假设你是某公司的网络管理员，公司只向ISP申请了一个公网IP，现公司的网站在内网，要求在互联网也可以访问公司网站。

192.168.1.2是Web服务器的IP地址（内网地址）。通过分析可知，需要将内网服务器IP转换成外网公网IP，被互联网访问。

网络拓扑图：

各个接口名称：

DNS网站转换：

 WEB服务器配置：

 DNS配置：

 内网主机配置：

 路由器接口配置：

内网网关出口接口fa0-0

 外部网关入口接口fa1-0：

 路由器命令行配置：

router(路由器配置(命令行)):
no
en
configure terminal
#添加标准ACL列表
access-list 1 permit any
#设置动态NAT，通过路由器fa1/0接口访问外网
ip nat inside source list 1 interface fa1/0 overload
#路由器fa1/0为外网网关(出口)（靠近外网的路由器接口）
int fa1/0
ip nat outside
no shutdown
exit
#路由器fa0/0为内网网关(入口)（靠近内网的路由器接口）
int fa0/0
ip nat inside
no shutdown
exit
#配置静态路由web和dns服务器(将内部的web和dns服务器内部地址映射到相对于外网的地址)
ip nat inside source static 192.168.1.2 100.0.0.3
ip nat inside source static 192.168.1.3 100.0.0.4

 验证测试：

外网ping网站网址可以通

 内网ping外网ip可以通

外网通过网站正常访问内部网址

 外网通过映射ip正常访问内网网站

使用NAT从外网访问内网

使用NAT的原因

一般一个网络中，拨号上网只会有一个外网的ip地址，内网可以设置很多的内网的ip地址，例如：192.168.1.x/24 , 每台电脑，服务器都可以享有一个或者多个IP，如果是在内网里搭建的服务器，或者是一些应用程序，在外网想访问该怎么办呢？ 按理来说是没有直接访问到内网的私网ip地址的，内网的私网ip地址对于外网来说不是唯一的标识，因为可能在很多的局域网里都有192.168.1.1这样的ip地址。这个时候可以借用nat从外网穿透到内网中。

NAT的功能介绍

NAT可以实现内网网ip的映射，例如：

按如上图的映射关系，在外网中访问，http://219.152.168.222:9201 访问的就是内网的192.168.1.59:80（是一个部署在内网的一个服务器）。如上图，不只有80端口的web server可以访问，其它端口的应用也可以这样访问。

举例说明

以某厂家的三层交换机为例说明：

上图：以图来说明
内网设备：IPC1、IPC2、二层交换机、三层交换机的PORT1/1
外网设备：PC1、PC2、二层交换机、三层交换机的PORT1/2
各个设备的IP地址、子网掩码、默认网关见拓扑图
配置三层交换机，要求在PC1上的浏览器中输入地址111.53.92.254:8001，实现对内网IPC1（192.168.1.1/24 80）的访问；在PC2上的浏览器中输入地址111.53.92.254:8002，实现对内网IPC2（192.168.1.2/24 80）的访问

实际配置

interface vlan 1
ip address 192.168.1.254/24
no shutdown
exit
interface vlan 2
add port ethernet 1/2 untagged
ip address 111.53.92.254/24
no shutdown
exit
interface vlan 100
add port ethernet 1/3 untagged (1/3-1/12)
ip nat choice napt
ip nat outside destination static tcp 111.53.92.254/24 8001 192.168.1.1/32 80
ip nat apply
ip nat outside destination static tcp 111.53.92.254/24 8002 192.168.1.2/32 80
ip nat apply

实现效果

在PC1的浏览器中，地址栏输入“111.53.92.254:8001”，实现对内网IPC1（192.168.1.1）的访问。

在PC2的浏览器中，地址栏输入“111.53.92.254:8002”，实现对内网IPC2（192.168.1.2）的访问。

各个接口以及各IP地址的网络拓扑图：

各个端口以及主机IP，网关按照上述图片配置各个IP等

内网主机pc1根据内网DHCP服务器自动获取IP：

 内网路由器命令：

router(路由器配置(命令行)):
no
en
configure terminal
#添加标准ACL列表
access-list 1 permit any
#设置分配IP地址池
ip nat pool web 100.0.0.3 100.0.0.4 netmask 255.0.0.0
#设置动态NAT，通过路由器fa1/0接口访问外网
ip nat inside source list 1 interface fa1/0 overload
#路由器se2/0为外网网关(出口)（靠近外网的路由器接口）
int fa1/0
ip nat outside
no shutdown
exit
#路由器fa4/0为内网网关(入口)（靠近内网的路由器接口）
int fa0/0
ip nat inside
no shutdown
exit
#配置静态路由web和dns服务器(将内部的web和dns服务器内部地址映射到相对于外网的地址)
ip nat inside source static 192.168.1.2 100.0.0.3
ip nat inside source static 192.168.1.3 100.0.0.4

##RA（内网循州110段去100查找）
ip route 110.0.0.1 255.0.0.0 100.0.0.10

外网路由器RB命令：
 

##RB（外网找192段去100段查找）
ip route 192.168.1.0 255.255.255.0 100.0.0.1

RA,RB路由器接口se2/0均需要更改时钟频率：

RA接口se2/0时钟频率：

 RB接口se2/0时钟频率：

 DNS服务器配置网页域名和服务器IP对应：

 DHCP服务器添加一个域名池：

验证测试：

内网主机ping外网网址www.it.com：

 外网web服务器ping内网网址www.jsj.com：