谁能仔细讲解一下NAT过载和相关配置

上面那个讲的太复杂了,我给你讲述简单一点的嘛所为NAT过载就是在你配置NAT的时候在后面加上一个overload例如:ip nat inside source list 100 interface S0/1 overload 这个overload的作用就是使多个内网的私有IP地址映射成为一个公网IP地址,给你一个NAT过载的例子嘛例如网络中有switch 1台 路由器1台 switch的F0/1连接到router的F0/0,router的F0/1连接到ISP那么要使交换机下的所有主机都能上外网的话,配置如下第一步:定义你NAT范围可以是一个地址也可以是一个地址池=>ip nat inside source list 100 interface F0/1 overload (也可以是一个地址池,这里的接口表示我使用的就是哪个接口的地址作为出站地址)第二步:定义你的ACL表,就是你允许那些内部的主机访问外网access-list 100 permit any any第三步:定义你的出站接口和入站接口在router的F0/0接口下输入:ip nat inside 在F0/1下输入ip nat outside这样就完成了一个NAT的过载配置现在给你讲述哈NAT的知识,NAT有三种静态NAT 动态NAT PAT静态NAT和动态NAT都是一个IP地址对应一个IP地址所不同的是静态NAT的对应关系是绑定的每一个私网地址对应一个公网地址而动态NAT的对应关系是不绑定的每一个私网地址对应一个公网地址,但是下一次可能就不一定是你上次我使用的公网的地址PAT就是你所说的NAT过载,,他的特点就所有的私网主机可以对应一个公网IP地址

NAT 技术可以重写 IP 数据包的源 IP 或者目的 IP，被普遍地用来解决公网 IP 地址短缺的问题。它的主要原理就是，网络中的多台主机，通过共享同一个公网 IP 地址，来访问外网资源。同时，由于 NAT 屏蔽了内网网络，自然也就为局域网中的机器提供了安全隔离。

你既可以在支持网络地址转换的路由器（称为 NAT 网关）中配置 NAT，也可以在 Linux 服务器中配置 NAT。如果采用第二种方式，Linux 服务器实际上充当的是“软”路由器的角色。
Linux 内核提供的 Netfilter 框架，允许对网络数据包进行修改（比如 NAT）和过滤（比如防火墙）。在这个基础上，iptables、ip6tables、ebtables 等工具，又提供了更易用的命令行接口，以便系统管理员配置和管理 NAT、防火墙的规则。

其中，iptables 就是最常用的一种配置工具。要掌握 iptables 的原理和使用方法，最核心的就是弄清楚，网络数据包通过 Netfilter 时的工作流向。
熟悉 iptables 中的表和链后，我们以 NAPT 的三个分类为例，来具体解读一下：
在使用 iptables 配置 NAT 规则时，Linux 需要转发来自其他 IP 的网络包，所以你 千万不要忘记开启 Linux 的 IP 转发功能 。
Linux 中的 NAT ，基于内核的连接跟踪模块实现。所以，它维护每个连接状态的同时，也会带来很高的性能成本，对网络性能有一定影响。

那么，碰到 NAT 性能问题时，我们又该怎么办呢？
SystemTap  是 Linux 的一种动态追踪框架，它把用户提供的脚本，转换为内核模块来执行，用来监测和跟踪内核的行为。关于它的原理，你暂时不用深究，这里你只要知道怎么安装就可以了。
# yum   -y  install systemtap kernel-devel

# yum info  systemtap 
我们之前使用 tcpdump 抓包的方法，找出了延迟增大的根源。那么今天的案例，我们仍然可以用类似的方法寻找线索。不过，现在换个思路，因为今天我们已经事先知道了问题的根源——那就是 NAT。

回忆一下 Netfilter 中，网络包的流向以及 NAT 的原理，你会发现，要保证 NAT 正常工作，就至少需要两个步骤：
这个脚本，跟踪内核函数 kfree_skb() 的调用，并统计丢包的位置。

文件保存好后，执行下面的 stap 命令，就可以运行丢包跟踪脚本。

这里的 stap，是 SystemTap 的命令行工具：
#  man 1 perf-record

###############################################################

-a, --all-cpus
          System-wide collection from all CPUs (default if no target is specified)

-g

          Enables call-graph (stack chain/backtrace) recording

#################################################################
在 perf report 界面中，输入查找命令 / 然后，在d出的对话框中，输入 nf_hook_slow；最后再展开调用栈，就可以得到下面这个调用图：
不过，你可能还是很好奇，连接跟踪表里，到底都包含了哪些东西？这里的东西，又是怎么刷新的呢？

实际上，你可以用 conntrack 命令行工具 ，来查看连接跟踪表的内容。
# yum provides conntrack

# yum  -y install conntrack-tools

#  yum info   conntrack-tools
#  conntrack -L -o extended | wc -l
#  conntrack -L -o extended | awk '/^tcp$/ {sum[$6]++} END {for(i in sum) print i, sum[i]}'
#  conntrack -L -o extended | awk '{print $7}' | cut -d "=" -f 2 | sort | uniq -c | sort -nr | head -n 10
因为NAT 基于 Linux 内核的连接跟踪机制来实现，所以在分析 NAT 性能问题时，我们可以先从 conntrack 角度来分析，比如用 systemtap、perf 等，分析内核中 conntrack 的行文；然后，通过调整 netfilter 内核选项的参数，来进行优化。

其实，Linux 这种通过连接跟踪机制实现的 NAT，也常被称为有状态的 NAT，而维护状态，也带来了很高的性能成本。

所以，除了调整内核行为外，在不需要状态跟踪的场景下（比如只需要按预定的 IP 和端口进行映射，而不需要动态映射），我们也可以使用无状态的 NAT （比如用 tc 或基于 DPDK 开发），来进一步提升性能。
案例篇：如何优化 NAT 性能？（上）

>NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。如图
简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10000~10255255255，1721600~17216255255，19216800~192168255255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址19216811映射为外部地址202962311，外部访问202962311地址实际上就是访问访问19216811。另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。
NAT技术类型
NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port－Level NAT）。
其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。
动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

NAT：（Network Address Translation）网络地址转换技术

作用是将内网私有地址转换成公网地址，使得内网的主机可以上外网。

私有地址：任何人都可以使用

A 10000/8

B 1721600-17231255255

C 19216800/16
基础配置：

配置好ip地址

出口缺省路由

120 静态NAT ：static NAT ：一对一（一 一映射），一个私网地址对应一个公网地址，

外网的用户可以访问内网的主机。

global：全局公网地址

local ：内网私有地址

inside ：内网 内部

outside：外部

int gi 0/0/1 (在外网口配置）

nat static global 12112 inside 192168312 将私网地址312 和12112 做一 对一

的映射。

调试：查看nat 的转换过程

dis nat session protocol icmp
缺点：有多少个私网地址就需要多少个公网地址。

NAT 之 easy IP ：允许多个私网地址转换成一个公网ip，很常用。

出口：

先写acl 匹配内网私网地址段

acl number 2000

rule 5 permit source 192168310 000255

注：acl 用来做匹配范围时，没有默认隐含允许所有的规则。

int gi 0/0/1 (公网接口）

nat outbound 2000 （2000是acl 的表号）

原理：内网私网地址出包时转换成公网接口gi 0/0/1 当前的ip地址。

NAT 之 server NAT：可以将某服务器的某端口映射出去 （非常安全）
int gi 0/0/1

nat server protocol tcp global 12114 >