In bestimmten Netzwerkszenarien ist es erforderlich, internen Hosts den Zugriff auf externe Ressourcen über öffentliche IP-Adressen zu ermöglichen. Dabei kann es vorkommen, dass die Anzahl verfügbarer öffentlicher IP-Adressen im NAT-Pool geringer ist als die Anzahl der internen Clients.
Wenn in solchen Fällen kein NAT Overload (PAT) verwendet wird, sondern statisches NAT mit einem IP-Pool, bedeutet dies zwangsläufig: Nur eine begrenzte Anzahl von Hosts erhält gleichzeitig Zugriff auf das Internet.
In diesem Beitrag zeige ich, wie sich ein solches Szenario mit clientbasiertem NAT umsetzen lässt – konkret mit einem statischen NAT-Pool, aus dem nur zwei von drei Clients jeweils eine öffentliche IP erhalten. Damit wird anschaulich demonstriert, wie NAT nicht nur zur Adressübersetzung, sondern auch zur Zugriffskontrolle und Netzwerksegmentierung eingesetzt werden kann.
Der NAT-Router wird:
- das lokale Netzwerk (192.168.1.0/24) mit dem Internet verbinden
- private IP-Adressen über statisches NAT in mehrere öffentliche IP-Adressen aus einem definierten IP-Pool umsetzen
Lab-Topologie
- 1x Router (Cisco 2911)
- 2x Switch (Cisco 2960)
- 3x Client (WKS1, WKS2, WKS3)
- 1x Server (www)
IP-Adressierung
| Gerät | Schnittstelle | IP-Adresse | Beschreibung |
|---|---|---|---|
| Router | g0/0 | 192.168.1.1/24 | Intranet-Schnittstelle |
| Router | g0/1 | 131.50.60.1/16 | Internet-Schnittstelle |
| WKS1 | NIC | 192.168.1.11/24 | Client |
| WKS2 | NIC | 192.168.1.12/24 | Client |
| WKS3 | NIC | 192.168.1.13/24 | Client |
| www | NIC | 131.50.60.100/16 | Webserver |
Client und Server-Konfiguration
- Der Webserver erhält die IP-Adresse
131.50.60.100/16und nutzt das Gateway131.50.60.1. - Die Workstations erhalten die IPs
192.168.1.11,.12und.13 Die Workstations verwenden192.168.1.1als Gatewa- Nur WKS1 und WKS2 sollen per statischem NAT Zugriff auf das Internet erhalten
- WKS3 bleibt nicht übersetzt und hat somit keinen externen Zugriff
Router-Konfiguration
enable
configure terminal
! Interfaces konfigurieren
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no shutdown
exit
interface GigabitEthernet0/1
ip address 203.0.113.1 255.255.255.252
ip nat outside
no shutdown
exit
! Access-List zur Definition des LAN
access-list 1 permit 192.168.1.0 0.0.0.255
! NAT-Pool definieren
ip nat pool POOL1 131.50.60.11 131.50.60.12 netmask 255.255.0.0
! NAT 1:1 aktivieren
ip nat inside source list 1 pool POOL1
exit
Verbindungstest
Auf allen Clients wird nacheinander der Webserver getestet:
ping 131.50.60.100Die aktiven NAT-Zuordnungen können auf dem Router wie folgt angezeigt werden:
show ip nat translationsFazit
Das vorgestellte NAT-Szenario demonstriert eindrucksvoll die gezielte Adresszuweisung durch einen statischen NAT-Pool. Im Gegensatz zu klassischen Overload-Konfigurationen (PAT), bei denen mehrere interne Hosts eine einzelne öffentliche IP teilen, ermöglicht der hier eingesetzte Ansatz eine transparente und selektive Adressabbildung auf definierte externe IPs.
Besonders hervorzuheben ist:
- Gezielte Kontrolle: Nur explizit definierte Clients erhalten eine öffentliche IP und somit Zugriff auf externe Ressourcen.
- Adressbasiertes Routing: Die NAT-Zuordnung erfolgt auf Basis eines statischen IP-Pools – ideal für klare Zugriffsrichtlinien.
- Segmentierung: Nicht zugewiesene Hosts (z. B. WKS3) bleiben vom Internet konsequent abgeschottet – ein Vorteil für sicherheitskritische Zonen.
Diese Form des NAT findet Anwendung in Szenarien, in denen Transparenz, Nachvollziehbarkeit und Trennung von Netzsegmenten erforderlich sind – etwa bei DMZs, dedizierten Serverfarmen oder in regulierten Netzwerken mit Compliance-Vorgaben.
Vergleich gängiger NAT-Varianten
| NAT-Typ | Funktionsweise | Typisches Einsatzszenario |
|---|---|---|
| Static NAT (1:1) | Jedem internen Host wird eine feste öffentliche IP zugewiesen | Server, DMZs, öffentlich erreichbare Dienste |
| Dynamic NAT (mit IP-Pool) | Private IPs werden dynamisch auf einen Pool öffentlicher IPs abgebildet | Selektiver Internetzugang für definierte Hosts (z.B. per ACL) |
| PAT / NAT Overload | Viele interne IPs teilen sich eine einzelne öffentliche IP – unterscheidbar durch Portnummern | Standard im Heimnetz, typischer Internetzugang für Clients |
| Policy-based NAT | NAT-Regeln basieren auf zusätzlichen Kriterien (z.B. Ziel-IP, Protokoll) | Komplexe Firewall- und Routing-Szenarien, z.B. bei Multi-WAN |
| NAT64 | Übersetzung zwischen IPv6-Clients und IPv4-Ressourcen | IPv6-only Netze mit Zugriff auf IPv4-Dienste |
Hinweis: Bei statischem NAT und Dynamic NAT ohne Overload ist die Anzahl gleichzeitig erreichbarer Hosts auf die Anzahl der verfügbaren öffentlichen IP-Adressen begrenzt.