网络地址端口转换NAPT：

1. 指定NAT内部接口
在内网相应接口的接口配置模式下执行：ip nat inside

2. 指定NAT外部接口
在外网相应接口的接口配置模式下执行：ip nat outside

3. 在全局配置模式下，定义内部全局地址池：
ip nat pool 地址池名 起始IP地址 终止IP地址 netmask 子网掩码

其中，地址池名可以任意设定，但最好有一定的说明意义。

4. 在全局配置模式下，定义一个标准的access-list规则，声明允许哪些内部本地地址可以进行复用地址转换：
access-list list-number permit 源地址 通配符
其中，list-number为1－99之间的一个任意整数。

5. 在全局配置模式下，定义符合先前定义的access-list规则的IP数据包与先前定义的地址池中的IP地址进行复用地址转换：
ip nat inside source list list-number pool 内部全局地址池名 overload

二、工作原理

了解原理之前先了解下NAT 术语。

在配置了 NAT 的路由器上，可以把整个网络分成两部分：内部网络 和 外部网络。

NAT 技术中有四个术语：

1. 内部本地地址（Inside Local）：内网中设备所使用的IP地址
2. 内部全局地址（Inside Global）：对于外部网络来说，局域网内部主机所表现的 IP 地址。
3. 外部本地地址（Outside Local）：外部网络主机的真实地址。
4. 外部全局地址（Outside Global）：对于内部网络来说，外部网络主机所表现的 IP 地址。外网设备所使用的真正的地址。

local 、global 是相对于端口状态说的，local是inside部分可以被路由的，global是outside部分可以被路由的。

网络地址转换常常和代理服务搞混，但是它们之间有明确的不同。NAT 对源和目的计算机都是透明的。没有任何一方会意识到它正在和第三方设备打交道。但是代理服务却不是透明的。源计算机知道它正向代理服务器发起一个请求，而且你还必须进行配置才能这样做。目的计算机会认为代理服务器就是与它直接通信的源计算机。还有，代理服务通常工作在 OSI 参考模型的第 4 层 (传输层) 或更高，而 NAT 工作在第 3 层 (网络层)。由于代理服务工作在更高层，所以通常它将比 NAT 要慢。

NAT 工作在 OSI 参考模型的网络层 (第3层) 是有道理的，因为路由器就工作在这一层：

NAT 原理

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。在运行NAT的路由器中，当数据包被传送时，NAT可以转换数据包的IP地址和TCP/UDP数据包的端口号。设置NAT功能的路由器至少要有一个Inside（内部）端口和一个Outside（外部）端口。内部端口连接内网的用户，外部端口一般连接到Internet。当IP数据包离开内部网络时，NAT负责将内网IP源地址（通常是专用地址）转换为合法的公共IP地址。当IP数据包进入内网时，NAT将合法的公共IP目的地址转换为内网的IP源地址。

NAT的基本工作原理是：当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址（全球唯一的IP地址）来替换内部局部地址，并转发数据包。

当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。

其实主要就是 修改 IP 数据包中的源 IP 地址，或目的 IP 地址。主要目的是把 RFC1918所提议的私有地址转变成在 Internet 上可路由的公有合法地址。对于某些有限的应用（如 DNS、 FTP 等），它也可以修改 IP 数据包有效载荷中的地址。由于应用的复杂性， NAT 目前支持的应用有限，当然，如果需要，完全可以针对新的应用做相应的开发工作。

总体来说，NAT进行地址转换的过程就是“本地地址”与“全局地址”之间的转换过程，无论数据包是从内部网络发往外部网络，还是从外部网络发往内部网络。不同的只是本地地址和全局地址所对应的网络不同，以及数据包重新封装的源和目的地址不同。具体如图所示。

NAT基本地址转换原理

这个过程是通过NAT中的本地址与全局地址映射条目来实现的，所以事先要在NAT路由器上配置这样的映射条目。

NAT中的转换方式:

1. 从内网中设备上发出的IP包是以“inside local address”作为源地址，以“outside local address”作为目的地址。当数据包到达NAT设备的“inside”接口后，地址分别被翻译成“inside global address”和“outside global address”并从“outside”接口送出。

2. 外网设备上发出的IP包以“outside global address”作为源地址，以“inside global address”作为目的地址。当数据包到达NAT设备的“outside”接口后，地址分别被翻译成“outside local address”和“inside local address”并从“inside”接口送出。

当内部网络用户访问外部网络时，所进行的是“内部本地地址”和“内部全局地址”之间的转换。

在NAT路由器接收到来自内部网络主机发送的数据包时，其源IP地址（SA）为“内部本地地址”，目的IP地址（DA）为“外部本地地址”。当数据包被转发到外部网络时，数据包的源IP地址（SA）就会转变为“内部全局地址”，而目的IP地址（DA）被转变为“外部全局地址”。也就是把数据包的所有源IP地址（SA）和目的IP地址（DA）全部由本地地址转换为全局地址。如图6-9上部分数据包IP地址转换示意图。

相反，当外部网络用户访问内部网络时，所进行的是“外部本地地址”和“外部全局地址”之间的转换。