启用NVI的NAT的配置示例

启用NVI的NAT的配置示例

本示例的网络结构如图5-22所示。在这样一个网络中，路由器的三个接口（Ethernet0/0、Ethernet1/0和Serial2/0）各连接了一个VPN（bank、park和services）。在这三个VPN中bank和park采用动态NVI，共享一个名为pool1的全局IP地址池，并通过acl 1进行NAT通信过滤；而services VPN示例采用静态NVI，配置内部本地IP地址192.168.123.1到内部全局地址192.168.125.10的映射。

 （点击查看大图）图5-22  启用NVI功能的NAT配置示例以下显示了在NAT路由器上的NVI接口配置。

interface Ethernet0/0  
 ip vrf forwarding bank   !----指定Ethernet0/0接口与名为bank的VRF关联，也就是这个接口连接名为bank的VPN，下面的这个语句类似  
 ip address 192.168.121.1 255.255.255.0  
 ip nat enable    !----在Ethernet0/0接口上启用NAT服务  
!  
interface Ethernet1/0  
 ip vrf forwarding park  
 ip address 192.168.122.1 255.255.255.0  
 ip nat enable  
!  
interface Serial2/0  
 ip vrf forwarding services  
 ip address 192.168.123.2 255.255.255.0  
ip nat enable  
!  
ip nat pool NAT 192.168.25.20 192.168.25.30 netmask 255.255.255.0 add-route  !---创建一个名为NAT的动态NAT地址池，全局地址范围为192.168.25.20~ 192.168.25.30，同时创建一个动态NVI，并为所有全局地址启用到NVI接口的路由  
 
ip nat source list 1 pool NAT vrf bank overload  !---按照acl 1中的规则和名为NAT的全局地址池对名为bank的VRF实例进行动态PAT转换  
 
ip nat source list 1 pool NAT vrf park overload  
 
ip nat source static 192.168.123.1 192.168.125.10 vrf services  !---把名为services的VRF实例中的本地地址192.168.123.1转换成192.168.125.10的全局地址  
!   
access-list 1 permit 192.168.122.20  
access-list 1 permit 192.168.122.0 0.0.0.255