NAT技术：动态地址+端口复用地址转换

许多FTP网站考虑到服务器性能和Internet连接带宽的占用问题，都限制同一IP 地址的多个进程访问。如果采用端口复地址转换方式，则网络内的所以计算机都采用同一IP地址访问Internet,那么，将因此而被禁止对该网站的访问。所以，当提供的合法IP地址数量稍多时，可同时采用端口复用和动态地址转换方式，从而既可保证所有用户都能够获得访问Internet的权力，同时，又不致、某些计算机因使用同一IP

地址而被限制权限。需要注意的是，由于所有计算机都采用动态地址转换方式，因此Internet中的所有计算机将无法实现对网络内部服务器的访问。

网络环境：

局域网以2Mb/s DDA专线接入Internet，路由器选用安装了广域网模块的Cisco 2611,如图4-2-2所示。内部网络使用的IP地址段为172.16.100.1~172.16.102.254,局域网端口Ethernet 0的IP地址为172.16.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.129,子网掩码为

255.255.255.192,可用于转换的IP地址范围为202.99.160.130~202.99.160.190。要求网络部分的部分计算机可以不受任何限制地访问Internet，服务器无需提供Internet访问服务。

案例分析：

既然要求网络中的部分计算机可以不受任何限制地访问Internet,同时，服务器无需提供Internet访问服务，那么，只需采用动态地址转换+端口复用地址转换方式即可实现。部分有特殊需求的计算机采用动态地址转换的NAT方式，其他计算机则采用端口复用地址转换的NAT方式。因此，部分有特殊需求的计算机可采用内部网址

172.16.100.1~172.16.100.254，并动态转换为合法地址

202.99.160.130~202.99.160.189，其他计算机采用内部网址

172.16.101.1~172.16.102.254,全部转换为202.99.160.190。

配置清单：

interface fastethernet0/1

ip address 10.100.100.1 255.255.255.0 //定义局域网端口IP地址

duplex auto

speed auto

ip nat inside //定义为局域端口

!

interface serial 0/0

ip address 202.99.160.129 255.255.255.192 //定义广域网端口IP地址

!

duplex auto

speed auto

ip nat outside //定义为广域端口

!

ip nat pool public 202.99.160.190 202.130.160.190 netmask 255.255.255.192 //定义合法IP地址池，名称为public

ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定义合法IP地址池，名称为super

access-list1 permit 172.16.100.0 0.0.0.255 //定义本地访问列表1

access-list2 permit 172.16.101.0 0.0.0.255 //定义本地访问列表2

access-list2 permit 172.16.102.0 0.0.0.255

ip nat inside source list1 pool super //定义列表1采用动态地址转换

ip nat inside source list2 pool public overload //定义列表2采用端口复用地址转换