静态动态NAT

随着互联网用户的增多，IPv4 的公有地址资源显得越发短缺。同时IPv4公有地址责源存在地

址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。为解决该问题，使用过渡技能

解决IPv4公有地址短缺就显得尤为必要，所以才有了NAT的概念

静态NAT:每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间

的关系是一对一映射。.支持双向互访:私有地址访问Internet经过出口设备NAT转换时，会被转换成

对应的公有地址。同时，外部网络访问内部网络时，其报文中携带的公有地址《目的地址)也会被

NAT没备转换成对应的私有地址。

参考下图

我们需要先配置三个PC机的IP地址还有网关等

然后配置基础的路由

AR1

sys
un in en
sysname R1
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/2
ip add 192.168.3.254 24
int g2/0/0
ip add 100.100.100.1 24
q
ip route-static 0.0.0.0 0 100.100.100.2    //回执路由，使其他路由可以通过

AR2

sys
un in en
sysname R2
int g0/0/0
ip add 100.100.100.2 24
int g0/0/1
ip add 200.200.200.1 30
q

这里我们已经配置完了基本的，然后如下图，我们ping100.100.100.1,是可以ping通的，因为

我们给了他回执路由，而100.100.100.2不行，因为这里是供应商的设备，我们没有权利修改，然

后就用到了我们的静态NAT技术，实现一对一的映射

AR1

interface GigabitEthernet2/0/0
nat static global 100.100.100.3 inside 192.168.1.1 netmask 255.255.255.255
nat static global 100.100.100.4 inside 192.168.2.1 netmask 255.255.255.255
nat static global 100.100.100.5 inside 192.168.3.1 netmask 255.255.255.255

在R1上配置静态NAT将内网主机私有地址，一对一映射到公网地址

这里我们可以ping200.200.200.2 的地址，进行抓包分析一下，如图，可以看见我们映射成功

动态NAT :静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发

送数据时，与之对应 的公有地址也处于使用状态。为了避免地址浪费，动态NAT提 出了地址池的

概念:所有可用的公有地址组成地址池，也就是一对多

当内邮主机访问外部网结时临时分配-个地址池中未使用的地址，并将谈地址标记为"In

Use"。当该主机不再访问外都网络时回收分配的地址，重新标记为"Not Use"。

参考下图

其实静态NAT和动态NAT的工作流程差不多，一个是一对一，一个是一对多

这里我们先配置三个PC机的IP地址，网关等

AR1 （这里的命令和静态基本相同）

sys
un in en
sysname R1
int g0/0/0
ip add 192.168.1.254 24
int g0/0/1
ip add 192.168.2.254 24
int g0/0/2
ip add 192.168.3.254 24
int g2/0/0
ip add 100.100.100.1 24
q
ip route-static 0.0.0.0 0 100.100.100.2

AR2

sys
un in en
sysname R2
int g0/0/0
ip add 100.100.100.2 24
int g0/0/1
ip add 200.200.200.1 30
q

配置动态NAT

AR1

nat address-group 1 100.100.100.3 100.100.100.254    //创建地址池
acl 2000                                            //设置地址转换的规则
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.2.0 0.0.0.255
rule 15 permit source 192.168.3.0 0.0.0.255
quit
int g2/0/0
nat outbound 2000 address-group 1 no-pat 
                        //接口下关联ACL与地址池进行动态地址转换，no-pat不进行端口转换

在R1上配置动态NAT将内网主机的私有地址动态映射到公有地址

这里我们可以ping200.200.200.2 的地址，进行抓包分析一下，如图