Статичне перетворення мережевих адрес NAT — це взаємно-однозначне зіставлення внутрішнього і зовнішнього адрес. Статичний NAT дозволяє зовнішнім пристроям ініціювати підключення до внутрішніх устроїв за допомогою статично призначеної публічної адреси. Наприклад, внутрішньому веб-серверу може бути зіставлена внутрішня глобальна адреса, визначена так, щоб вона була доступна із зовнішньої мережі.
На рис. 1 показана внутрішня мережа, що містить веб-сервер з часткою IPv4-адреси. На маршрутизаторі R2 налагоджений статичний NAT, щоб надати доступ до веб-сервера пристроям із зовнішньої мережі (Інтернет). Клієнт із зовнішньої мережі звертається до веб-сервера, використовуючи публічну IPv4-адресу. Статичний NAT перетворить публічну IPv4-адресу в приватну IPv4-адресу.
Налаштування статичного NAT зв’язане з двома основними завданнями:
Крок 1. Першим завданням є створення відповідності між внутрішньою локальною і внутрішньою глобальною адресою. Наприклад, на рис. 1 в якості статичного перетворення NAT налагоджена внутрішня локальна адреса 192.168.10.254 і внутрішня глобальна адреса 209.165.201.5.
Крок 2. Після налаштування відповідності, інтерфейси, що беруть участь в перетворенні, настроюються як внутрішні або зовнішні відносно NAT. В даному прикладі інтерфейс Serial 0/0/0 маршрутизатора R2 є внутрішнім, а Serial 0/1/0 — зовнішнім інтерфейсом.
Пакети, що поступають на внутрішній інтерфейс маршрутизатора R2 (Serial 0/0/0) від налагодженої внутрішньої локальної IPv4-адреси (192.168.10.254) перетворюються, а потім передаються в зовнішню мережу. Пакети, що поступають на зовнішній інтерфейс маршрутизатора R2 (Serial 0/1/0), адресовані налагодженій внутрішній глобальній IPv4-адресі (209.165.201.5), перетворяться до внутрішньої локальної адреси (192.168.10.254) і потім передаються у внутрішню мережу.
В таблиці приведено послідовність налаштування статичного NAT:
| Крок | Налаштування | Примітки |
|---|---|---|
| 1 | Налаштуйте статичне перетворення між внутрішньою локальною адресою і врутрішньою глобально адресою: Router (config)# ip nat inside source static local-ip global-ip | Введіть команду глабального режиму конфігурації no ip nat inside source static, щоб видалити динамічне перетворення джерела |
| 2 | Задайте внутрішній інтерфейс: Router (config)# inteface type number | Введіть команду inteface. Вигляд командної строки CLI зміниться з (config)# на (config-if)#. |
| 3 | Відмітьте інтерфейс, як підключений до внутрішньої мережі: Router (config)#ip nat inside | |
| 4 | Вийдіть з режиму конфігурації: Router (config)# exit | |
| 5 | Задайте зовнішній інтерфейс: Router (config)# inteface type number | |
| 6 | Відмітьте інтерфейс, як підключений до зовнішньої мережі: Router (config)# ip nat outside |
На рис. 2 показані команди, необхідні для створення на маршрутизаторі R2 статичного зіставлення NAT для веб-сервера в довідковій топології. У рамках показаної конфігурації R2 перетворить в пакетах, відправлених веб-сервером, адресу 192.168.10.254 в публічну IPv4-адресу 209.165.201.5. Інтернет-клієнт направляє веб-запити на публічну IPv4-адресу 209.165.201.5. Маршрутизатор R2 пересилає цей трафік веб-серверу за адресою 192.168.10.254.
Аналіз статичного перетворення NAT
На рис. 3 зображено процес статичного перетворення NAT між клієнтом і веб-сервером з використанням попередньої конфігурації. Статичні перетворення зазвичай використовуються, коли клієнтам із зовнішньої мережі (Інтернет) треба звернутися до серверів внутрішньої мережі.
1. Клієнтові треба підключитися до веб-сервера. Клієнт передає пакет на веб-сервер, використовуючи публічну IPv4-адресу призначення 209.165.201.5. Це внутрішня глобальна адреса веб-сервера.
2. Перший пакет, який маршрутизатор R2 отримує від клієнта на свій зовнішній інтерфейс NAT, примушує R2 перевірити свою таблицю NAT. IPv4-адреса призначення знаходиться в таблиці NAT, і маршрутизатор виконує відповідне перетворення.
3. R2 замінює внутрішню глобальну адресу 209.165.201.5 внутрішньою локальною адресою 192.168.10.254. Потім R2 пересилає пакет веб-серверу.
4. Веб-сервер отримує пакет і відповідає клієнтові, використовуючи внутрішню локальну адресу 192.168.10.254.
5а. R2 отримує пакет від веб-сервера на свій внутрішній інтерфейс NAT з адресою джерела, що відповідає внутрішній локальній адресі веб-сервера, 192.168.10.254.
5b. R2 перевіряє таблицю NAT на предмет наявності перетворення для внутрішньої локальної адреси. Ця адреса є присутньою в таблиці NAT. R2 виконує зворотне перетворення адреси джерела у внутрішню глобальну адресу 209.165.201.5 і пересилає пакет клієнтові через свій інтерфейс Serial 0/1/0. 6. Клієнт отримує пакет і продовжує діалог. Маршрутизатор NAT виконує кроки 2-5b для кожного пакету (крок 6 на малюнку не показаний).
Перевірка статичного NAT
Для перевірки роботи NAT використовується команда show ip nat translations. Ця команда відображає активні перетворення NAT. На відміну від динамічних перетворень, статичні перетворення завжди є присутніми в таблиці NAT. На малюнку показаний результат цієї команди для попереднього прикладу конфігурації. Оскільки в прикладі наводиться статична конфігурація, перетворення завжди є присутнім в таблиці NAT незалежно від активних взаємодій. Якщо команда вводиться під час активного сеансу, вихідні дані також міститимуть адресу зовнішнього пристрою, як показано на рис. 4.
Іншою корисною командою являється show ip nat statistics. Як показано на рис. 5, команда show ip nat statistics виводить зведення про сумарну кількість активних перетворень, параметри конфігурації NAT, число адрес в пулі і числі виділених адрес.
Щоб переконатися в правильності роботи перетворення NAT, перед тестуванням рекомендується очистити статистику усіх попередніх перетворень за допомогою команди clear ip nat statistics. До початку взаємодії з веб-сервером команда show ip nat statistics не повинна показувати яких-небудь збігів. Після установки клієнтом сеансу з веб-сервером результат команди show ip nat statistics покаже збільшення кількості збігів до 5. Це підтверджує виконання статичного перетворення NAT на R2.
