三. 配置路由器NAT网络

---- （1） 配置外出路由并测试

---- 主要是配置缺省路由。

---- huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

---- huadong#ping 211.100.15.36

---- ……

---- !!!!!

---- ……

---- 结果证明本路由器可以通过ISP访问Internet。

---- （2） 配置PAT，使内部网络计算机可以访问外部网络，但不能访问总部和分支机构

---- 主要是基于安全目的，不希望内部网络被外部网络所了解，而使用地址转换（NAT）技术。同时，为了节约费用，只租用一个IP地址（路由器使用）。所以，需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。

---- 在访问控制列表中，需要将对其他内部网络的访问请求包废弃，保证对其他内部网络的访问是通过IPSec来实现的。

---- huadong(config)#inter eth0/0

---- huadong(config-if)#ip nat inside

---- huadong(config-if)#inter serial0/0

---- huadong(config-if)#ip nat outside

---- huadong(config-if)#exit

---- 以上命令的作用是指定内外端口。

---- huadong(config)#route-map abc permit 10

---- huadong(config-route-map)#match ip address 150

---- huadong(config-route-map)#exit

---- 以上命令的作用是指定对外访问的规则名。

---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

---- huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

---- huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any

---- 以上命令的作用是指定对外访问的规则内容。例如，禁止利用NAT对其他内部网络直接访问（当然，专用地址本来也不能在Internet上使用），和允许内部计算机利用NAT技术访问Internet（与IPSec无关）。

---- huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

---- 上述命令的作用是声明使用串口的注册IP地址，在数据包遵守对外访问的规则的情况下，使用PAT技术。

---- 以下是测试命令，通过该命令，可以判断配置是否有根本的错误。例如，在命令的输出中，说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。

---- huadong#show ip nat stat

---- Total active translations: 0 (0 static, 0 dynamic; 0 extended)

---- Outside interfaces:

---- Serial0/0

---- Inside interfaces:

---- Ethernet0/0

---- ……

---- 在IP地址为172.17.1.100的计算机上，执行必要的测试工作，以验证内部计算机可以通过PAT访问Internet。

---- c:>ping 210.75.32.10

---- ……

---- Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

---- ……

---- c:>ping http://www.ninemax.com

---- ……

---- Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

---- ……

---- 此时，在路由器上，可以通过命令观察PAT的实际运行情况，再次验证PAT配置正确。

---- huadong#show ip nat tran

---- Pro Inside global Inside local Outside local Outside global

---- icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

---- ……

---- 以上测试过程说明，NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然，如果业务要求，不允许所有的内部员工/计算机，或只允许部分内部计算机访问Internet，那么，只需要适当修改上述配置命令，即可实现。