随着互联网用户的增多，IPv4 的公有地址资源显得越发短缺。同时IPv4公有地址责源存在地

址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。为解决该问题，使用过渡技能

解决IPv4公有地址短缺就显得尤为必要，所以才有了NAT的概念

静态NAT

原理

静态NAT:每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间

的关系是一对一映射。.支持双向互访:私有地址访问Internet经过出口设备NAT转换时，会被转换成

对应的公有地址。同时，外部网络访问内部网络时，其报文中携带的公有地址《目的地址)也会被

NAT没备转换成对应的私有地址。

静态NAT实验

参考下图

我们需要先配置三个PC机的IP地址还有网关等

然后配置基础的路由

AR1

sys
un in en
sysname R1
int g0-regexp">/0/0
ip add 192.168.1.254 24
int g0-regexp">/0/1
ip add 192.168.2.254 24
int g0-regexp">/0/2
ip add 192.168.3.254 24
int g2-regexp">/0/0
ip add 100.100.100.1 24
q
ip route-static 0.0.0.0 0 100.100.100.2    //回执路由，使其他路由可以通过

AR2

sys
un in en
sysname R2
int g0-operator">/0-operator">/0
ip add 100.100.100.2 24
int g0-operator">/0-operator">/1
ip add 200.200.200.1 30
q

这里我们已经配置完了基本的，然后如下图，我们ping100.100.100.1,是可以ping通的，因为

我们给了他回执路由，而100.100.100.2不行，因为这里是供应商的设备，我们没有权利修改，然

后就用到了我们的静态NAT技术，实现一对一的映射

配置静态NAT

AR1

interface GigabitEthernet2/0/0
nat static global 100.100.100.3 inside 192.168.1.1 netmask 255.255.255.255
nat static global 100.100.100.4 inside 192.168.2.1 netmask 255.255.255.255
nat static global 100.100.100.5 inside 192.168.3.1 netmask 255.255.255.255

在R1上配置静态NAT将内网主机私有地址，一对一映射到公网地址

分析

这里我们可以ping200.200.200.2 的地址，进行抓包分析一下，如图，可以看见我们映射成功

动态NAT

原理

动态NAT :静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发

送数据时，与之对应 的公有地址也处于使用状态。为了避免地址浪费，动态NAT提 出了地址池的

概念:所有可用的公有地址组成地址池，也就是一对多

当内邮主机访问外部网结时临时分配-个地址池中未使用的地址，并将谈地址标记为"In

Use"。当该主机不再访问外都网络时回收分配的地址，重新标记为"Not Use"。

工作转换实例图

 

动态NAT实验

参考下图

其实静态NAT和动态NAT的工作流程差不多，一个是一对一，一个是一对多

这里我们先配置三个PC机的IP地址，网关等

配置路由

AR1 （这里的命令和静态基本相同）

sys
un in en
sysname R1
int g0-operator">/0-operator">/0
ip add 192.168.1.254 24
int g0-operator">/0-operator">/1
ip add 192.168.2.254 24
int g0-operator">/0-operator">/2
ip add 192.168.3.254 24
int g2-operator">/0-operator">/0
ip add 100.100.100.1 24
q
ip route-operator">-static 0.0.0.0 0 100.100.100.2

AR2

sys
un in en
sysname R2
int g0-operator">/0-operator">/0
ip add 100.100.100.2 24
int g0-operator">/0-operator">/1
ip add 200.200.200.1 30
q

配置动态NAT

AR1

nat address-group 1 100.100.100.3 100.100.100.254    //创建地址池
acl 2000                                            //设置地址转换的规则
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.2.0 0.0.0.255
rule 15 permit source 192.168.3.0 0.0.0.255
quit
int g2/0/0
nat outbound 2000 address-group 1 no-pat 
                        //接口下关联ACL与地址池进行动态地址转换，no-pat不进行端口转换

在R1上配置动态NAT将内网主机的私有地址动态映射到公有地址

分析

这里我们可以ping200.200.200.2 的地址，进行抓包分析一下，如图