6.1 NAT ：靜態/動態

1.簡要

  靜態和動態NAT,現實環境使用的不多，因爲租賃公網IP地址需要錢浪費不起。在路由和交換領域數據轉發涉及到NAT時遵循以下規則：
  1.內網向外網發送數據時，先把數據發送給CPU進行NAT轉換，如果NAT允許，後面纔會查看路由信息。
  2.外網向內網發送數據時，先查看路由是否存在，如果路由允許，後面纔會進行NAT轉換。
  思科防火牆的NAT轉換規則正好相反，至於華爲防火牆暫時不清楚。

2.華爲

  華爲靜態/動態NAT配置的拓撲圖如下所示，公共配置如下：
  1.AR1的gi0/0/1端口IP地址是192.168.10.1/24，作爲設備網關。
  2.AR2的gi0/0/0端口IP地址是10.0.12.2/24，與外網連接並且路由互通。
  3.外網設備gi0/0/0端口IP地址是10.0.12.1/24，與AR1互聯並且IP互通。

2.1 靜態

  要求設備內網IP地址192.168.10.3對應的外網IP地址是10.0.12.3，能ping通外網10.0.12.1。

1.配置AR1接口
[AR1]interface gi0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[AR1-GigabitEthernet0/0/0]nat static global 10.0.12.3 inside 192.168.10.3 netmask 255.255.255.255---靜態1v1
[AR1-GigabitEthernet0/0/0]int gi 0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.10.1 24 
[AR1-GigabitEthernet0/0/1]q

2.配置AR1路由
[AR1]ospf ------igp選擇ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]q

3.配置ISP接口
[ISP]interface gi0/0/0
[ISP-GigabitEthernet0/0/0]ip add 10.0.12.1 24

4.配置ISP路由
[ISP]ospf ------igp選擇ospf
[ISP-ospf-1]area 0
[ISP-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255
[ISP-ospf-1-area-0.0.0.0]q

5.測試
PC設備Ping ISP地址10.0.12.1，查看是否互通，並抓包查看IP地址是否轉換。

2.2 動態

  要求設備內網IP地址192.168.10.3，可以在外網網段10.0.12.3 到10.0.12.100中隨意選擇一個IP地址，並於10.0.12.1互通。

1.配置外網nat地址池
[AR1]nat address-group 2 10.0.12.3 10.0.12.100 

2.配置acl
[AR1]acl 2000
[AR1]rule 5 permit source 192.168.1.0 0.0.0.255 

3.配置AR1接口
[AR1]interface gi0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 2-----NAT group與ACL綁定，不用nat static

4.其他配置
與靜態配置中一致，不做描述。

5.測試
PC進行PING測試時，抓包查看源IP地址是否正確。

3.思科

  思科比華爲多了一點概念，把對內接口定義爲nat inside，對外的接口定義爲nat outside，靜態和動態拓撲圖如下所示。通用配置R1的ether0/1是內部接口，IP地址192.168.10.1/24作爲私有網關，ether0/0是外部接口，IP地址10.0.12.2/24；R2代表ISP的網絡，ether0/0的IP地址10.0.12.1/24；兩者通過OSPF建立路由。

3.1 靜態

  要求設備內網配置IP地址192.168.10.2，對應的外網IP地址是10.0.12.3，能ping通外網10.0.12.1。

1.配置R1接口
R1(config)#int ether0/0
R1(config-if)#ip add 10.0.12.2 255.255.255.0 
R1(config-if)#ip nat outside   -----對外接口
R1(config-if)#no shutdown  ----記得開啓
R1(config-if)#int ether0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0 
R1(config-if)#ip nat inside  -----內部接口
R1(config-if)#no shutdown  ----記得開啓
R1(config-if)#ex  ----記得開啓

2.R1配置NAT轉換
R1(config)#ip nat inside source static 192.168.10.2 10.0.12.3

3.R1配置OSPF
R1(config)#router ospf 1
R1(config-router)#network 10.0.12.0 0.0.0.255 area 0

4.R2配置接口
R2(config)#int ether0/0
R2(config-if)#ip add 10.0.12.1 255.255.255.0 
R2(config-if)#no shutdown  ----記得開啓
R2(config-if)#ex

5.R2配置ospf
R2(config)#router ospf 1
R2(config-router)#network 10.0.12.0 0.0.0.255 area 0

6.測試
PC1開始ping R2的接口IP地址10.0.12.1 ，抓包查看是否源IP地址是10.0.12.3

3.2 動態

  動態中R1的接口配置，R2全部配置都與靜態配置一致，所以不再敘述。

2.創建ACL
R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255 

3.創建動態地址池
R1(config)#ip nat pool test1 10.0.12.3 10.0.12.5 prefix-length 24

4.NAT轉換
R1(config)#ip nat inside source list 1 pool test1 -----使用ACL 1和POOL test1關聯

5.測試
PC1開始Ping R2的接口地址10.0.12.1，抓包查看源地址或用命令查看
R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 10.0.12.3:22182   192.168.10.2:22182 10.0.12.1:22182    10.0.12.1:22182
--- 10.0.12.3          192.168.10.2       ---                ---

4.總結

  動態NAT本質也是一個私有IP對應一個公網IP，當公網IP池用完沒有釋放之前，其他私有IP的設備無法連外網。