1. 组网需求

·              某公司内部对外提供Web服务，Web服务器地址为10.110.10.2/24。

·              该公司在内网有一台DNS服务器，IP地址为10.110.10.3/24，用于解析Web服务器的域名。

·              该公司拥有两个外网IP地址：202.38.1.2和202.38.1.3。

需要实现，外网主机可以通过域名访问内网的Web服务器。

3. 配置思路

·              外网主机通过域名访问Web服务器，首先需要通过访问内网DNS服务器获取Web服务器的IP地址，因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

·              DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址，因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过DNS ALG功能实现。

4. 配置步骤

# 按照组网图配置各接口的IP地址，具体配置过程略。

# 开启DNS协议的ALG功能。

<Router> system-view

[Router] nat alg dns

# 配置ACL 2000，允许对内部网络中10.110.10.2的报文进行地址转换。

[Router] acl basic 2000

[Router-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0

[Router-acl-ipv4-basic-2000] quit

4.1 创建地址组1。

[Router] nat address-group 1

4.2 添加地址组成员202.38.1.3。

[Router-address-group-1] address 202.38.1.3 202.38.1.3

[Router-address-group-1] quit

4.3  在接口GigabitEthernet1/0/2上配置NAT内部服务器，允许外网主机使用地址202.38.1.2访问内网DNS服务器。

[Router] interface gigabitethernet 1/0/2

[Router-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns

4.4 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。

[Router-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible

4.5. 验证配置

以上配置完成后，外网Host能够通过域名访问内网Web server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all