前言

NAT在内部网络动手术在一个Cisco路由器 ，一起通常连接二个网络，并且转换专用的(内部本地)地址为公共地址(Outside Local)在信息包转发到另一个网络之前。作为 此功能一部分，NAT只可以配置为整个网络做通告一个地址对外界。 这从世界有效隐藏内部网络因而提供附加安全性。

背景理论

其中一个NAT主要功能是静态端口地址转换(PAT)，也 指"超载"在Cisco IOS配置。 静态PAT设计允许本地和全局地 址的之间一对一映射。普通的使用为静态PAT是允许互联网用 户从公共网络访问位于专用网络的网络服务器。

欲知关于NAT的更多信息， 点击此处。

下面 的表显示IP地址空间三个块可用为专用网络。

IP地址空间	组
10.0.0.0 - 10.255.255.255 (/8 前缀或255.0.0.0子网)	A类
172.16.0.0 - 172.31.255.255 (/16前缀或255.255.0.0子网)	B类
192.168.0.0 - 192.168.255.255 (/24 前缀或255.255.255.0子网)	C类

在下面的示例，互 联网服务提供商(ISP) 分配DSL订户仅单个IP地址，171.68.1.1/24 。指定的IP地址是一个注册的独立IP地址和称为内部全局地 址。此注册的IP地址在专用网络将由来自公共网络的互联网用户用于通过整个专用网络访问互联网并且到达网络服务器。

专用LAN，192.168.0.0/24，连接到 NAT路由器的以太网接口。此专用LAN包含几台个人计算机和一个网络服务器。配置NAT路由器转换来自这些个人计算机的 未注册的IP地址(内部本地地址)到单个公共IP地址 (Inside Global - 171.68.1.1)访问互联网。

注意192.168.0.5 (网络服务器)是一个地址在不可能 路由对互联网的专用地址空间。 唯一的可视IP地址为了能到达网络服务器的公共互联网用户将是171.68.1.1。所以，配 置NAT路由器执行IP地址171.68.1.1端口80 (用于端口80访问互联网 )和192.168.0.5端口80的之间一次一对一映射。此映射在公 共侧允许互联网用户访问内部网络服务器。

以下网络拓扑和示例配置可以用于Cisco 827，1417 ，SOHO77和1700/2600/3600 ADSL WIC。例如，Cisco 827用 于本文。

配置

在此部分，您介绍用 信息配置在本文描述的功能。

注意： 找到其它信息关于用于本文的命令，使用IOS命 令查找工具

网络图

本文使用网络建 立图示如下的。



配置

Cisco 827

Current Configuration: ! version 12.1 service timestamps debug uptime service timestamps log uptime ! hostname 827 ! ip subnet-zero no ip domain-lookup ! bridge irb ! interface Ethernet0 ip address 192.168.0.254 255.255.255.0 ip nat inside !--- This is the inside local IP address and it's a private IP address. ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5snap ! bundle-enable dsl operating-mode auto bridge-group 1 ! interface BVI1 ip address 171.68.1.1 255.255.255.240 ip nat outside !--- This is the inside global IP address. !--- This is your public IP address and it is provided to you by your ISP. ! ip nat inside source list 1 interface BVI1 overload !--- This statement makes the router perform PAT for all the !--- End Stations behind the Ethernet interface that are using !--- private IP addresses defined in access list #1. ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable !--- This statement performs the static address translation for the Web server. !--- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be !--- automatically redirected to 192.168.0.5 port 80 (www), which in this case !--- is the Web server. ip classless ip route 0.0.0.0 0.0.0.0 171.68.1.254 !--- IP address 171.68.1.254 is the next hop IP address, also !--- called the default gateway. !--- Your ISP can tell you what IP address to configure as the next hop address. ! access-list 1 permit 192.168.0.0 0.0.0.255 !--- This access list defines the private network !--- that will be network address translated. bridge 1 protocol ieee bridge 1 route ip ! end

验证

从 show ip nat translation 命 令输出，内部本地是配置的IP地址分配到网络服务器在内部网络。注意192.168.0.5是一个地址在不可能路由对互联网的专用地 址空间。Inside Global是内部主机的IP地址，是网络服务器，因为看起来对外部网络。此地址是那个为设法从互联网访 问网络服务器的众人所知。

因为 看起来对内部网络， Outside Local 是外部主机的IP 地址。它必 要不是一个合法地址; 它从在里面可以路由的地址空间分配 。

外部 全局地址是IP 地址分配到一台主机在外部网络由主机所有者。 地址从可以全局路由的地址或网络空间分配。

注意地址171.68.1.1与端口号 80 (HTTP) 被转换为192.168.0.5端口80和反之亦然。所以 ，互联网用户能访问网络服务器即使网络服务器在一个专用网络用 一个专用IP地址。

欲知关于如何的 更多信息排除NAT故障，请参阅 验证NAT操作 和基本的NAT故障排除。

827# 827#show ip nat translation Pro Inside global      Inside local      Outside local       Outside global tcp 171.68.1.1:80      192.168.0.5:80    ---                 --- tcp 171.68.1.1:80      192.168.0.5:80    198.133.219.1:11000 198.133.219.1:11000 827#

排除故障

如果需要排除地址转换 故障，您在路由器 能 发出 term mon 和 debug ip nat detailed命令发现地址正确地是否被转换。可 视IP地址为了能到达网络服务器的外部用户是171.68.1.1 。例如，用户从互联网的公共侧设法到达171.68.1.1端口80 ( 万维网)将自动地重定向对192.168.0.5端口80 (万维网)，在这种情 况下是网络服务器。

827#term mon 827#debug ip nat detailed IP NAT detailed debugging is on 827# 03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1 03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80 03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0] <... snipped ...>

（责任编辑：城尘 68476636-8003）

频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。 原始作者:佚名 录入时间:2006-10-13 4:38:28 信息来源:不详 投稿信箱:itqoo@126.com