6.1 NAT ：静态/动态

1.简要

  静态和动态NAT,现实环境使用的不多，因为租赁公网IP地址需要钱浪费不起。在路由和交换领域数据转发涉及到NAT时遵循以下规则：
  1.内网向外网发送数据时，先把数据发送给CPU进行NAT转换，如果NAT允许，后面才会查看路由信息。
  2.外网向内网发送数据时，先查看路由是否存在，如果路由允许，后面才会进行NAT转换。
  思科防火墙的NAT转换规则正好相反，至于华为防火墙暂时不清楚。

2.华为

  华为静态/动态NAT配置的拓扑图如下所示，公共配置如下：
  1.AR1的gi0/0/1端口IP地址是192.168.10.1/24，作为设备网关。
  2.AR2的gi0/0/0端口IP地址是10.0.12.2/24，与外网连接并且路由互通。
  3.外网设备gi0/0/0端口IP地址是10.0.12.1/24，与AR1互联并且IP互通。

2.1 静态

  要求设备内网IP地址192.168.10.3对应的外网IP地址是10.0.12.3，能ping通外网10.0.12.1。

1.配置AR1接口
[AR1]interface gi0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[AR1-GigabitEthernet0/0/0]nat static global 10.0.12.3 inside 192.168.10.3 netmask 255.255.255.255---静态1v1
[AR1-GigabitEthernet0/0/0]int gi 0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.10.1 24 
[AR1-GigabitEthernet0/0/1]q

2.配置AR1路由
[AR1]ospf ------igp选择ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]q

3.配置ISP接口
[ISP]interface gi0/0/0
[ISP-GigabitEthernet0/0/0]ip add 10.0.12.1 24

4.配置ISP路由
[ISP]ospf ------igp选择ospf
[ISP-ospf-1]area 0
[ISP-ospf-1-area-0.0.0.0]net 10.0.12.0 0.0.0.255
[ISP-ospf-1-area-0.0.0.0]q

5.测试
PC设备Ping ISP地址10.0.12.1，查看是否互通，并抓包查看IP地址是否转换。

2.2 动态

  要求设备内网IP地址192.168.10.3，可以在外网网段10.0.12.3 到10.0.12.100中随意选择一个IP地址，并于10.0.12.1互通。

1.配置外网nat地址池
[AR1]nat address-group 2 10.0.12.3 10.0.12.100 

2.配置acl
[AR1]acl 2000
[AR1]rule 5 permit source 192.168.1.0 0.0.0.255 

3.配置AR1接口
[AR1]interface gi0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.0.12.2 24
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 2-----NAT group与ACL绑定，不用nat static

4.其他配置
与静态配置中一致，不做描述。

5.测试
PC进行PING测试时，抓包查看源IP地址是否正确。

3.思科

  思科比华为多了一点概念，把对内接口定义为nat inside，对外的接口定义为nat outside，静态和动态拓扑图如下所示。通用配置R1的ether0/1是内部接口，IP地址192.168.10.1/24作为私有网关，ether0/0是外部接口，IP地址10.0.12.2/24；R2代表ISP的网络，ether0/0的IP地址10.0.12.1/24；两者通过OSPF建立路由。

3.1 静态

  要求设备内网配置IP地址192.168.10.2，对应的外网IP地址是10.0.12.3，能ping通外网10.0.12.1。

1.配置R1接口
R1(config)#int ether0/0
R1(config-if)#ip add 10.0.12.2 255.255.255.0 
R1(config-if)#ip nat outside   -----对外接口
R1(config-if)#no shutdown  ----记得开启
R1(config-if)#int ether0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0 
R1(config-if)#ip nat inside  -----内部接口
R1(config-if)#no shutdown  ----记得开启
R1(config-if)#ex  ----记得开启

2.R1配置NAT转换
R1(config)#ip nat inside source static 192.168.10.2 10.0.12.3

3.R1配置OSPF
R1(config)#router ospf 1
R1(config-router)#network 10.0.12.0 0.0.0.255 area 0

4.R2配置接口
R2(config)#int ether0/0
R2(config-if)#ip add 10.0.12.1 255.255.255.0 
R2(config-if)#no shutdown  ----记得开启
R2(config-if)#ex

5.R2配置ospf
R2(config)#router ospf 1
R2(config-router)#network 10.0.12.0 0.0.0.255 area 0

6.测试
PC1开始ping R2的接口IP地址10.0.12.1 ，抓包查看是否源IP地址是10.0.12.3

3.2 动态

  动态中R1的接口配置，R2全部配置都与静态配置一致，所以不再叙述。

2.创建ACL
R1(config)#access-list 1 permit 192.168.10.0 0.0.0.255 

3.创建动态地址池
R1(config)#ip nat pool test1 10.0.12.3 10.0.12.5 prefix-length 24

4.NAT转换
R1(config)#ip nat inside source list 1 pool test1 -----使用ACL 1和POOL test1关联

5.测试
PC1开始Ping R2的接口地址10.0.12.1，抓包查看源地址或用命令查看
R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 10.0.12.3:22182   192.168.10.2:22182 10.0.12.1:22182    10.0.12.1:22182
--- 10.0.12.3          192.168.10.2       ---                ---

4.总结

  动态NAT本质也是一个私有IP对应一个公网IP，当公网IP池用完没有释放之前，其他私有IP的设备无法连外网。