什么是permit-inside功能

若内网有一台服务器映射成为一个公网IP地址，并且将该公网IP注册至一个域名中。此时内网用户通过直接输入域名访问该服务器，域名服务器将该服务器的地址解析为已经注册的公网IP地址。默认情况下，当内网用户通过公网地址来访问该服务器时，路由器将认为该流量为正常的穿越流量，因此将为该流量做正常的源地址转换；而在做源地址转换之前，由于检查到该公网IP与外网口在同一网段，因此在做源地址转换前需要预先发送ARP请求来解析该公网IP的MAC地址；但由于实际外网口网段中不存在一台配置为该IP的终端，ARP请求将始终得不到响应，因此源地址转换也将失败。最终，内网用户访问该服务器公网地址的现象为：路由器上无相关转换表项，只在出口发出ARP请求，并且内网用户得不到任何数据应答。此时就需要配置permit-inside功能。

当路由器上配置了permit-inside功能，如下：

ip nat inside source static tcp 192.168.1.254 23 10.0.0.1 23 permit-inside

此时，在内网192.168.1.2上telnet 10.0.0.1，在路由器上查看转换表项如下：

RSR50-40#sh ip nat tran

Pro Inside global      Inside local       Outside local      Outside global

tcp 10.0.0.1:1046      192.168.1.2:1046   10.0.0.1:23        192.168.1.254:23

当配置了permit-inside功能后，路由器对相应数据包的源、目IP都进行了转换：

	源IP地址	目的IP地址
转换前	192.168.1.2:1046	10.0.0.1:23
转换后	10.0.0.1:1046	192.168.1.254:23