演示：体现外部局部和外部全局地址的实验

第九章实施网络管理与应用功能任务9.3.8演示：外部全局地址与外部局部地址的使用案例

演示目标：演示外部全局地址与外部局部地址的使用环境。演示环境：如图9.82所示。图9.82演示外部全局地址与外部局部地址的使用环境演示背景：在如图9.82所示的环境中，公共网络中的202.202.1.2需要访问192.168.2.100服务器，但是由于企业网络内部的安全需求，比如：IP地址审计，不允许公共网络上的主机202.202.1.2的IP地址出现在私有网络内部，要求将202.202.1.2IP地址转换成私有专用IP地址192.168.2.50来访问192.168.2.100服务器。在这个环境中路由器R1的E1/0接口为NAT的内部接口；E1/1为NAT的外部接口，现在要求实施上述配置。任务9.3.8演示步骤：

配置NAT外部到内部的翻译，在先前的NAT配置中，使用的都是ip

natinsideSource，将内部地址向外部翻译，这里需要执行外部向内部的翻译。具体的配置如下。

配置NAT外部到内部的翻译：R1(config)#ipnatoutsidesourcestatic202.202.1.2192.168.2.50*当从公共网络访问内部网络时，将NAT外部地址202.202.1.2翻译成内部地址192.168.2.50，那么202.202.1.2到内部会话的源IP将以192.168.2.50体现在内网中R1(config)#intee1/0R1(config-if)#ipnatinsideR1(config)#intee1/1R1(config-if)#ipnatoutside任务9.3.8

现在到外部主机202.202.1.2上ping192.168.2.100，会发现NAT的翻译生效了，如图9.83所示。与前面NAT地址类型中描述的理论一致，在该环境中，外部全局IP地址是202.202.1.2，也就是外部发起访问主机的源IP地址；外部本地地址为192.168.2.50，也就是外部需要被执行翻译后的IP地址，在这种情况下内部本地地址与内部全局地址相同，都是被访问的目标服务器192.168.2.100。但是会发现无法ping通192.168.2.100，如图9.84所示，翻译生效了，但是ping不通，这是什么原因？

图9.83执行外部到内部的翻译时NAT的翻译表图9.84无法ping通的效果任务9.3.8现在来分析NAT翻译生效，但是无法ping通的原因。NAT生效，表示主机202.202.1.2进入NAT路由器后，源地址被成功地翻译成192.168.2.50这个IP地址与192.168.2.100主机通信，当192.168.2.100主机回应192.168.2.50这台主机的通信时，在它本地的子网中（NAT的内部网络上）根本就没有这个192.168.2.50IP地址，因为真正的接收者是在NAT的外部，所以在NAT路由器上使用关于192.168.2.0这个子网的直连路由无法完成通信，必须为NAT路由器指示一条通过E1/1接口到目标主机192.168.2.50的主机路由。关于主机路由的配置如下所示，当主机路由配置完成后，再次检测202.202.1.2主机ping192.168.2.100，结果如图9.85所示。此时，如果在主机192.168.2.100上使用协议分析器捕获202.202.1.2ping自己的数据帧，则会显示如图9.86所示，可以明显地看出ICMP报文的源地址是192.168.2.50，事实上，是因为NAT将202.202.1.2翻译成了192.168.2.50这个地址。图9.85202.202.1.2成功与192.168.2.100通信的效果图9.86

在192.168.2.100上分析NAT后的源地址在NAT路由器上配置一条到192.168.2.50的主机路由：R1(config)#iproute192.168.2.50255.255.255.255e1/1任务9.3.8提问：在真实的工程环境中，202.202.1.2这个公共IP地址直接访问192.168.2.100这个私有网络专用地址，这可能吗？是不是同时也需要将192.168.2.100这个私有网络IP地址映射成一个公共IP地址，再提供给公共网络主机202.202.1.2访问？正确，这种思考方式很全面，因为在上述演示环境中，主要是为了描述NAT外部到内部的翻译，所以让202.202.1.2直接访问了私有网络专用IP地址192.168.2.100，但事实上，你可以使用如下的配置来完善整个NAT的配置。根据下面的配置可以得知这样一种情况，当公共网络上的主机202.202.1.2访问202.202.1.100时，实际上就是访问192.168.1.100，此时，NAT的内部本地地址是192.168.1.100，内部全局地址是202.202.1.100；当202.202.1.2的数据报文进入NAT路由器后，它会被翻译成192.168.2.50访问192.168.2.100的私有网络专用服务器，此时的外部全局地址就是202.202.1.2，外部本地地址就是192.168.2.50，具体如图9.87所示。任务9.3.8完善的NAT配置：R1(config)#ipnatinsidesource