CiscoルーターNAT構成におけるこれらの3つのオプションは何を意味しますか？

1つのIP：Portの組み合わせが常に別のIP：Portの組み合わせにマッピングされる標準の静的PAT構成では、構成可能な内部/外部/ソース/宛先の3つの可能な組み合わせがあります。

たとえば、これは構成例です。

ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80
       ^^^^^^^^^^^^^

簡単に言えば、この構成により、任意の外部ホストがポート80を介してIP 2.2.2.33へのTCP接続を開始できます。このパケットがルーターに到達すると、宛先IPアドレスとポート（2.2.2.33:80）がに変換され10.0.20.13:8080ます。

内部ホスト10.0.20.13が送信元ポート8080のTCPパケットを送信すると、このパケットがルーターを通過するときに、送信元IPとポート（10.0.20.13:8080）がに変換され、逆も発生し2.2.2.33:80ます。（これは通常、内部ホストから開始されたものではなく、応答パケットです）

上記のマークされた部分の3つの構成オプションはすべて次のとおりです。

Router(config)#ip nat inside ?
  destination  Destination address translation
  source       Source address translation

Router(config)#ip nat outside ?
  source  Source address translation

実際、次のように構成できます。

• ip nat inside source static tcp {IP} {Port} {IP} {Port}
• ip nat inside destination static tcp {IP} {Port} {IP} {Port}
• ip nat outside source static tcp {IP} {Port} {IP} {Port}

これらのオプションはどのように異なり、3つのオプションのそれぞれをいつ使用するのですか？上記で行ったような素人の用語を使用して、デバイスを介して送信されるパケットをそれぞれがどのように操作するかを説明してください。

また、なぜ外部宛先オプションがないのですか？

これについて非常に注意深く考えてください。

内部ソースとは、ネットワーク内から発信されたトラフィックのソースアドレスを変換することを意味します。これは、パブリックインターネットでプライベートアドレスを使用できるようにする一般的な「ホームネットワーク」の配置です。もちろん、これがこのバージョンの唯一の用途ではありません。

内部宛先とは、外部アドレスから特定の宛先トランスポートプロトコルおよびポートへのトラフィックを特定の内部アドレスに送信することを意味します。これは、プライベートアドレスを持つWebサーバーのようなものにパブリックインターネットからアクセスできるようにするためにホームユーザーが行うことです。もちろん、これがこのバージョンの唯一の用途ではありません。

外部ソースは、外部からのトラフィックを内部アドレスからのトラフィックのように変換します。IPアドレス範囲が重複している企業が合併し、ネットワークへの接続を開始する必要がある場合に役立ちます。通常、内部アドレスと競合する外部ソースアドレスを持つ外部から発信されるトラフィックのソースアドレスを、使用可能な内部アドレス範囲のソースアドレスアドレスに変換できます。

外部宛先はポート転送の逆であるため、あまり意味がありません。これにより、特定の外部トランスポートプロトコルおよびポートを宛先とする、内部から発信されるすべてのトラフィックが、1つの外部アドレスに制限されます。

基本から始めなければならないので、NAT用語を改訂しましょう。NATはIPパケットのIPアドレスを変換しますよね？どういう意味ですか？それは、基本的には、ミラージュを作成します-はい、錯覚、あなたは知っています。たとえば、一般的なNAT構成では、プライベートアドレスのLANホストが外部ルーターインターフェイスのパブリックIPアドレスを使用してインターネットにアクセスする場合、これらのホストはインターネットサーバーからはこのパブリックIP（またはパブリックIPのプールからのIP）として表示されます。もちろん、NATは新しい物理ホストを作成しませんが、一種の新しい仮想エンティティを作成します。この例では、LANホストは自分自身を192.168.1.xと見なしますが、インターネットサーバーは203.0.113.xと見なします- 1セットの物理ホストが2セットのIPアドレス。（論理）ホストの2つの異なるセット。錯視。そして用語はこれです：

• 内部ローカル -内部ホストの「実際の」IPアドレスは、それらのインターフェースに割り当てられ、相互に認識されます。
• 内部グローバル -外部世界から見た「ミラージュ」IPアドレス
• 外部グローバル -外部ホストの「実際の」IPアドレス、および（ほぼ）インターネット全体から見た外部ホスト
• 外部ローカル -外部ホストと同じ「ミラーリング」IPアドレス（NATに対応するように変換するように依頼した場合）

そして、ご覧のとおり、私たちのネットワークとインターネットまたは別の外部ネットワークを区別する必要があります。これを行うには、ルーターのIPインターフェイスをip nat insideまたはip nat outsideのいずれかとしてマークします。同意しますか？

ここで、NATが通常どのように実装されているかを覚えておきましょう。これは、変換に関するエントリを含む特別なテーブルを維持します。そして重要な点は、これらのエントリは静的にも動的にも作成できるということです。動的に作成されたエントリの場合、トラフィックの方向は重要です-トラフィックは内部から外部へ、またはその逆から開始されますか？静的エントリの場合、これはそうではありません-それらは対称的です。staticキーワードを含むNAT構成ステートメントは、実行構成に追加した直後に静的エントリを作成します。dynamicキーワードを持つキーワードは、興味深いトラフィックを監視し、翻訳エントリを動的に作成するため、最終的にはタイムアウトになります。

私たちはあなたの最後の質問について推測することができます：なぜ外部宛先オプションがないのですか？ip nat inside source staticは、説明どおりに変換されるスタティックNATエントリを作成しますが、これには特定の1つのサイドから開始されたトラフィックだけでなく、スタティックNATエントリが対称的です。だから、NAT外部の宛先静的IP変換するための静的なエントリ作成し、宛先からネットワークに入るトラフィックのIPアドレス外とソースから行くトラフィック用のIPアドレスの内部を -が、これは正確に何であるNATの内側のソースの静的をIPコマンドはありません！したがって、このコマンドを使用することは単に冗長です。唯一の違いは、基本的に同じコマンドの1つまたは別の形式を使用する場合に、ソースを宛先IPに交換することです。

最初のステートメントに関しては、「構成可能な3つの組み合わせの内側/外側/ソース/宛先があります」-これはまったくそうではありません。ポイントは、一般的に言えば、NAT構成ステートメントは「数式」ではなく、完全に考慮されるべきであり、独立したキーワードから論理的に構築されたものではないということです。したがって、各「組み合わせ」は特定のタスクのソリューションを示します。たとえば、宛先リスト内のip natは、特定のアルゴリズムを使用し、UDPでは機能しないサーバーTCP負荷分散の設定に使用されます。また、（現代のIOSがに）何もありませんIP NATの内側先静的のコマンドでは、 -あなたは、実際にそれを試してみましたが、静的なオプション？

このCiscoペーパーの構成例を含む、NATを使用するいくつかの特定のシナリオを見ることができます。http：//www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html

最後に、NATが望みのものではないこともあります。たとえば、この「正規の質問」に対する私の答えを見てください。https：//serverfault.com/questions/55611/loopback-to-forwarded-public- ip-address-from-local-network-hairpin-nat / 733532＃733532

PSさらに詳しく説明する必要がありますか？