1、网络环境：     内网用户ip地址为10.83.91.0/255.255.254.0，也就是说ip地址为两个c类地址，涵盖范围为10.83.91.0到10.83.92.255。路由器使用的是华为公司出品的2612产品，该产品有两个以太网口供我们使用。网口一连接外网，ip地址为公网地址；网口二连接内网，ip地址为私网地址。

    2、配置过程：

    公司希望在路由器上配置nat功能，让内网中的用户使用nat访问外网。2621路由器上已经配置了外网接口ip为61.51.3.103(公网ip地址），内网接口ip地址为10.83.91.254。nat配置命令如下，笔者将一一做详细注释。

    “acl 1”   

    命令解释：设置一个访问控制列表，列表号为1。

    “rule normal permit source 10.83.91.254 0.0.1.255”

    命令解释：为访问控制列表添加规则，容许10.83.91.254/255.255.254.0这个网段的所有地址通过。注意一点的是命令中使用的是0.0.1.255这样的反向掩码形式，实际上他代表子网掩码为255.255.254.0。

    “nat outbound 1 interface”

    命令解释：在nat出口接口上进行设置，即外网接口，启用nat功能。容许nat的主机为访问控制列表1中规定的地址。

    小提示：华为路由器启用nat功能时使用了一种称作easyip的技术，可以让内网ip映射为路由器的外网接口ip地址，从而让多个内网ip地址对应一个公网ip，这个技术可以在数量上节省一个公网ip地址。

    3、附属功能：

    有的公司可能有专门的www服务器或mail服务器，对于这些服务器来说不能使用nat进行映射，因为nat后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问www和mail服务器的。这时可以在路由器上使用nat server命令解决这个问题，对主机进行宣告。例如上面的公司如果其www服务器的ip地址内网是10.83.91.2，公网发布地址为61.51.3.104的话，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。

    总结：笔者在公司的2621上配置了nat后网络运行非常稳定，不过配置时要注意以下几点，一是设置访问控制列表时一定要设置相应的规则，如果acl是空或者规则采用permit any都会造成nat的失效，因为路由器将不知道哪个接口为nat外网接口，哪个是内网接口。