1 NAT предназначен для упрощения и преобразования IP адресов. Оно позволяет IP сетям которые используют незарегистрированные IP адреса подсоединяться к Интернет. NAT работает на Cisco маршрутизаторе который соединяет вместе две сети и транслирует частные (inside local) адреса во внутренней сети в публичные адреса (outside local) прежде чем пакеты направляются в другую сеть. Как часть своей функциональности, вы можете настроить NAT , чтобы вещать только один адрес во внешнюю сеть для целой сети. NAT эффективно скрывает внутреннюю сеть от внешнего мира. Поэтому он обеспечивает дополнительную безопасность.

Одна из основных функций NAT это статическая трансляция портов (Port Address Translation, PAT), которая называется ”overload” в конфигурациях Cisco. Статический PAT предназначен для преобразования вида один-в-один между локальными и глобальными адресами. Обычное использования статического PAT это позволить Интернет пользователям из публичной сети получить доступ, например, к Web серверу, расположенным в частной сети. Следующая табличка показывает три блока IP адресов доступных для приватного использования.

Адресное пространство	Класс
10.0.0.0 - 10.255.255.255	A
172.16.0.0 - 172.31.255.255	B
192.168.0.0 - 192.168.255.255	C

Сетевая диаграмма показана на рисунке:



В этом примере, Интернет сервис провайдер (ISP) назначает DSL абоненту только один единственный IP адрес, 171.68.1.1/24. Этот назначенный IP адрес является зарегистрированным уникальным IP адресом и называется внутренним глобальным адресом. Этот зарегистрированный адрес используется всей приватной сетью для выхода в Интернет, а также Интернет пользователями которые приходят из публичной сети чтобы достичь Web сервера в приватной сети.

Приватная сеть 192.168.0.0/24, подсоединяется к Ethernet интерфейса NAT маршрутизатора. Приватная сеть содержит несколько компьютеров и Web сервер. NAT роутер настраивается для трансляции незарегистрированных IP адресов (внутренние локальные адреса) которые приходят от этих PC в единственный публичный адрес (внутренний глобальный - 192.168.0.0/24) для выхода в Интернет.

IP адрес 192.168.0.0/24(Web сервер) это адрес в приватном адресном пространстве который не может маршрутизироваться в Интернет. Единственный видимый IP адрес для пользователей Интернет чтобы достичь Web сервер это 171.68.1.1. Поэтому NAT роутер настраивается для выполнения преобразования один-в-один между IP адресом 171.68.1.1 порт 80 и 192.168.0.5 порт 80.

Конфигурация Cisco 827

version 12.4
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- Это внутренний локальный IP адрес и является приватным IP адресом. 

!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto 
bridge-group 1
!

!--- Это внутренний глобальный IP адрес.
!--- Это ваш публичный IP адрес и он дается вам вашим ISP.
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside


!--- Это правило заставляет роутер выполнять PAT для всех станций за Ethernet интерфейсом, 
!--- которые используют приватные IP адреса определенные в  листе доступа #1

ip nat inside source list 1 interface BVI1 overload


!--- Это правило выполняет статическую трансляцию адресов для Web сервера. 
!--- С помошью данного правила, пользователи которые пытаются достичь 171.68.1.1 порт 80 (www) автоматически
!--- перенаправляются на 192.168.0.5 порт 80 (www). В данном случае это Web сервер 

ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 


ip classless

!--- IP адрес 171.68.1.254 это адрес следующего хопа также называемый шлюзом по умолчанию
!--- Ваш ISP может сказать вам какой IP адрес настраивать в качестве адреса следующего хопа.

ip route 0.0.0.0 0.0.0.0 171.68.1.254

!--- Этот лист доступа определяет приватную сеть над которыми выполняются адресные преобразования
access-list 1 permit 192.168.0.0 0.0.0.255

bridge 1 protocol ieee 
bridge 1 route ip 
!
end

С помощью команды show ip nat translation можно посмотреть таблицу преобразования адресов NAT.

827#show ip nat translation
Pro Inside global	  Inside local	  Outside local	   Outside global
tcp 171.68.1.1:80	  192.168.0.5:80	---				 ---
tcp 171.68.1.1:80	  192.168.0.5:80	198.133.219.1:11000 198.133.219.1:11000
827#

Inside local -это IP адрес назначенный Web серверу на внутренней сети. Заметим, что 192.168.0.5 это адрес в приватном адресном пространстве которое не может быть маршрутизировано в Интернет.
Inside global – это IP адрес внутреннего хоста, т.е Web сервера, как он видим во внешней сети. Этот адрес видят люди, когда пытаются получить доступ к Web серверу из Интернет.
Outside local – Это IP адрес внешнего хоста как он видим во внутренней сети. Нет никакой необходимости этому адресу быть легальным. Но он должен выделяться из адресного пространства, которое может быть маршрутизировано во внутренней сети.
Outside global – это IP адрес назначенный хосту во внешней сети владельцем этого хоста. Этот адрес выделяется из адресного пространства которое может быть глобально маршрутизируемым.

Заметим, что адрес 171.68.1.1 порт 80 (HTTP) транслируется в 192.168.0.5 порт 80 и наоборот. Поэтому Интернет пользователи могут просматривать Web сервер даже хотя последний расположен в приватной сети с приватными IP адресами.