配置方法比較簡(jiǎn)單,只是需要注重被調(diào)用的ACL配置:

環(huán)境:
R2(s1)------(s1)R1(e0)-----(e0)R3
R1上配置具體實(shí)驗(yàn),R2測(cè)試發(fā)起telnet,R3被telnet

1,假如使用非擴(kuò)展訪問(wèn)列表,則將內(nèi)部主機(jī)對(duì)外表現(xiàn)的內(nèi)部全局地址作為ACL配置部分, 如:
    access-list 1 permit 內(nèi)部全局地址.
  看測(cè)試的例子配置:E0是內(nèi)口,S1是外口,1.1.12.1為代表內(nèi)部的內(nèi)部全局地址.

   interface Ethernet0
   ip address 10.0.0.4 255.255.255.0
   ip nat inside

   interface Serial1
   ip address 1.1.12.1 255.255.255.0
   ip nat outside

   ip nat pool PL 10.0.0.1 10.0.0.2 PRefix-length 24 type rotary
   access-list 1 permit 1.1.12.1

   看對(duì)應(yīng)的調(diào)試信息:
  2509rj#1
[Resuming connection 1 to r1 ... ]

*Mar  1 01:38:36.635: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1#
*Mar  1 01:38:38.635: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1#
*Mar  1 01:38:42.635: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1#
R2#
R2#telnet 1.1.12.1
Trying 1.1.12.1 ...
% Connection timed out; remote host not responding
10.0.0.1是我的筆記本地址,未開(kāi)TELNET功能,所以此時(shí)發(fā)起TLNET的路由器應(yīng)該連不上

再重新telnet,這次假如被轉(zhuǎn)換成10.0.0.2那么就應(yīng)該能登陸到R3路由器上,因?yàn)?0.0.0.2是R3的地址.:
*Mar  1 01:38:50.635: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1#
*Mar  1 01:39:09.331: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.2 [0]
*Mar  1 01:39:09.347: NAT: s=10.0.0.2->1.1.12.1, d=1.1.12.2 [0]
*Mar  1 01:39:09.371: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.2 [1]
*Mar  1 01:39:09.379: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.2 [2]
*Mar  1 01:39:09.387: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.2 [3]
*Mar  1 01:39:09.407: NAT: s=10.0.0.2->1.1.12.1, d=1.1.12.2 [1]
*Mar  1
*Mar  1 01:39:50.635: NAT: eXPiring 1.1.12.1 (10.0.0.1) tcp 23 (23)
R1#
從上面的信息可以看出,這次被轉(zhuǎn)成了10.0.0.2

R2#telnet 1.1.12.1
Trying 1.1.12.1 ... Open

User Access Verification

PassWord:
成功,提示我輸入密碼.

2.假如使用擴(kuò)展ACL,那么應(yīng)該將內(nèi)部全局地址指定為ACL中的目標(biāo)地址:
看配置范例:
我們將ACL改成access-list 122 permit ip host 1.1.12.1 any
然后重新調(diào)用 R1(config)#ip nat inside destination list 112 pool PL
這個(gè)時(shí)候,故意將1.1.12.1作為ACL中源地址,目標(biāo)地址任意,看這個(gè)時(shí)候能否發(fā)生轉(zhuǎn)換
R1#show ip nat trans

R1#
注重看,沒(méi)有NAT條目,說(shuō)明沒(méi)有發(fā)生轉(zhuǎn)換.
R2#telnet 1.1.12.1
Trying 1.1.12.1 ... Open
Password required, but none set

[Connection to 1.1.12.1 closed by foreign host]
R2的信息則返回說(shuō)需要密碼,但未被設(shè)置,很明顯,R2試圖直接TELNET R1了,而不是通過(guò)R1的轉(zhuǎn)換TELNET r3

3.將擴(kuò)展ACL的目標(biāo)地址改成內(nèi)部全局地址,看是什么結(jié)果:
將ACL改成R1(config)#access-list 112 permit ip any host 1.1.12.1
2509rj#1
[Resuming connection 1 to r1 ... ]

*Mar  1 01:51:46.763: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1(config)#
*Mar  1 01:51:48.763: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1(config)#
*Mar  1 01:51:52.763: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1(config)#
*Mar  1 01:52:00.763: NAT: s=1.1.12.2, d=1.1.12.1->10.0.0.1 [0]
R1(config)#

調(diào)試信息顯示發(fā)生了轉(zhuǎn)換.

總結(jié):
1.測(cè)試的時(shí)候不要用PING,因?yàn)檫@個(gè)NAT的負(fù)載均衡只對(duì)TCP協(xié)議,所以用TELNET測(cè)試.
2.需要確保路由器之間能正常進(jìn)行選路,否則可能會(huì)發(fā)生,看到轉(zhuǎn)換了卻無(wú)法TELNET進(jìn)去.
3.內(nèi)部全局地址也可以分配到環(huán)回地址,只要符ACL的就可以引發(fā)轉(zhuǎn)換.