静态地址转换：计算机网络设备实践教程

静态地址转换是一种比较简单的NAT转换，将内部私有 IP 地址转换成全局唯一的IP地址。当内部网络中的E-mail、FTP、Web等服务器同时需要为内部和外部提供服务时，使用静态NAT可以将内部私有IP转换为公网IP供外网访问。

图12-1中路由器A连接的内网（192.168.1.0/24）中的Web服务器具有私有IP地址192.168.1.10，能够被PC1访问，但不可以被公网主机访问，下面在路由器A上配置静态地址转换，将私有地址12.12.12.10转换为公网IP地址12.12.12.10。配置完成后内部主机PC1通过192.168.1.10访问Web服务器，公网主机通过地址12.12.12.10访问Web服务器。

图12-1　静态地址转换

按照图中所示拓扑连接网络设备并配置主机的IP和网关，图中云朵示例接入公网，实验时为节约设备将路由器A与路由器B直接连接即可。交换机只用于连接设备，不需要配置，路由器A和路由器B的配置如下。

路由器A配置：

路由器B配置：

路由器B直连了12.12.12.0/24和203.3.3.0/24网段，已经知道如何将数据包转发到全网除192.168.1.0/24外的所有网络了，因此不需要添加路由。如果路由器A和B之间还有其他网络，那么在路由器B上还需要添加路由，使路由器B能够访问到路由器A的公网出口网段12.12.12.0/24。

下面在路由器A上配置静态地址转换，将192.168.1.10转换为12.12.12.10。

配置完成后，在Web服务器上“ping”地址203.3.3.3是可以连通的。它的工作过程如下。

（1）Web服务器发送数据包到网关192.168.1.254，源IP地址为192.168.1.10。

（2）路由器A接收数据包，并查询自己的NAT转换表，发现存在匹配的静态NAT转换条目，于是将数据包的源地址从192.168.1.10更换为12.12.12.10，根据默认路由表确定从接口S2/0发送出去。

（3）路由器B接收数据包，查找路由表将其转发到主机203.3.3.3。主机203.3.3.3接收后发送应答数据包，此时的目标地址为12.12.12.10，源地址是203.3.3.3。因为网关设置的是路由器B的F0/0接口，所以应答数据包交给了路由器B。

（4）路由器B接收数据包，查找路由表发现目标地址12.12.12.10是自己的直连网段，于是将数据包从S2/0发出。

（5）路由器A接收数据包并查询自己的NAT转换表，发现存在匹配的静态NAT转换条目，于是将数据包的目的地址从12.12.12.10更换为192.168.1.10，最后从接口F0/0发送出去。应答数据包最终被正确接收。(www.xing528.com)

在公网主机203.3.3.3上“ping”地址12.12.12.10也是可以连通的，“ping”地址192.168.1.10不通，外部主机访问Web Server的方式是使用地址12.12.12.10。

在路由器A上可以使用下列指令查看NAT转换记录。

上面的查看结果中出现了4种地址，它们的含义如下。

（1）Inside local：内部本地地址（内部主机的实际地址，一般为私有地址）。

（2）Inside global：内部全局地址（内部主机经NAT转换后去往外部的地址，是ISP分配的合法IP地址）。

（3）Outside local：外部本地地址（外部主机由NAT设备转换后的地址，一般为私有地址，内部主机访问该外部主机时，认为它是一个内部的主机而非外部主机）。

（4）Outside global：外部全局地址（外部主机的真实地址，互联网上的合法IP地址）。

本例中因为没有涉及外部地址转换，所以外部本地地址和外部全局地址相同。用于静态NAT内部的全局地址不能同时用于其他静态NAT条目或者动态NAT、PAT地址转换条目。

可以使用下面的指令清除NAT转换条目。

也可以在特权模式下清除所有NAT转换条目。

内网中的PC1可以通过192.168.1.10访问Web服务器，但不可以使用内部全局地址12.12.12.10访问，通常情况下，内网用户访问这些内部主机提供的服务，只要用内网 IP 就可以了。但有些特殊的应用服务，要求内网用户以全局 IP 访问该服务。这时需要添加“permit-inside”关键字，可以实现同时使用内部本地与内部全局地址访问，这个关键字只在路由器上适用。添加这个关键字后最好也在inside口上配置“no ip redirects”指令，防止 inside口发重定向的报文。

静态地址转换除了可以将IP地址一对一映射，还可以指定TCP或者UDP协议与端口号，这样就可以具体到服务。例如，下列指令中指定了TCP的端口号，在PC1上部署FTP后，公网主机可以通过内部全局地址12.12.12.10访问Web和FTP服务。Web服务由内部主机Web Server提供，FTP服务由PC1提供。外部的公网主机不知道12.12.12.10对应的是一台服务器还是多台。