2.配置路由器NAT网络

　　（1）配置外出路由并测试

　　主要是配置缺省路由。

　　huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9

　　huadong#ping 211.100.15.36

　　……

　　!!!!!

　　……

　　结果证明本路由器可以通过ISP访问Internet。

　　（2）配置PAT，使内部网络计算机可以访问外部网络，但不能访问总部和分支机构

　　主要是基于安全目的，不希望内部网络被外部网络所了解，而使用地址转换(NAT)技术。同时，为了节约费用，只租用一个IP地址（路由器使用）。所以，需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。

　　在访问控制列表中，需要将对其他内部网络的访问请求包废弃，保证对其他内部网络的访问是通过IPSec来实现的。

　　huadong(config)#inter eth0/0

　　huadong(config-if)#ip nat inside

　　huadong(config-if)#inter serial0/0

　　huadong(config-if)#ip nat outside

　　huadong(config-if)#exit

　　以上命令的作用是指定内外端口。

　　huadong(config)#route-map abc permit 10

　　huadong(config-route-map)#match ip address 150

　　huadong(config-route-map)#exit

　　以上命令的作用是指定对外访问的规则名。

　　huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255

　　huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255

　　huadong(config)#access-list 150 deny 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255

　　huadong(config)#access-list 150 permit ip 172.17.1.0 0.0.0.255 any

　　以上命令的作用是指定对外访问的规则内容。例如，禁止利用NAT对其他内部网络直接访问(当然，专用地址本来也不能在Internet上使用)，和允许内部计算机利用NAT技术访问Internet（与IPSec无关）。

　　huadong(config)#ip nat inside source route-map abc interface serial0/0 overload

　　上述命令的作用是声明使用串口的注册IP地址，在数据包遵守对外访问的规则的情况下，使用PAT技术。

　　以下是测试命令，通过该命令，可以判断配置是否有根本的错误。例如，在命令的输出中，说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。

　　huadong#show ip nat stat

　　Total active translations: 0 (0 static, 0 dynamic; 0 extended)

　　Outside interfaces:

　　Serial0/0

　　Inside interfaces:

　　Ethernet0/0

　　……

　　在IP地址为172.17.1.100的计算机上，执行必要的测试工作，以验证内部计算机可以通过PAT访问Internet。

　　c:>ping 210.75.32.10

　　……

　　Reply from 210.75.32.10: bytes=32 time=1ms TTL=255

　　……

　　c:>ping http://www.ninemax.com

　　……

　　Reply from 211.100.15.36: bytes=32 time=769ms TTL=248

　　……

　　此时，在路由器上，可以通过命令观察PAT的实际运行情况，再次验证PAT配置正确。

　　huadong#show ip nat tran

　　Pro Inside global Inside local Outside local Outside global

　　icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975

　　……

　　以上测试过程说明，NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然，如果业务要求，不允许所有的内部员工/计算机，或只允许部分内部计算机访问Internet，那么，只需要适当修改上述配置命令，即可实现。