网络地址转换(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。防火墙都运行NAT，主要原因是：公网地址不够使用；隐藏内部IP地址，增加安全性；允许外网主机访问DMZ。

　　动态NAT和PAT

　　在图1中，内部主机访问外网和DMZ时，都需要转换源地址，配置方法如下：

　　FW(config)# nat (inside) 1 10.0.1.0 255.255.255.0

　　指定需要转换的源地址。其NAT ID为1。用于匹配global命令中的NAT ID。

　　FW(config)# global (outside) 1 61.136.150.10-61.136.150.20

　　指定用于替代源地址的地址池。其NAT ID为“1”，表明内口NAT ID为1的地址将被替换为地址池中的地址。该方式即为动态NAT。

　　FW(config)# global (dmz) 1 10.0.2.20

　　指定用于替代源地址的唯一地址。其NAT ID为“1”，表明内口NAT ID为1的地址都将被替换为同一地址(10.0.2.20)。该方式即为动态PAT。

　　收到来自内网的IP包后，防火墙首先根据路由表确定应将包发往哪个接口，然后执行地址转换。

　　静态NAT

　　在图1中，为使外部用户可访问DMZ中的服务器，除适当应用ACL外，还需将服务器的IP地址(10.0.2.1)映射(静态转换)为公网地址(如61.136.151.1)，静态转换命令如下：

　　FW (config)# static (dmz,outside) 61.136.151.1 10.0.2.1 netmask
　　255.255.255.255

　　本例中子网掩码为255.255.255.255，表示只转换一个IP地址。若参数形如“10.0.2.0 61.136.151.0 netmask 255.255.255.0”，则表示要完成一个子网到另一个子网的静态转换。

　　静态PAT

图1 多口NAT

　　在图1中，欲完成10.0.2.1:8080(TCP)到61.136.152.1:80(TCP)的静态映射，命令如下：

　　FW(config)# static (dmz,outside) tcp 61.136.152.1:80 10.0.2.1:8080 netmask255.255.255.255