当公司服务器位于内部网络，使用内部网络私有IP地址，为了方便外部网络用户对内部网络服务器进行访问，则需要配置外部地址NAT转换。外部地址NAT转换与上节介绍的内部地址NAT转换是相反的，它仅需要定义外部地址（包括外部本地地址和外部全局地址）。

下面，同样以图5-8所示的示例进行介绍。本示例要实现的目的是：当NAT路由器外部网络接口s1接收到来自外部网络用户发送的源地址为外部本地地址171.16.68.1，目的地址为内部本地地址10.10.10.1的数据包，被路由转发到s0接口时，数据包中原来作为源地址的外部本地址172.16.68.1将转变为外部全局地址10.10.10.5（即由外部本地地址转换成外部全局地址），目的地址不变；而由内部网络用户发送的响应数据包中，变化的只是目的地址（由外部全局地址转换为外部本地地址），源地址不变。

下面是外部地址NAT转换的配置步骤，详细的NAT配置方法将在本章后面具体介绍。

（1）使用ip nat outside source static全局配置命令创建从外网到内网的静态NAT IP地址转换。也就是定义外部全局地址和外部本地地址，使它们之间形成一一对应的映射关系。

（2）使用以下两条语句配置路由器的NAT内部接口s0。指定s0作为NAT的内部接口。

（3）使用以下两条语句配置路由器的NAT内部接口s1。指定s1作为NAT的外部接口。

（4）使用show ip nat translations特权模式命令验证上述进行的路由器NAT配置。外部网络的本地地址为10.10.10.5，外部网络的全局地址为171.16.68.1。输出信息中显示以上配置的NAT条目配置为：外部全局地址为10.10.10.5，外部本地地址为171.16.68.1。这与上面的配置是一致的，证明配置是成功的。

同样，如果此时执行一个从外部网络主机（171.16.68.1）到内部网络主机（10.10.10.1）的ping操作，然后再在路由器特权模式下执行“show ip nat translations”命令，则显示如下结果。因为此时仅配置了外部本地地址和全局地址，所以结果中显示的内部本地地址和全局地址都是一样的，都是ping操作目的主机地址10.10.10.1。

与前面仅配置内部本地地址和全局地址相反，此处从外部网络发往内部网络的数据包的源地址（SA）将在经过路由器后进行转换（由外部本地地址171.16.68.1转换成外部全局地址10.10.10.5），但目标地址（DA）不变；但从内部网络发往外部网络的数据包的源地址没有改变，只是经过路由器后的数据目的地址发生了改变（由外部全局地址10.10.10.5转换成外部本地地址171.16.68.1）。因为此时还没有为NAT路由器配置内部本地地址和内部全局地址转换。如图所示。此时，数据包在内、外部网络中的源地址、目的地址的转换方式如图5-10所示。

图5-10 配置了反向NAT地址转换后的数据包地址转换示例

【经验之谈】在仅进行外部地址NAT转换时，无论数据包来自哪里，数据包中地址变化的只是外部地址之间的转换。同样也需注意，地址变化所对应的是源地址，还是目的地址是要看数据包是来自内部网络，还是来自外部网络：如果来自内部网络，转换是目的地址；如果来自外部网络，转换的是源地址。这与前面的内部地址NAT转换是对应相反的。

本文摘自《路由器配置与管理完全手册(Cisco篇)试读样章》第五章