前言

® Cisco IOS網絡地址轉換(NAT)為IP地址簡單 化和保存設計，因為啟用使用未注冊的IP 地址連接到互聯網的專 用的IP內部網絡。 NAT在內部網絡動手術在一個Cisco路由器 ，一起通常連接二個網絡，并且轉換專用的(內部本地)地址為公共 地址(Outside Local)在信息包轉發到另一個網絡之前。 作為 此功能一部分，NAT只可以配置為整個網絡做通告一個地址對外界。 這從世界有效隱藏內部網絡因而提供附加安全性。

背景理論

其中一個NAT主要功能是靜態端口地址轉換(PAT)，也 指"超載"在Cisco IOS配置。 靜態PAT設計允許本地和全局地 址的之間一對一映射。普通的使用為靜態PAT是允許互聯網用 戶從公共網絡訪問位于專用網絡的網絡服務器。

欲知關于NAT的更多信息， 點擊此處。

下面 的表顯示IP地址空間三個塊可用為專用網絡。

在下面的示例，互 聯網服務提供商(ISP) 分配DSL訂戶僅單個IP地址，171.68.1.1/24 。 指定的IP地址是一個注冊的獨立IP地址和稱為內部全局地 址。此注冊的IP地址在專用網絡將由來自公共網絡的互聯網 用戶用于通過整個專用網絡訪問互聯網并且到達網絡服務器。

專用LAN，192.168.0.0/24，連接到 NAT路由器的以太網接口。此專用LAN包含幾臺個人計算機和 一個網絡服務器。配置NAT路由器轉換來自這些個人計算機的 未注冊的IP地址(內部本地地址)到單個公共IP地址 (Inside Global - 171.68.1.1)訪問互聯網。

注意192.168.0.5 (網絡服務器)是一個地址在不可能 路由對互聯網的專用地址空間。 唯一的可視IP地址為了能到 達網絡服務器的公共互聯網用戶將是171.68.1.1。所以，配 置NAT路由器執行IP地址171.68.1.1端口80 (用于端口80訪問互聯網 )和192.168.0.5端口80的之間一次一對一映射。此映射在公 共側允許互聯網用戶訪問內部網絡服務器。

以下網絡拓撲和示例配置可以用于Cisco 827，1417 ，SOHO77和1700/2600/3600 ADSL WIC。例如，Cisco 827用 于本文。

配 置

在此部分，您介紹用 信息配置在本文描述的功能。

注意： 找到其它信息關于用于本文的命令，使用IOS命 令查找工具

網絡圖

本文使用網絡建 立圖示如下的。

配置

Current Configuration:
 ! 
 version 12.1
 service timestamps debug uptime
 service timestamps log uptime
 !
 hostname 827
 !
 ip subnet-zero
 no ip domain-lookup
 !
 bridge irb
 !
 interface Ethernet0
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 
 !--- This is the inside local IP address and it's a private IP address. 
 
 !
 interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 0/35
 encapsulation aal5snap
 !
 bundle-enable
 dsl operating-mode auto 
 bridge-group 1
 !
 interface BVI1
 ip address 171.68.1.1 255.255.255.240
 ip nat outside
 
 !--- This is the inside global IP address.
 !--- This is your public IP address and it is provided to you by your ISP.
 !
 ip nat inside source list 1 interface BVI1 overload
 
 !--- This statement makes the router perform PAT for all the 
 !--- End Stations behind the Ethernet interface that are using 
 !--- private IP addresses defined in access list #1.
 
 ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable 
 
 !--- This statement performs the static address translation for the Web server. 
 !--- With this statement, users trying to reach 171.68.1.1 port 80 (www) will be 
 !--- automatically redirected to 192.168.0.5 port 80 (www), which in this case 
 !--- is the Web server.
 
 ip classless
 ip route 0.0.0.0 0.0.0.0 171.68.1.254
 
 !--- IP address 171.68.1.254 is the next hop IP address, also
 !--- called the default gateway.
 !--- Your ISP can tell you what IP address to configure as the next hop address.
 
 !
 access-list 1 permit 192.168.0.0 0.0.0.255
 
 !--- This access list defines the private network 
 !--- that will be network address translated. 
 
 bridge 1 protocol ieee 
 bridge 1 route ip 
 !
 end

驗證
從 show ip nat translation 命 令輸出，內部本地是配置的IP地址分配到網絡服務器在內部網絡。 注意192.168.0.5是一個地址在不可能路由對互聯網的專用地 址空間。Inside Global是內部主機的IP地址，是網絡服務器 ，因為看起來對外部網絡。此地址是那個為設法從互聯網訪 問網絡服務器的眾人所知。

因為 看起來對內部網絡， Outside Local 是外部主機的IP 地址。它必 要不是一個合法地址; 它從在里面可以路由的地址空間分配 。

外部 全局地址是IP 地址分配到一臺主機在外部網絡由主機所有者。 地址從可以全局路由的地址或網絡空間分配。

注意地址171.68.1.1與端口號 80 (HTTP) 被轉換為192.168.0.5端口80和反之亦然。所以 ，互聯網用戶能訪問網絡服務器即使網絡服務器在一個專用網絡用 一個專用IP地址。

欲知關于如何的 更多信息排除NAT故障，請參閱 驗證NAT操作 和基本的NAT故障排除。

827#
827#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 171.68.1.1:80 192.168.0.5:80 --- ---
tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000
827#

排除故障
如果需要排除地址轉換 故障，您在路由器 能 發出 term mon 和 debug ip nat detailed命令發現地址正確地是否被轉換。可 視IP地址為了能到達網絡服務器的外部用戶是171.68.1.1 。 例如，用戶從互聯網的公共側設法到達171.68.1.1端口80 ( 萬維網)將自動地重定向對192.168.0.5端口80 (萬維網)，在這種情 況下是網絡服務器。

827#term mon
827#debug ip nat detailed
IP NAT detailed debugging is on
827#
03:29:49: NAT: creating portlist proto 6 globaladdr 171.68.1.1
03:29:49: NAT: Allocated Port for 192.168.0.5 -> 171.68.1.1: wanted 80 got 80
03:29:49: NAT: o: tcp (198.133.219.1, 11000) -> (171.68.1.1, 80) [0]
<... snipped ...>