我单位有数千用户，网通给分配了32个地址，为了大家上网一直做NAT，NAT中做了地址池，希望NAT转换时随机从地址池中取IP进行转换，按照Juniper的文档配置NAT部分如下
nat {
    pool natpool {
        address-range low 61.138.*.98 high 61.138.*.120;
        port automatic;
    }
    rule nat {
        match-direction output;
        term 1 {
            from {
                source-address {
                    222.27.64.0/19;
                }   
            }
            then {
                translated {
                    source-pool natpool;
                    translation-type source dynamic;
                }
            }
        }
    }
}

但是最近发现，大家上网都是正常的，但是测试发现地址池好像不起作用，NAT转换后的地址只有1个，就是地址池中最小的那个。
请问，我的配置中哪里有问题吗？或者说在配置路由器时，哪些关键地方我配错了？
请高手指点一下，这个问题困扰我好几个星期了，网上关于此的信息很少。

简要回答：

问题1：单位有10个机房及3个部门，可以划分13个VLAN来分别对应相应的部门及机房。由于一般不建议使用VLAN0，所以VLAN0保留用于各个接入交换机及企业核心网交换机之间传递VLAN协议使用（如：BDPU数据包，STP生成树协议等），因此，VLAN0+13个VLAN共使用14个VLAN

问题2：该问题描述不是很清楚，照常理，该问题是考察给定网络划分子网掩码的题。但按题目每个机房50台机器，共10个机房及部门，大约需要600个IP才可以保障。
按提示，如果使用NAT技术，实际中通常仅需1个公网地址既可以完成全部13个部门内网地址至公网地址的转化（PAT）。如果吹毛求疵的话，最多也就是用13个公网地址，每个部门用一个。

因此，此题仅可以理解为在给定的C类网络（211.100.58.0/24)中，划分13个等大小的子网。每个子网中的主机数量即为对应部门或机房（50个内部IP）可使用的公网地址。然后使用NAT地址池翻译的方法，将50个地址映射至这些子网地址上。

如果按上边的理解，C类网络如果想划分13个子网，则至少需要4位子网位才能保障(4为子网位最多可以划出16个子网，但需要设备支持子网位为全零的子网，否则只能划出15个），每个子网里最多可以有2的4次方减2（全零和全一两种情况）个主机。写出网段为：
211.100.58.0/28（4位子网位为全零）
211.100.58.16/28
211.100.58.32/28
211.100.58.48/28
211.100.58.64/28
211.100.58.80/28
211.100.58.96/28
211.100.58.112/28
211.100.58.128/28
211.100.58.144/28
211.100.58.160/28
211.100.58.176/28
211.100.58.192/28
211.100.58.208/28
211.100.58.224/28
211.100.58.240/28
每个子网中可以有14个主机地址（16-2）。即，每个部门或机房可以使用14个主机地址作为NAT地址池中用作翻译的公网地址。

每个网段地址映射过程:
以CISCO设备为例，
首先，定义设备的两个接口为outside和 inside(cisco: ip nat inside/outside)
然后，定义地址池范围为211.100.58.0/28(ip nat pool LAB 211.100.58.1 211.100.58.1.14 netmask 255.255.255.240)
并且，使用相应的ACL列表定义哪个机房的地址使用此地址池(ip nat inside source list 1 pool LAB ， ip access-list 1 x.x.x.x x.x.x.x)

配置完毕后，相应X.X.X.X内部地址发送数据包至NAT设备后，NAT设备判断数据包的源地址符合ACL 1中的定义，则会将数据包的源地址替换为211.100.58.0/28地址池中可用的地址，当下一个x.x.x.y的内部地址发送数据包至NAT设备后，NAT设备会使用地址池中其他未使用的地址。

NAT设备将数据包源地址替换后，想外侧接口（outside）发出数据包，并建立一个NAT转换表，以记录哪个内部源地址x.x.x.x被替换为了地址池211.100.58.0/28中的哪个地址。当外侧的数据包返回时，NAT设备再次修改相应的目的地址为内部地址（inside），并从内部接口转发数据包

你可以为你的计算机设置固定的ip地址，也可以用路由器的DHCP服务为你的计算机自动分配一个ip地址。而DHCP自动分配的ip地址在用户少的情况下，会默认每次分配同一个ip地址给同一个MAC地址，虽然这看上去有点像静态ip地址，但是原理和方式还是DHCP的动态ip地址哦。

你是采用固定ip还是采用pppoe形式上网的。如果是用pppoe的话就不用设置动态的nat地址池了，如果是多个固定ip 要确保在某一范围，因为nat池是以范围来确定的。

NAT分静态映射 动态映射和端口映射3类 静态映射就是内网和外网IP 一一对应的映射 动态映射是范围到范围的对应 当然外网IP是先到先得的 而端口影射则有一个复用的概念 所谓复用 就是把一个IP分给多个用户使用 一般来说一个IP可以拆分成4000条TCP进程 所以理论上即使NAT池里只有1个IP地址 最多也可以承载4000个用户同时使用

为什么会有nat地址转换
那是为了节省ip地址的开销
因为全球ip地址是有限的
所以 nat是一种 只需要一个ip地址就可以让局域网内的用户都可以上网的技术。

随着IPv6时代的到来，我也一直怀疑，是不是还有必要再去学习NAT技术——因为网络的资源不再如IPv4时代匮乏，而NAT技术正是为解决IP地址的紧缺而存在的，如此，NAT便没有存在的必要了。



但是，随着这篇文章的翻译，我的怀疑慢慢变成庆幸，渐而又变为肯定，通过翻译所学到的东西，不再仅仅是翻译第一手资料带来的成就感，更多的是通过翻译，去领悟技术前辈们的智慧与经验，也通过翻译，养成自己从第一手资料获得信息的习惯，从而将视野放得更宽，让理解更为透彻——至少，很多东西都是要经过仔细斟酌才真正转化为自己思想的一部分的。正是如此，我才坚定的要把这篇文章翻译完，也如之前所提到的，如果时间允许的话，我会用C#来写一些例子，让大家更好的理解NAT技术，掌握NAT技术（主要涉及到即时通讯、文件对等传输和语音应用三个方面）。






这篇文章主要是介绍一下“代理”机制的起因以及给P2P应用带来的不便，不需要任何基础知识：）






1. Introduction



1、简介






关键词：



middleboxe(s) —— 我翻译成“代理”，也许有更好的翻译



host —— 我翻译成“主机”，希望大家不要理解成服务器了，主机就是一台普通的终端机






Present-day Internet has seen ubiquitous deployment of "middleboxes" such as network address translators(NAT), driven primarily by the ongoing depletion of the IPv4 address space. The asymmetric addressing and connectivity regimes established by these middleboxes, however, have created unique problems for peer-to-peer (P2P) applications and protocols, such as teleconferencing and multiplayer on-line gaming. These issues are likely to persist even into the IPv6 world, where NAT is often used as an IPv4 compatibility mechanism [NAT-PT], and firewalls will still be commonplace even after NAT is no longer required.






在当今的Internet中，普遍存在使用“代理”设备来进行网络地址转换（NAT），导致这种现象的原因是 IPV4 地址空间的资源耗尽危机。虽然不对称 asymmetric 的地址分配和连通性制度已经在代理中被定义，但是却给端对端应用程序和协议制定造成了一些特殊的问题。像电话会议和多媒体网络游戏。这些问题即使在IPV6世界中还是会存在，因为NAT作为IPV4的一种兼容性机制经常被使用[NAT-PT]，并且防火墙将仍然将普遍存在，即使不再需要NAT技术。






Currently deployed middleboxes are designed primarily around the client/server paradigm, in which relatively anonymous client machines actively initiate connections to well-connected servers having stable IP addresses and DNS names.



Most middleboxes implement an asymmetric communication model in which hosts on the private internal network can initiate outgoing connections to hosts on the public network, but external hosts cannot initiate connections to internal hosts except as specifically configured by the middlebox's administrator. In the common case of NAPT, a client on the internal network does not have a unique IP address on the public Internet, but instead must share a single public IP address, managed by the NAPT, with other hosts on the same private network.The anonymity and inaccessibility of the internal hosts behind a middlebox is not a problem for client software such as web browsers, which only need to initiate outgoing connections. This inaccessibility is sometimes seen as a privacy benefit.






当前使用的“代理”技术主要是为 客户端/服务端 C/S 结构设计的，为了实现那些需要连接但是又没有固定IP地址的客户端能够连接到一台配置好的拥有固定IP和DNS域名的服务器。
大多数的“代理”使用一种 asymmetric 通信模型，即 私网（局域网） 的主机能发起一个“外出”连接去连接公网上的主机。 但是公网上的主机却无法发送信息给私网上的主机（除非对“代理”进行特殊的配置），NAPT（网络地址端口转换）的普通情况是，一个私网客户端不需要一个公网的固定的IP地址，但是必须要共享一个由NAPT控制的公网的固定IP地址（当然这个NAPT是处于同一个私网内部的）。这样的话，这些匿名的并且看起来难以触及的藏在NAT之后的内网主机对于像 Web浏览器 这种软件来说就不是一个问题,因为内网的主机只需要发起向外部的连接就可以了。这样一来，无法触及也还是有他的优点的——那就是具有保密性。

nat服务就是做这个的啊
nat服务会维护这一个列表
里面标记着数据是哪个内网机器请求的
数据返回的时候会索引那个表
然后把数据发回给请求的内网机器