HCIA数据通信——NAT

前引

之前写过关于NAT的描述，可以参考这篇文章

CSDNhttps://mp.csdn.net/mp_blog/creation/editor/132120366

静态NAT

静态NET的特点是每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系为一对一的映射。但是缺点也很明显，地址的复用率不高，占用地址多。下面我们来配置静态NAT：

如图构建拓扑并分配IP地址：

 自然，我们需要一条静态路由指向LSP（服务商），我们以G0/0/0为出接口，12.1.1.2来做下一跳。这里的配置就不演示了。

拥有了内网边界设备去往服务商及服务器的通信建立后，我们还没有实现内网主机到服务器的互通，现在开始配置NAT完成内网到服务器的通信：

我仅配置了PC1的对应外网地址，我们拿PC2和PC1做一个对比：

我们再用抓包软件捕捉下流量情况（抓的是LSP的g0/0/0接口流量）：

 可以看到，流量是以12.1.1.3为源地址的形式发出的。

重点命令：

[Huawei-GigabitEthernet0/0/0]nat static global 12.1.1.3 inside 172.16.1.1

动态NAT

我们还要配置静态和公网的映射太麻烦，如果设备过多我们完全忙不过来而且浪费地址。我们这次采用动态NAT。当然，仍然是之前的拓扑，不过我们要用undo命令删除之前的静态NAT。

动态NAT通过地址池完成一对多的映射，解决了地址的浪费。

之后我们需要创建ACL地址池来允许哪些内网网段和地址池结合：

 [Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 172.16.1.0 0.0.0.255  //允许源地址的IP进入
[Huawei-acl-basic-2000]int g0/0/0
[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 0 no-pat  //调用ACL和地址池，停止PAT模式。

PAT：

比起NAT，PAT不仅转换IP地址也同时会对端口号进行转换，从而实现公有地址到私有地址的1：n或n:1的映射

配置很简单，将上述的ACL结尾部分的no-pat去掉即可

[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 0 

注：问题

我们在配置动态NAT的时候会出现这么一个问题：
  Error: The address conflicts with interface or ARP IP.

    错误：地址和接口IP或ARP发生冲突。

你需要检查配置确认没有接口使用该地址，nat 转换地址池也没有使用该地址。

首先可以根据报错信息，检查设备配置确认没有使用改地址造成配置上的冲突。
       display current-configuration //检查设备配置
随后再检查arp表项查看是否已经学习到了该IP地址相应的ARP表项

原因

设备上已经学习到了映射使用的地址的arp表项了。

解决

使用其他地址或者在其他设备上将IP修改为其他地址，以保证不会出现冲突。

总结

检查网络中的其他设备上是否有配置该冲突地址，导致本台设备学习到了对应的arp表项。