我有以下配置（IOS 12.3）：

ABC13代表外部，公网IP，绑定在Fa0/1.52接口上

37.247.X.206 是我用来测试的公共客户端

xxxn 代表连接到 ABC13 的随机公共对等点

yyyn 代表连接到 ABC13 的随机公共对等点

zzzn 代表连接到 ABC13 的随机公共对等点

interface FastEthernet0/1.52
 description *** OUTSIDE ***
 encapsulation dot1Q 52
 ip address A.B.C.13 255.255.255.192
 ip access-group ACL_FW_FROM_OUTSIDE in
 ip nat outside



interface FastEthernet0/1.312
 description *** INSIDE ***
 encapsulation dot1Q 312
 ip address 172.19.128.254 255.255.255.0
 ip nat inside



ip nat inside source list ACL_NAT_FROM_INSIDE interface FastEthernet0/1.52 overload
ip nat inside source static tcp 172.23.10.151 25 A.B.C.13 25 extendable

对我来说，这看起来像配置了一个D-NAT，将 ABC13:25 外部转换为 172.23.10.151:25 - 这可以按预期工作。但是，我有各种将 ABC13:443 翻译为内部主机 172.19.128.152:443 的翻译，如 show ip nat translations 所示：

router# show ip nat translations | i 443

tcp A.B.C.13:443 172.19.128.152:443 x.x.x.84:54019 x.x.x.84:54019
tcp A.B.C.13:443 172.19.128.152:443 y.y.y.30:4143 y.y.y.30:4143
tcp A.B.C.13:443 172.19.128.152:443 z.z.z.42:10890 z.z.z.42:10890

这些翻译在哪里定义？

running-config 中没有一行包含 172.19.128.152。

与端口 443 上的通信相关的唯一配置语句在引用的 ACL“ACL_FW_FROM_OUTSIDE”中定义：

Extended IP access list ACL_FW_FROM_OUTSIDE
170 permit tcp any host A.B.C.13 eq 443 (149602 matches)

如果我删除此行，与端口 443 (Outlook Web Access) 上的服务的通信将不再起作用（正如人们所期望的那样）。但是翻译是从哪里来的呢？IOS 如何知道将 ABC13:443 转换为内部主机 172.19.128.152 ？

提前感谢您的反馈！

/编辑：

我可以看到并体验到我从外部（从 37.247.X.206:443）到 ABC13:443 的连接是 dest-NATed 到内部主机 172.19.128.152:443 - 不仅在 CLI 上，而且因为 OutlookWebAccess-界面得到服务并显示在我的浏览器中。

router#show ip nat translations | i 206
tcp A.B.C.13:443 172.19.128.152:443 37.247.X.206:26064 37.247.X.206:26064

如果我断开主机 172.19.128.152 - 连接将无法正常工作 - OutlookWebAccess 不会出现。

同样很明显，这个流程正在通过这个系统，因为当我删除 ABC13:443 的 ACE 时，它也会导致服务不被提供。

Session 6443D284 (37.247.X.206:26694)=>(172.19.128.152:443) tcp SIS_OPEN