题，并且还可以有效地避免来自网络外部的***，隐藏并保护网络内部的计算机。虽然NAT能够借助于某些代理服务器未实现，但考虑到运算成本和网络性能，不少时候都是在路由器上来实现的。关于NAT的考试在CISCO认证中，占有很大一部分，下面咱们从下面几个部分，由浅入深，带领您认识NAT，掌握NAT,精通NAT。 1、网络地址转换概述 随着接入Internet的计算机数量的不断猛增，IP地址资源也就越发显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，通常用户几乎申请不到整段的C类IP地址。在其余ISP那里，即便是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本没法知足网络用户的需求，因而也就产生了NAT技术。 l.NAT简介 借助于NAT，私有(保留)地址的"内部"网络经过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少许IP地址(甚至是1个)便可实现私有地址网络内全部计算机与Internet的通讯需求。 NAT将自动修改IP报文头申的源IP地址和目的IP地址，IP地址校验则在NAT处理过程当中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，因此还须要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址................ 2、网络地址转换的实现 在配置网络地址转换的过程以前，首先必须搞清楚内部接口和外部接□，以及在哪一个外都接口上启用NAT。一般状况下，链接到用户内部网络的接口是NAT内部接口，而链接到外部网络(如Internet)的接口是NAT外部接□................ 3、网络地址转换经典配置实例 示例一：所有采用端口复用地址转换 当ISP分配的IP地址数量不多，网络又没有其余特殊需求，即无需为Internet提供网络服务时，可采用端口利用地址转换方式，使网络内的计算机采用同一IP地址访问Internet，在节约IP地址资源的同时，又可有效保护网络内部的计算机。 网络环境为： 局域网采用10Mb/s光纤，以城域网方式接入Internet，如图4-2-2所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为192.168.100.1~192.101.254，局域网端口Ethernet 0的IP地址为192.168.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.131,链接ISP的端口Ethernet 1的IP地址为202.99.160.129,子网掩码为255.255.255.252。可用于转换的IP地址为202.99.160.130。要求网络内部的全部计算机都可访问Internet................ 网络地址转换(NAT)概述 网络地址转换(NAT,Network Address Traslation)被普遍应用于各类类型Internet接入方式和备种类型的网络中。缘由很简单，NAT不只完美地解决了lP地址不足的问题，并且还可以有效地避免来自网络外部的***，隐藏并保护网络内部的计算机。 虽然NAT能够借助于某些代理服务器未实现，但考虑到运算成本和网络性能，不少时候都是在路由器上来实现的。 随着接入Internet的计算机数量的不断猛增，IP地址资源也就越发显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，通常用户几乎申请不到整段的C类IP地址。在其余ISP那里，即便是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本没法知足网络用户的需求，因而也就产生了NAT技术。 l.NAT简介 借助于NAT，私有(保留)地址的"内部"网络经过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少许IP地址(甚至是1个)便可实现私有地址网络内全部计算机与Internet的通讯需求。 NAT将自动修改IP报文头申的源IP地址和目的IP地址，p地址校验则在NAT处理过程当中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，因此还须要同时对报文进行修改，以匹配IP头中已经修改过的源IP地址。不然，在报文数据都分崩嵌入IP地址的应用程序就不能正常工做。使人遗憾的是，尽管NAT的Cisco版本能够处理许多应用，但它毕竟也不是万能的，一些应用仍是没法被支持。表4一2一1列举了Cisco NAT支持的和不支持的应用。 2.NAT实现方式 NAT的实现方式有三种，即静态转换、动态转换相端口多路复用。 静态转换是指将内部网络的私有IP地址转换为公IP地址时，IP地址对是一对--的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，局实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不肯定的，而是随机的，全部被受权访问上ternet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址能够进行转换，以及用哪些合法地址做为外部地址时，就能够进行动态转换。动态转换可使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。能够未用动态转换的方式。 端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(FAT，Port Address Translation).采用端口多路复用方式。内部网络的全部主机都可共享一个合法外部IP地址实现对Internet的访问，从而能够最大限度地节约IP地址资源。同时，又可隐藏网络内部的全部主机，有效避兔来自internet的***"所以，目前网络申应用最多的就是端口多路复用方式了。 网络地址转换(NAT)的实现 在配置网络地址转换的过程以前，首先必须搞清楚内部接口和外部接□，以及在哪一个外都接口上启用NAT。一般状况下，链接到用户内部网络的接口是NAT内部接口，而链接到外部网络(如Internet)的接口是NAT外部接□。 1.静态地址转换的实现 假设内部局域网使用的lP地址段为192.168.100.1~192.168.100.254，路由器局域网端□(即默认网关)的IP地址为192.168.100•1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135，路由器在广域网中的IP地址为61.159.62.129，子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.63.130~61.159.62.134。要求将内部网止192.168.100.2~192.168.100.6分别转换为合法IP地址61.159.62.130~61.159.62.134。 第一步，设置外部端口。 interface serial 0 ip address 61.159.62.129.255.255.255.248 ip nat outside 第二步，设置内部端口。 interface ethernet 0 ip address 192.168.100.1.255.255.0 ip nat inside 第三步，在内部本地与内部合法地址之间创建静态地址转换。 ip nat inside source static 内部本地地址内部合法地址 示例： ip nat inside source static 192.168.100.2 61.159.62.130//将内部网络地址192.168.100.2转换为合法IP地址61.159.62.130 ip nat inside source static 192.168.100.3 61.159.62.131//将内部网络地址192.168.100.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.100.4 61.159.62.132//将内部网络地址192.168.100.4转换为合法IP地址61.159.62.132 ip nat inside source static 192.168.100.5 61.159.62.133//将内部网络地址192.168.100.5转换为合法IP地址61.159.62.133 ip nat inside source static 192.168.100.6 61.159.62.134//将内部网络地址192.168.100.6转换为合法IP地址61.159.62.134 至此，静态地址转换配置完毕。 2.动态地址转换的实现 假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口（即默认网关）的IP地址为172.16.100.1,子网掩码为255.255.2585.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191，路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。 第一步，设置外部端口。 设置外部端口命令的语法以下： ip nat outside 示例： interface serial 0//进入串行端口serial 0 ip address 61.159.62.129 255.255.248//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.248 ip nat outside //将串行口serial 0设置为外网端口 注意，能够定义多个外部端口。 第二步，设置内部端口。 设置内部接口命令的语法以下： ip nat inside 示例： interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。 注意，能够定义多个内部端口。 第三步，定义合法IP地址池。 定义合法IP地址池命令的语法以下： ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 其中，地址池名字能够任意设定。 示例： ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192//指明地址缓冲池的名称为net,IP地址范围为61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。须要注意的是，即便掩码为255.255.255.0，也会由起始IP地址和终止IP地址对IP地址池进行限制。 或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 注意，若是有多个合法IP地址范围，能够分别添加。例如，若是还有一段合法IP地址范围为"211.82.216.1~211.82.216.254"，那么，能够再经过下述命令将其添加至缓冲池中。 ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0 或 ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24 第四步，定义内部网络中容许访问Internet的访问列表。 定义内部访问列表命令的语法以下： access-listl 标号 permit 源地址 通配符（其中，标号为1~99之间的整数） access-listl permit 172.16.100.0 0.0.0.255 //容许访问Internet的网段为172.16.100.0~172.16.100.255，主机掩码为0.0.0.255。须要注意的是，在这里采用的是主机掩码，而非子网掩码。子网掩码与主机掩码的关系为：主机掩码+子网掩码=255.255.255.255。例如，子网掩码为255.255.0.0，则主机掩码为0.0.255.255；子网掩码为255.0.0.0,则主机掩码为0.255.255.255;子网掩码为255.252.0.0,则主机掩码为0.3.255.255;子网掩码为255.255.255.192，刚主机掩码为 0.0.0.63。 另外，若是想将多个IP地址段转换为合法IP地址，能够添加多个访问列表。例如，当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时，应当添加下述命令： access-list2 permit 172.16.98.0~0.0.0.255 access-list2 permit 172.16.99.0~0.0.0.255 第五步，实现网络地址转换。 在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命令语法以下： ip nat inside source list 访问列表标号 pool 内部合法地址池名字 示例： ip nat inside source list 1 pool chinanet 若是有多个内部访问列表，能够一一添加，以实现网络地址转换，如 ip nat insde source list 2 pool chinanet ip nat insde source list 2 pool chinanet 若是有多个地址池，也能够一一添加，以增长合法地址池范围，如 ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet 至此，动态地址转换设置完毕。 3.端口复用动态地址转换 内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口（即默认网关）的IP地址为10.100.100.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252，可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。 第一步，设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 in nat outside 第二步，设置内部端口。 interface ethernet 0 ?ip address 1.100.100.1 255.255.255.0 ?ip nat inside 第三步，定义合法IP地址池。 in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。因为本例只有一个IP地址可用，因此，起始IP地址与终止IP地址均为202.99.160.2。若是有多个IP地址，则应当分别键入起止的IP直址。 第四步，定义内部访问列。 access-list 1 permit 10.100.100.0 0.0.0.255 容许访问Internetr的网段为10.100.100.0~10.100.100.255，子网掩码为255.255.255.0。须要注意的是，在这里子网掩码的顺序跟日常所写的顺序相反，即0.255.255.255。 第五步，设置复用动态地址转换。 在全局设置模式下，设置在内部的本地地址与内部合法IP地址间创建复用动态地址转换。命令语法以下： ip nat inside source list访问列表号pool内部合法地址池名字overload 示例： ip nat inside source list1 pool onlyone overload //以端口复用方式，将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。 至此，端口复用动态地址转换完成。 网络地址转换(NAT)-实例 示例一：所有采用端口复用地址转换 当ISP分配的IP地址数量不多，网络又没有其余特殊需求，即无需为Internet提供网络服务时，可采用端口利用地址转换方式，使网络内的计算机采用同一IP地址访问Internet，在节约IP地址资源的同时，又可有效保护网络内部的计算机。 网络环境为： 局域网采用10Mb/s光纤，以城域网方式接入Internet，如图4-2-2所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为192.168.100.1~192.101.254，局域网端口Ethernet 0的IP地址为192.168.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.131,链接ISP的端口Ethernet 1的IP地址为202.99.160.129,子网掩码为255.255.255.252。可用于转换的IP地址为202.99.160.130。要求网络内部的全部计算机都可访问Internet。 案例分析： 既然只有一个可用的合法IP地址，同时处于局域网的服务器又只为局域网提供服务，而不容许Internet中的主机对其访问，所以彻底能够采用端口复用地址转换方式实现NAT，使得网络内的全部计算机都可独立访问Internet。 配置清单： interface fastethernet0/0 ip address 192.168.100.1 255.255.0.0 //定义本地端口IP地址 duplex auto speed auto ip nat inside // 定义为本地端口 ! interface fastethernet0/1 ip address 202.99.160.129 255.255.255.252 duplx auto speed auto ip nat outside ! ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定义合法IP地址池，名称为onlyone access-list 1 permit 192.168.100.0 0.0.0.255 //定义本地访问列表 access-list 1 permit 192.168.100.0 0.0.0.255 ip nat inside source list1 pool onlyone overload //采用端口复用动态地址转换 示例二：动态地址+端口复用地址转换 许多FTP网站考虑到服务器性能和Internet链接带宽的占用问题，都限制同一IP地址的多个进程访问。若是采用端口复地址转换方式，则网络内的因此计算机都采用同一IP地址访问Internet,那么，将所以而被禁止对该网站的访问。因此，当提供的合法IP地址数量稍多时，可同时采用端口复用和动态地址转换方式，从而既可保证全部用户都可以得到访问Internet的权力，同时，又不致、某些计算机因使用同一IP地址而被限制权限。须要注意的是，因为全部计算机都采用动态地址转换方式，所以Internet中的全部计算机将没法实现对网络内部服务器的访问。 网络环境： 局域网以2Mb/s DNA专线接入Internet，路由器选用安装了广域网模块的Cisco 2611,如图4-2-2所示。内部网络使用的IP地址段为172.16.100.1~172.16.102.254,局域网端口Ethernet 0的IP地址为172.16.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为202.99.160.130~202.99.160.190。要求网络部分的部分计算机能够不受任何限制地访问Internet，服务器无需提供Internet访问服务。 案例分析： 既然要求网络中的部分计算机能够不受任何限制地访问Internet,同时，服务器无需提供Internet访问服务，那么，只需采用动态地址转换+端口复用地址转换方式便可实现。部分有特殊需求的计算机采用动态地址转换的NAT方式，其余计算机则采用端口复用地址转换的NAT方式。所以，部分有特殊需求的计算机可采用内部网址172.16.100.1~172.16.100.254，并动态转换为合法地址202.99.160.130~202.99.160.189，其余计算机采用内部网址172.16.101.1~172.16.102.254,所有转换为202.99.160.190。 配置清单： interface fastethernet0/1 ip address 10.100.100.1 255.255.255.0 //定义局域网端口IP地址 duplex auto speed auto ip nat inside //定义为局域端口 ! interface serial 0/0 ip address 202.99.160.129 255.255.255.192 //定义广域网端口IP地址 ! duplex auto speed auto ip nat outside //定义为广域端口 ! ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定义合法IP地址池，名称为public ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定义合法IP地址池，名称为super ip nat inside source list1 pool super //定义列表达1采用动态地址转换 ip nat inside source list2 pool public overload? //定义列表2采用端口复用地址转换 access-list1 permit 172.16.100.0 0.0.0.255 //定义本地访问列表1 access-list2 permit 172.16.102.0 0.0.0.255 //定义本地访问列表2 access-list2 permit 172.16.102.0 0.0.0.255 示例三：静态地址转换+端口复用地址转换 其实在不少时候，网络中的服务器既为网络内部的客户提供网络服务，又同时为Internet中的用户提供访问服务。所以，若是采用端口复用地址转换或动态地址转换，将因为没法肯定服务器的IP地址，而致使Internet用户没法实现对网络内部服务器的访问。此时，就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说，对服务器采用静态地址转换，以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换，使全部用户都享有访问Internet的权力。 网络环境为： 局域网采用10Mb/s光纤，以城域网方式接入Internet，如图4-2-2所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为10.18.100.1~10.18.104.254,局域网端口Ethernet 0的IP地址为10.18.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为211.82.220.80~211.82.220.87，链接ISP的端口Ethernet 1的IP地址为211.82.220.81,子网掩码为255.255.255.248。要求网络内部的全部计算机都可访问Internet，而且在Internet中提供Web、E-mail、FTP和Media等4种服务。 案例分析： 既然网络内的服务器要求可以被Internet访问到，那么，这部分主机必须拥有合法的IP地址，也就是说，服务器必须采用静态地址转换。其余计算机因为没有任何限制，因此，可采用端口复用地址转换的NAT方式。所以，服务器可采用内网址10.18.100.1~10.18.100.254，并分别映射为一个合法的IP地址。其余计算机则采用内部网址10.18.101.1~172.16.104.254,并所有转换为一个合法的IP地址。 配置清单： interface fastethernet0/0 ip address 10.18.100.1 255.255.0.0 //定义局域网口IP地址 duplex auto speed auto ip nat inside //定义局域网口 ! interface fastethernet0/1 ip address 211.82.220.81 255.255.255.248 //定义广域网口IP地址 duplex auto speed auto ip nat outside //定义广域网口 ! ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定义合法IP地址池 access-list 1 permit 10.18.101.0 0.0.0.255 //定义本地访问列表1 access-list 1 premit 10.18.102.0 0.0.0.255 access-list 1 premit 10.18.103.0 0.0.0.255 access-list 1 premit 10.18.104.0 0.0.0.255 ip nat inside source list1 pool every overload //定义列表达1采用端口复用地址转换 ip nat inside source static 10.18.100.10 211.82.220.82 //定义静态地址转换 ip nat inside source static 10.18.100.11 211.82.220.83 ip nat inside source static 10.18.100.12 211.82.220.84 ip nat inside source static 10.18.100.13 211.82.220.85 示例四：TCP/UDP端口NAT映射 若是ISP提供的合法IP地址的数量较多，咱们天然能够采用静态地址转换+端口复用动态地址转换的方式得以完美实现。但若是ISP只提供4个IP地址，其中2个做为网络号和广播地址而不可以使用，1个IP地址要用于路由器定义为默认网关， 那么将只剩下1个IP地址可用。固然咱们也能够利用这个仅存的一个IP地址采用端口复用地址转换技术，从而实现整个局域网的Internet接入。可是因为服务器也采用动态端口，所以，Internet中的计算机将没法访问到网络内部的服务器。有没有好的解决问题的方案呢？这就是TCP/UDP端口NAT映射。 咱们知道，不一样应用程序使用的TCP/UDP的端口是不一样的，好比，Web服务使用50，FTP服务使用21，SMTP服务使用25，POP3服务使用110，等等。所以，能够将不一样的TCP端口绑定至不一样的内部IP地址，从而只使用一个合法的IP地址，便可在容许内部全部服务器被Internet访问的同时，实现内部全部主机对Internet访问。 网络环境： 局域网采用10Mb/s光纤，以城域网方式接入Internet，如图4-2-5所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为192.169.1.1~192.168.1.254，局域网端口Ethernet 0的IP地址为192.168.1.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为，211.82.220.128~211.82.220.131,链接ISP的端口Ethernet 1的IP地址为211.82.220.129,子网掩码为255.225.255.252，可用于转换的IP地址为211.82.220.130。要求网络内部的全部计算机都可访问Internet。 案例分析： 既然只有一个可用的合法IP地址，固然只能采用端口复用方式实现NAT，不过，因为同时又要求网络内部的服务器能够被Internet访问到，所以，必须使用PAT建立TCP/UDP端口的NAT映射。须要注意的是，也能够直接使用广域端口建立TCP/UDP端口的NAT映射，也就是说，即便只有一个IP地址，也能够完美实现端口复用。因为合法IP地址位于路由器端口上，因此，再也不须要定义NAT池，只简单地使用inside source list语句便可。 须要注意的是，因为每种应用服务都有本身默认的端口，因此，这种NAT方式下，网络内部每种应用服务中只能各自有一台服务器成为Internet中的主机，例如，只能有一台Web服务器，一台E-mail服务，一台FTP服务器。尽管能够采用改变默认端口的方式建立多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。 配置清单： interface fastethernet0/0 ip address 10.18.100.1 255.255.0.0 //指定局域网口的IP地址 duplex auto speed auto ip nat inside //指定局域网接口 ! interface fastethernet0/1 ip address 211.82.220.129 255.255.255.248 //指定广域网口的IP地址 access-list 1 permit 192.168.1.0 0.0.0.255 ! ip nat inside source list1 interface fastethernet0/1 overload //启用端口复用地址转换，并直接采用fastethernet0/1的IP地址。 ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80 ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21 ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25 ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110 示例五：利用地址转换实现负载均衡 随着访问量的上升，当一台服务器难以胜任时，就必须采用负载均衡技术，将大量的访问合理地分配至多台服务器上。固然，实现负载均衡的手段有许多种，好比能够采用服务器群集负载均衡、交换机负载均衡、DNS解析负载均衡等等。 其实除此之外，也能够经过地址转换方式实现服务器的负载均衡。事实上，这些负载均衡的实现大可能是采用轮询方式实现的，使每台服务器都拥有平等的被访问机会。 网络环境： 局域网以2Mb/s DDN专线拉入Internet,路由器选用安装了广域网模块的Cisco 2611,如图4-2-6所示。内部网络使用的IP地址段为10.1.1.1~10.1.3.254，局域网端口Ethernet 0的IP地址为10.1.1.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.110.198.80~202.110.198.87,链接ISP的端口Ethernet 1的IP地址为202.110.198.81,子网掩码为255.255.255.248。要求网络内部的全部计算机都可访问Internet，而且在3台Web服务器和2台FTP服务器实现负载均衡。 案例分析： 既然要求网络内全部计算机均可以接入Internet,而合法IP地址又只有5个可用，固然可采用端口复用地址转换方式。原本对服务器经过采用静态地址转换，赋予其合法IP地址便可。可是，因为服务器的访问量太大（或者是服务器的性能太差），不得不使用多台服务器做负载均衡，所以，必须将一个合法IP地址转换成多相内部IP地址，以轮询方式减轻每台服务器的访问压力。 配置文件： interface fastethernet0/1 ip adderss 10.1.1.1 255.255.0.0 //定义局域网端口IP地址 duplex auto speed auto ip nat inside //定义为局域端口 ! interface serial 0/0 ip address 202.110.198.81 255.255.255.248 //定义广域网端口IP地址 duplex auto speed auto ip nat outside //定义为广域端口 ! access-list 1 permit 202.110.198.82 //定义轮询地址列表1 access-list 2 permit 202.110.198.83 access-list 3 permit 10.1.1.0 0.0.255.255 //定义本地访问列表3 ! ip nat pool websev 10.1.1.2 10.1.1.1 255.255.255.248 type rotary //定义Web服务器的IP地址池，Rotary关键字表示准备使用轮询策略从NAT池中取出相应的IP地址用于转换进来的IP报文，访问202.110.198.82的请求将依次发送给10.1.1.二、10.1.1.2和10.1.1.4 ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定义合法IP地址池，名称为normal ip nat inside destination list 1 pool websev //inside destination list 语句定义与列表1相匹配的IP地址的报文将使用轮询策略 ip nat inside destination list 2 pool ftpsev