在思科路由器上针对ADSL动态IP做端口映射(NAT)

几年前拿的网络工程师证，但后来一直从事软件开发，思科的好多命令都忘了。今天早上一来，有同事求救，说要发布一台服务器供第三方做联调测试，需要在路由器上做端口映射。

现在的情况是，本来昨天在路由器上都做好了设置，第三方公司也能访问我们的服务，但今天一来，人家说服务访问不了。原来是ADSL动态IP地址惹的祸，因为路由器今天重新从ISP哪里获取了一个新的IP地址。路由器的公网IP地址都变了，对应的nat策略也就失效了。

我看了同事在路由器上做的nat策略，仔细分析了一下，他使用的命令格式为：

ip nat inside source static protocol local-address local-port global-address global-port [permit-inside]

参数说明：

• local-address：内部本地地址。是主机在网络内部的IP地址，一般是未注册的私有地址。
• global-address：内部全局地址。是内部主机在外部网络表现出的地址，一般是注册的合法公网IP地址。
• protocol：协议。可以是 TCP 或 UDP。
• local-port：本地地址的服务端口号。
• global-port：全局地址的服务端口号，它可以和local-port不同。
• permit-inside：允许内部用户使用全局地址访问本地主机。
  

按道理，按照上述命令格式来配置端口转换，是没有错误的。但是同事忽略了一点，我们的路由器是使用ADSL拨号的，IP地址随时都会发生改变，配置时，他将global-address写死了一个固定IP地址，这也就导致了路由器重新获取IP地址后端口转换失效，贴出同事的nat配置：

ip nat inside source static tcp 10.10.49.180 80 14.153.20.47 10000

要解决这个问题，分两步：

1、确定路由器上的wan口名称

R2800-zuoyue-jifang# show running-config
 
interface Loopback0 
 ip address 10.10.100.2 255.255.255.255 
 ip ospf network point-to-point 
! 
interface GigabitEthernet0/0 
 no ip address 
 ip nat enable 
 ip virtual-reassembly 
 duplex auto 
 speed auto 
 pppoe enable group global 
 pppoe-client dial-pool-number 1 
! 
interface GigabitEthernet0/1 
 ip address 10.10.39.10 255.255.255.248 
 ip access-group qq in 
 ip nat inside 
 ip nat enable 
 ip virtual-reassembly 
 duplex auto 
 speed auto 
! 
interface Dialer100
 mtu 1492 
 ip address negotiated 
 ip nat outside 
 ip virtual-reassembly 
 encapsulation ppp 
 dialer pool 1 
 dialer-group 1 
 ppp authentication pap callin 
 ppp pap sent-username ****** ****** 

找到了wan口名称是“interface Dialer100”。

2、global-address不在写成固定ip地址，以wan口名代替

ip nat inside source static tcp 10.10.49.180 80 interface Dialer100 10000

这样就不怕路由器的IP地址经常改变了，nat策略也一直生效。

最后，提供在路由器上不能清除nat测试的方法，例如：

no ip nat inside source static tcp 10.10.49.180 80 interface Dialer100 10000

会报“%Static entry in use, cannot remove”错误，解决的方法是：

R2800-zuoyue-jifang# clear ip nat translation *

然后再执行删除。不过该操作会造成整个网络短暂掉线。