Thông thường thì mạng của một doanh nghiệp chỉ nhận được một số lượng nhỏ địa chỉ IP từ nhà cung cấp dịch vụ Internet ISP, trong khi số lượng máy tính của trong
mạng lại rất lớn. Để giải quyết tình huống này, ta cấu hình PAT là kĩ thuật cải tiến của NAT.
Khi sử dụng PAT nhiều kết nối khác nhau xuất phát từ nhiều host khác nhau ở mạng trong có thể được sử dụng kết hợp bằng cách ánh xạ cùng một địa chỉ IP. Số hiệu kết hợp là địa chỉ cổng nguồn. Trong hình vẽ địa chỉ IP của 2 host trong mạng trong được phiên dịch sang địa chỉ phiên dịch cổng là 192.168.0.20 và địa chỉ cổng nguồn là 1024 và 1025.
Các thiết bị firewall sủ dụng các tính năng của PAT mở rộng dải địa chỉ công ty có thể dùng bởi vì:
• Một địa chỉ IP global có thể sử dụng cho gần 64000 máy trạm ở trong vùng nội bộ đi ra bên ngoài.
• PAT ánh xạ số hiệu cổng TCP, UDP cho cùng 1 địa chỉ IP để phân biệt các máy trong mạng nội bộ.
• PAT ẩn đi địa chỉ IP nguồn của máy trong mạng nội bằng cách sử dụng địa chỉ IP được gán bởi firewall.
• PAT có thể được sử dụng cùng với NAT.
• Một địa chỉ PAT có thể là 1 địa chỉ ảo, khác với địa chỉ global
Không sử dụng PAT khi chạy các ứng dụng multimedia qua firewall vì các ứng dụng này cần truy nhập một số cổng nhất định và điều này có thể dẫn xung đột với số hiệu cổng được cấp bởi PAT.
Trong ví dụ sau về PAT, công ty XYZ chỉ được có 6 địa chỉ được đăng kí. Một địa chỉ dành cho router nằm trên vùng biên, một dành cho firewall và một dành để ánh xạ.
Ví dụ như sau
ip address inside 10.0.0.1 255.255.255.0 ip address outside 192.168.0.2 255.255.255.0 route outside 0.0.0.0 0.0.0.0 192.168.0.1
Các địa chỉ IP được gán cho các cổng phía bên trong và bên ngoài. Một địa chỉ IP được đăng kí 192.168.0.3 được đặt vào trong giải địa chỉ dùng để ánh xạ. Và địa chỉ đó được mạng nội bộ 10.0.0.0 dùng chung để truy nhập ra bên ngoài thông qua các lệnh:
nat (inside) 1 10.0.0.0 255.255.0.0
global (outside) 1 192.168.0.3 netmask 255.255.255.255
Mỗi cổng được gán cho một máy trong mạng là duy nhất và số hiệu cổng đó phải lớn 1023.