NAT 配置 示例 1
 在本例中,公司使用一台两接口路由器,一个是 Ethernet ,另一个是串行接口。

Ethernet0 连接到内部网络,而串行接口则通过 PPP 链路连接到 ISP 路由器。

在内部网络中,公司使用 10.0.0 .0/24 地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的 IP 地址 171.100.1.1 ,并且该地址用于路由器的串行接口上。

公司使用 PAT 将其所有的内部本地地址转换成单一的内部全局地址 171.100.1.1

公司希望提供可以从 Internet 访问的 FTP Web 服务器,

并且对 Web 服务器的请求应被送到 Web 服务器所在的地址 10.1.1 .100

FTP 请求则被送到              FTP 服务器所在的地址 10.1.1 .101
 

 

配置说明:
Interface ethernet0 配置 E0 端口
ip address 10.1.1.1 255.255.255.0 设置 IP 10.1.1 .1 255.255.255.0
 ip nat inside
!
interface serial0 配置 S0 端口
ip address 171.100.1.1 255.255.255.252 设置 IP 地址为 171.100.1.1 255.255.255.252
 ip nat outside
!
ip access-list 1 permit 10.0.0.0 0.255.255.255 配置基于源 IP ACL
 !
ip nat inside source list 1 interface  serial0 overload S0 口上配置过载,只有匹配 ip access-list 1 的源 IP 才使用 OVERLOAD

要为内部 Web FTP 服务器创建静态映射
ip nat inside source list 1 static tcp 10.1.1.100 80 171.100.1.1 80
ip nat inside source list 1 static tcp 10.1.1.101 21 171.100.1.1 21
2 分析
先定义 NAT 所用的接口,并通过将合适的命令放在每个接口下面来定义接口是 NAT 内部或外部接口。通常,在定义 NAT 接口之后,就要定义 NAT 池来指定所用的内部全局地址。但是,在本例中只使用了一个单一的内部全局地址,并且将该单一内部全局地址用于路由器的 serial 0 接口上。由于只有一个单一内部全局地址并且用于路由器自己的接口上,所以我们不需要定义 NAT 池。我们只简单地使用示例中所示的 inside source list 语句即可。所定义源列表使用路由器接口的 IP 地址,并且超载该单一 IP 地址。该命令允许来自 10.0.0 .0/24 网络的内部主机访问 Internet 。路由器执行 PAT 来创建 TCP / UDP 端口的 NAT 映射。完成该步以后,接下来需要为内部 Web FTP 服务器创建静态映射。
由于只有一个单一的内部全局 IP 地址,因此要根据 IP 地址以及 TCP UDP 端口来定义静态映射。在本例中,将目的地址为 171.100.1.1 和目的 TCP 端口为 80 的报文地址转换成 TCP 端口 80 上的 10.1.1.100 内部主机地址。我们还将目的地址为 171.100.1.1 和目的 TCP 端口为 21 的报文地址转换成 TCP 端口 21 上的 10.1.1.101 内部主机地址。这样我们就在不同的内部服务器上提供了 Web FTP 服务,虽然我们只有一个单一的内部全局地址。注意,由于该命令语法允许指定内部服务器的 IP 地址和端口,所以可以在内部提供多个 Web FTP 服务器。例如,可以创建如下的静态映射:
ip nat inside source static tcp 10.1.1.102 21 21.171.100.1 27
 该转换 * 作将所有目的地址为 171.100.1.1 且目的端口为 27 的向内报文的地址转换为 FTP 端口上的地址 10.1.1.102 。当然,我们必须保证,外部用户能够知道我们的 FTP 服务器使用非标准的端口,而大多数的 FTP 客户机都提供这一能力。显然公司可以使用各种不同的端口转换方法来提供服务,即使公司只有一个全局可路由的 IP 地址。这些方法使 Cisco NAT 的功能更加强大。