Одна из основных функций NAT это статическая трансляция портов (Port Address Translation, PAT), которая называется ”overload” в конфигурациях Cisco. Статический PAT предназначен для преобразования вида один-в-один между локальными и глобальными адресами. Обычное использования статического PAT это позволить Интернет пользователям из публичной сети получить доступ, например, к Web серверу, расположенным в частной сети. Следующая табличка показывает три блока IP адресов доступных для приватного использования.
Адресное пространство | Класс |
10.0.0.0 - 10.255.255.255 | A |
172.16.0.0 - 172.31.255.255 | B |
192.168.0.0 - 192.168.255.255 | C |
Сетевая диаграмма показана на рисунке:

В этом примере, Интернет сервис провайдер (ISP) назначает DSL абоненту только один единственный IP адрес, 171.68.1.1/24. Этот назначенный IP адрес является зарегистрированным уникальным IP адресом и называется внутренним глобальным адресом. Этот зарегистрированный адрес используется всей приватной сетью для выхода в Интернет, а также Интернет пользователями которые приходят из публичной сети чтобы достичь Web сервера в приватной сети.
Приватная сеть 192.168.0.0/24, подсоединяется к Ethernet интерфейса NAT маршрутизатора. Приватная сеть содержит несколько компьютеров и Web сервер. NAT роутер настраивается для трансляции незарегистрированных IP адресов (внутренние локальные адреса) которые приходят от этих PC в единственный публичный адрес (внутренний глобальный - 192.168.0.0/24) для выхода в Интернет.
IP адрес 192.168.0.0/24(Web сервер) это адрес в приватном адресном пространстве который не может маршрутизироваться в Интернет. Единственный видимый IP адрес для пользователей Интернет чтобы достичь Web сервер это 171.68.1.1. Поэтому NAT роутер настраивается для выполнения преобразования один-в-один между IP адресом 171.68.1.1 порт 80 и 192.168.0.5 порт 80.
Конфигурация Cisco 827
version 12.4
service timestamps debug uptime
service timestamps log uptime
!
hostname 827
!
ip subnet-zero
no ip domain-lookup
!
bridge irb
!
interface Ethernet0
ip address 192.168.0.254 255.255.255.0
ip nat inside
!--- Это внутренний локальный IP адрес и является приватным IP адресом.
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
encapsulation aal5snap
!
bundle-enable
dsl operating-mode auto
bridge-group 1
!
!--- Это внутренний глобальный IP адрес.
!--- Это ваш публичный IP адрес и он дается вам вашим ISP.
interface BVI1
ip address 171.68.1.1 255.255.255.240
ip nat outside
!--- Это правило заставляет роутер выполнять PAT для всех станций за Ethernet интерфейсом,
!--- которые используют приватные IP адреса определенные в листе доступа #1
ip nat inside source list 1 interface BVI1 overload
!--- Это правило выполняет статическую трансляцию адресов для Web сервера.
!--- С помошью данного правила, пользователи которые пытаются достичь 171.68.1.1 порт 80 (www) автоматически
!--- перенаправляются на 192.168.0.5 порт 80 (www). В данном случае это Web сервер
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ip classless
!--- IP адрес 171.68.1.254 это адрес следующего хопа также называемый шлюзом по умолчанию
!--- Ваш ISP может сказать вам какой IP адрес настраивать в качестве адреса следующего хопа.
ip route 0.0.0.0 0.0.0.0 171.68.1.254
!--- Этот лист доступа определяет приватную сеть над которыми выполняются адресные преобразования
access-list 1 permit 192.168.0.0 0.0.0.255
bridge 1 protocol ieee
bridge 1 route ip
!
end
С помощью команды show ip nat translation можно посмотреть таблицу преобразования адресов NAT.
827#show ip nat translation
Pro Inside global Inside local Outside local Outside global
tcp 171.68.1.1:80 192.168.0.5:80 --- ---
tcp 171.68.1.1:80 192.168.0.5:80 198.133.219.1:11000 198.133.219.1:11000
827#
Inside local -это IP адрес назначенный Web серверу на внутренней сети. Заметим, что 192.168.0.5 это адрес в приватном адресном пространстве которое не может быть маршрутизировано в Интернет.
Inside global – это IP адрес внутреннего хоста, т.е Web сервера, как он видим во внешней сети. Этот адрес видят люди, когда пытаются получить доступ к Web серверу из Интернет.
Outside local – Это IP адрес внешнего хоста как он видим во внутренней сети. Нет никакой необходимости этому адресу быть легальным. Но он должен выделяться из адресного пространства, которое может быть маршрутизировано во внутренней сети.
Outside global – это IP адрес назначенный хосту во внешней сети владельцем этого хоста. Этот адрес выделяется из адресного пространства которое может быть глобально маршрутизируемым.
Заметим, что адрес 171.68.1.1 порт 80 (HTTP) транслируется в 192.168.0.5 порт 80 и наоборот. Поэтому Интернет пользователи могут просматривать Web сервер даже хотя последний расположен в приватной сети с приватными IP адресами.