单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
来源:互联网 发布:淘宝怎么看天猫积分 编辑:程序博客网 时间:2024/06/07 17:08
以后配置ACL都要使用命名扩展ACL,这是所有设备都支持并且都在推荐使用的,而有些设备没有编号ACL的(如神州数码就没有编号ACL)。使用命名ACL之间没有先后顺序之分。
实战中出现的问题:数据包在网络层时是先路由再NAT的(这个没问题),但选择好路由之后,数据包没有符合NAT中的ACL要求,可是数据包就直接从这个出口出去了,why??? 这与我们下面的实验是不同的,下面的实验在符合路由且符合NAT中的ACL这才从此出口出去,否则将从默认路由且允许所有NAT的出口出去的。这难道是模拟器的缺陷???经过实战多个项目可知,下面实验确实是模拟器的缺陷才得出做NAT时访问控制列表有顺序的结论(下面实验是在没有实战之前做的),真正的结论是当数据包选择好路由的下一跳(出口)后,它就直接从下一跳(出口)转发,如果符合NAT中的ACL,那么数据包就做NAT的地址转换之后转发,但即使不符合NAT中的ACL,数据包也一样从这下一跳(出口)转发。记住是先路由之后才NAT。
实验注意要点:
1、实现在一个路由器上做一个局域网对多个出口的NAT技术,必须要使用扩展访问控制列表才能实现。
2、在一个物理接口上划分出的子接口间也可以做NAT,即一个为局域网,另一个为外网出口。
3、访问控制列表是严格按照序列号(list 1、2、、、200、、)来过滤筛选的,所以要配置之前要设计好先后顺序,否则会使后边的列表失效。
实验拓扑图:
router0:
外网:g0/1:100.1.1.1/24
专网1:g0/2:90.1.1.1/30
专网2:g0/0.1:10.1.1.254/24
本地局域网:g0/0.2:192.168.1.254/24
本实验中除了router0外,其他路由器与交换机只配置接口IP与telnet功能没有添加任何路由协议。
错误做法:起初在router0上使用标准访问控制列表做NAT的结果。
1、同个list 1同源IP做多次NAT,只对当前做完的出口NAT有效,前一次有效的NAT出口马上失效。原因标准访问列表只针对源IP进行过滤筛选,因此同一个list 1且同源IP时,使用一次后,前一次只能失效。
2、不同list1、list2、list3同源IP分别做三个NAT出口,访问控制列表筛选原则是按list序号检查过滤当满足条件后停止进行下一条list过滤。但在list1检查过滤时就发现条件满足,所以就从list1对应出口直接做NAT,不再对list2、list3进行过滤,等于说list2和list3设计出来与不设计都没关系。
正确做法:最后在router0使用扩展访问控制列表做NAT问题解决。因为扩展列表是对源IP、目标IP、端口、协议等进行过滤筛选。(以后都要使用扩展列表做NAT,扩展列表拥有所有标准列表的功能)
最后router0配置如下:
router0#sh ru
Building configuration...
Current configuration : 1601 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
license udi pid CISCO2911/K9 sn FTX1524U4NC
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 2
ip address 10.1.1.254 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 3
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1
ip address 100.1.1.1 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 90.1.1.1 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 110 interface GigabitEthernet0/0.1 overload
ip nat inside source list 160 interface GigabitEthernet0/2 overload
ip nat inside source list 180 interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.1.3 23 10.1.1.254 23
ip nat inside source static tcp 192.168.1.3 23 100.1.1.1 23
ip nat inside source static tcp 192.168.1.3 23 90.1.1.1 23
ip classless
ip route 10.1.0.0 255.255.0.0 GigabitEthernet0/0.1
ip route 90.1.1.0 255.255.255.0 GigabitEthernet0/2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.255.255
access-list 160permit ip 192.168.1.0 0.0.0.255 90.1.1.0 0.0.0.255
access-list 180 permit ip any any
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
使用访问控制列表配置过程中出现的错误
起先错误的设计如下并应用到个出口的NAT指令上
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.255.255
access-list 140 permit ip any any
access-list 160 permit ip 192.168.1.0 0.0.0.255 90.1.1.0 0.0.0.255
结果本地局域网成功nat路由器的G0/0.1的专网2、G0/1外网internet,而G0/2的专网1失效,
在router3上ping 90.1.1.1,结果响应的却是100.1.1.1。在router 0上ping 90.1.1.2 ,结果不响应。好奇怪啊!!!???
没办法把G0/1接口down掉,再从router3上ping 90.1.1.1,结果超时,从中可以看出从问题就在router0上的g0/1和g0/2上,不知道哪里出错,期间又重起过路由,但也不行,是不是真的不能一对多NAT?。
能导致路由PING都不通应该在路由表上有问题,但检查了N次路由表也没看出问题来。按照平常对接且同网段应该是通才得,现在不通是因为做了NAT后才有这种问题的,所以把ip nat inside source list 140 interface GigabitEthernet0/1 overload
ip nat inside source list 160 interface GigabitEthernet0/2 overload两个都删除了。
在router3上ping 90.1.1.1,结果正常。
分析得知,原来扩展访问控制列表也是使用list序号顺序进行过滤筛选的,由于在list140时设计了permit ip any any,所以当包被过滤到这条list140时就已经符合筛选条件了,所以就直接被NAT到G0/1外网去了,根本不再使用list160进行过滤了。
到此找出故障原因,经过重新设计扩展列表的list顺序并NAT到对应的出口上,成功的实现了一对多出口NAT的技术。如下
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.255.255
access-list 160 permit ip 192.168.1.0 0.0.0.255 90.1.1.0 0.0.0.255
access-list 180 permit ip any any
ip nat inside source list 110 interface GigabitEthernet0/0.1 overload
ip nat inside source list 160 interface GigabitEthernet0/2 overload
ip nat inside source list 180 interface GigabitEthernet0/1 overload
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
多对一做NAT技术1:
如图,
要求实现10.1.2.0/24 、192.168.1.0/24与外网nat,但10.1.1.0/24不能nat。(回想起来之前做过的实验了吧,不管跨不跨路由器(网段),只要分组中源ip和目标ip不变一样可以受访问控制列表过滤筛选,所以也一样可以跨路由器(网段)做nat技术)。
这里可以用标准acl和扩展acl(推荐)。
router0:
Router0config)#do sh ru
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 2
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 3
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1
ip address 100.1.1.1 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.1.3 23 10.1.1.254 23
ip nat inside source static tcp 192.168.1.3 23 100.1.1.1 23
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
ip route 10.1.0.0 255.255.0.0 GigabitEthernet0/0.1
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 10.1.2.0 0.0.0.255
!
end
结果在10.1.2.0/24 、192.168.1.0/24局域网的PC3与PC4上都可以成功ping 200.1.1.2,但10.1.1.0/24局域网不能ping 200.1.1.2。
多对一做nat技术2:
实现所有内局域网的不同网段做NAT方法,拓扑如上。
router0#
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 2
ip address 10.1.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 3
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/1
ip address 100.1.1.1 255.255.255.252
ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list 110 interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.1.3 23 10.1.1.254 23
ip nat inside source static tcp 192.168.1.3 23 100.1.1.1 23
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
ip route 10.1.0.0 255.255.0.0 GigabitEthernet0/0.1
!
!
access-list 110 permit ip any any
!
end
结果所有内部网段都可以正常nat,即所有用户正常上外网。
- 单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
- 备-- 单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
- 单路由器1对多nat
- NAT 穿越技术(一)
- 实验十:NAT技术实验
- NAT技术
- nat技术~
- NAT技术
- NAT技术
- NAT技术
- NAT技术
- NAT 及 NAT 打洞技术
- 服务器与路由器NAT技术应用
- nat技术简介(转载)
- P2P技术(NAT基础)
- NAT技术介绍(转)
- NAT穿越技术(二)
- 路由器NAT
- C语言回文及其转化问题
- HDU 1730 Northcott Game 【组合博弈】
- 解析带小括号的算术表达式--------用栈来实现的java算法
- GNU ARM 汇编指令
- Hadoop读书笔记(四)HDFS体系结构
- 单路由器:一对多出口NAT技术+子接口NAT+(命名)扩展访问控制列表+多对一NAT技术实验
- c++实现atoi()和itoa()函数(字符串和整数转化)
- php学习笔记(十)对象和类
- Nodejs系列-1
- 关于自己的学习和工作
- ***(leetcode) Recover Binary Search Tree
- nginx源码分析--事件模块 & 琐碎
- ARM指令之--MVN
- 枋电OJ(HDOJ)2023题:求平均成绩(数组操作,水题)
