NAT предназначен для упрощения и преобразования IP адресов. Оно позволяет IP сетям которые используют незарегистрированные IP адреса подсоединяться к Интернет. NAT работает на Cisco маршрутизаторе который соединяет вместе две сети и транслирует частные (inside local) адреса во внутренней сети в публичные адреса (outside local) прежде чем пакеты направляются в другую сеть. Как часть своей функциональности, вы можете настроить NAT , чтобы вещать только один адрес во внешнюю сеть для целой сети. NAT эффективно скрывает внутреннюю сеть от внешнего мира. Поэтому он обеспечивает дополнительную безопасность.

Одна из основных функций NAT это статическая трансляция портов (Port Address Translation, PAT), которая называется ”overload” в конфигурациях Cisco. Статический PAT предназначен для преобразования вида один-в-один между локальными и глобальными адресами. Обычное использования статического PAT это позволить Интернет пользователям из публичной сети получить доступ, например, к Web серверу, расположенным в частной сети. Следующая табличка показывает три блока IP адресов доступных для приватного использования.



Адресное пространство                           Класс
10.0.0.0 - 10.255.255.255                              A
172.16.0.0 - 172.31.255.255                           B
192.168.0.0 - 192.168.255.255                        C

 

 

Сетевая диаграмма показана на рисунке:

 

В этом примере, Интернет сервис провайдер (ISP) назначает DSL абоненту только один единственный IP адрес, 171.68.1.1/24. Этот назначенный IP адрес является зарегистрированным уникальным IP адресом и называется внутренним глобальным адресом. Этот зарегистрированный адрес используется всей приватной сетью для выхода в Интернет, а также Интернет пользователями которые приходят из публичной сети чтобы достичь Web сервера в приватной сети.

Приватная сеть 192.168.0.0/24, подсоединяется к Ethernet интерфейса NAT маршрутизатора. Приватная сеть содержит несколько компьютеров и Web сервер. NAT роутер настраивается для трансляции незарегистрированных IP адресов (внутренние локальные адреса) которые приходят от этих PC в единственный публичный адрес (внутренний глобальный - 192.168.0.0/24) для выхода в Интернет.

IP адрес 192.168.0.0/24(Web сервер) это адрес в приватном адресном пространстве который не может маршрутизироваться в Интернет. Единственный видимый IP адрес для пользователей Интернет чтобы достичь Web сервер это 171.68.1.1. Поэтому NAT роутер настраивается для выполнения преобразования один-в-один между IP адресом 171.68.1.1 порт 80 и 192.168.0.5 порт 80.

 

version 12.1
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside

!--- Это внутренний локальный IP адрес и является приватным IP адресом.
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
!

!--- Это внутренний глобальный IP адрес.
!--- Это ваш публичный IP адрес и он дается вам вашим ISP.

interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside

!--- Это правило заставляет роутер выполнять PAT для всех станций за Ethernet интерфейсом,
!--- которые используют приватные IP адреса определенные в  листе доступа #1

ip nat inside source list 1 interface BVI1 overload

!--- Это правило выполняет статическую трансляцию адресов для Web сервера.
!--- С помошью данного правила, пользователи которые пытаются достичь 171.68.1.1 171.68.1.1 порт 80 (HTTP) транслируется в 192.168.0.5 порт 80 и наоборот. Поэтому Интернет пользователи могут просматривать Web сервер даже хотя последний расположен в приватной сети с приватными IP адресами.