Cisco中的动态NAT配置

一般来说，边界路由器会被配置为进行NAT功能。也就是说，这种路由器有一个接口位于本地网络内，另一个接口则位于外部网络中。 当数据包从本地网络传输到外部网络时，NAT会将该本地（私有）IP地址转换为全局（公共）IP地址。 当数据包进入本地网络时，全局（公共）IP地址会被转换为本地（私有）IP地址。 您应该知道，NAT会将企业网络内部使用的私有IP地址转换为公共IP地址。

以下是与NAT相关的4个主要术语：

• 内部情况：这是企业网络内部的一个区域，该区域内的主机拥有私有IP地址。
• 《Inside Global》：这也是企业网络内的一个区域，不过在这个区域内使用的是公共IP地址（这个区域通常连接着外部网络或互联网）。
• 当地以外地区：这个区域通常属于企业网络的一部分，但实际上它位于公共互联网上（或者不在企业网络的范围内）。位于本地区域之外的主机拥有私有IP地址。
• 外部全球：它属于公共互联网上的企业网络的一部分，在公共互联网上使用的是公共IP地址。

私有IP地址的范围

IP地址的分类

网络数量

这些私有IP地址无法通过任何路由协议在互联网上被公开使用。

动态NAT：

在动态NAT中，根据需求，IP地址会进行一对一的自动映射。 它实现了内部本地IP地址与全球IP地址池之间的映射关系。 这种翻译方式在私有网络中非常有用，因为该网络中有多个用户可以访问互联网。 这些动态NAT转换机制会一直存在于翻译表中，直到有流量从本地IP地址流向全局IP地址为止，或者直到超时时间（默认为24小时）到期为止。

配置：

步骤1：将接口配置为“Inside Global”。

ip nat outside

步骤2：将接口配置为“内部本地”模式。

 ip nat inside

步骤3：创建一组全球IP地址资源：

Router(config)#ip nat pool <pool-name> 
<starting-IP> <ending-IP> prefix-length <prefix-length>

步骤4：创建一个访问列表，以允许某些IP地址网络进行访问。

Router(config)#access-list <acl-number> 
permit <source-ip-network> <wildcard-mask>

步骤5：最后，使用以下命令来启用动态NAT功能：

Router(config)#ip nat inside source 
list <acl-number> pool <pool-name>

R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config-if)#exit
R1(config)#ip nat pool pool1 20.1.1.5 20.1.1.20 netmask 255.255.255.0
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 pool pool1  

现在，我们来验证一下NAT翻译的结果吧（也就是看看NAT所完成的翻译效果如何）：

R1#show ip nat translations