Devemos começar do básico, então vamos revisar a terminologia NAT. O NAT converte endereços IP em pacotes IP, certo? O que isso significa? Que, basicamente, cria miragens - sim, ilusões de ótica, você sabe. Por exemplo, em uma configuração NAT típica, quando hosts LAN endereçados a particulares acessam a Internet usando o endereço IP público da interface do roteador externo, esses hosts aparecem para servidores da Internet como tendo esse IP público (ou IPs de um pool de IPs públicos). O NAT não cria novos hosts físicos, é claro - mas cria novas entidades virtuais - neste exemplo, os hosts da LAN se vêem como, digamos, 192.168.1.x, mas os servidores da Internet os veem como 203.0.113.x - um conjunto de hosts físicos, mas dois conjuntos de endereços IP. Dois conjuntos distintos de hosts (lógicos). Ilusão de óptica. E a terminologia é esta:
- dentro de endereços IP locais - "reais" dos hosts internos, conforme atribuídos às suas interfaces e como eles se vêem
- global dentro - endereços IP "miragem" como visto pelo mundo exterior
- fora do global - endereços IP "reais" dos hosts externos, como eles próprios vêem e pela Internet (quase) inteira
- endereços IP externos locais - "miragem", como vemos hosts externos (se pedimos que o NAT traduza correspondentemente)
E como você pode ver, somos obrigados a fazer uma distinção entre nossa rede e a Internet ou outra rede externa. Fazemos isso marcando as interfaces IP do roteador como ip nat inside ou ip nat outside , concorda?
Agora vamos lembrar como o NAT geralmente é implementado: ele mantém tabelas especiais que contêm entradas sobre traduções. E o ponto importante é que essas entradas podem ser criadas estaticamente ou dinamicamente . Para entradas criadas dinamicamente, a direção do tráfego é importante - o tráfego é iniciado de dentro para fora ou vice-versa? Para entradas estáticas, não é assim - elas são simétricas . As instruções de configuração NAT que contêm a palavra-chave estática criam entradas estáticas imediatamente após colocá-las na configuração em execução; aqueles com a palavra-chave dinâmica observam o tráfego interessante e criam entradas de tradução dinamicamente, que acabarão atingindo o tempo limite.
Já podemos especular sobre sua última pergunta: por que não há opção de destino externo ? O IP nat dentro da fonte estática cria uma entrada estática NAT que se traduz exatamente como você descreveu, mas isso inclui não apenas o tráfego iniciado por um lado específico - as entradas NAT estáticas são simétricas. Portanto, o IP nat estático de destino externo criaria uma entrada estática para traduzir os endereços IP de destino do tráfego que entra na sua rede a partir dos endereços IP externos E de origem para o tráfego que sai de dentro - mas é exatamente isso que o IP nat estático de origemcomando faz! Portanto, é simplesmente redundante ter esse comando. A única diferença é que você trocaria a fonte com o ip de destino ao usar uma ou outra forma de basicamente o mesmo comando.
Em relação à sua primeira declaração, "existem três combinações possíveis de dentro / fora / origem / destino que podem ser configuradas" - isso não é bem assim. O ponto é que, de um modo geral, as instruções de configuração do NAT não são "fórmulas matemáticas" e devem ser consideradas totalmente, e não como construídas logicamente a partir de palavras-chave independentes. Portanto, cada "combinação" apresenta uma solução para uma tarefa específica, por exemplo, a lista de destinos IP nat dentro do IP é usada para configurar o balanceamento de carga TCP do servidor que usa algoritmo específico e não funciona com o UDP. Além disso, (nos IOS modernos), não há ip nat dentro do comando estático de destino - você realmente tentou com a opção estática ?
Você pode ver alguns cenários específicos do uso da NAT, incluindo exemplos de configuração neste documento da Cisco: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/12-2sx /nat-12-2sx-book/iadnat-addr-consv.html
Por fim, gostaria de mencionar que às vezes o NAT não é o que você deseja, por exemplo, veja minha resposta para essa "pergunta canônica": /server/55611/loopback-to-forwarded-public- Endereço IP da rede local hairpin-nat / 733532 # 733532
PS Devo entrar em mais detalhes?