CCNP实验4:在NAT中使用AccessList和RouteMaps
【任务四】:转换内部地址在NAT中使用ROUTE-MAP在这个任务中,你将配置NAT使用ROUTE-MAP进行数据包匹配。大家在看见看到,当价钱使用NAT时不使用overloading地址,这个地址转换表仅仅包含本地和全局地址。当你配置NAT使用ROUTE-MAP时,这个地址转换条目将包含内部和外部(本地和全局)地址条目和TCP、UDP端口信息。这种地址转换条目使路由器可以识别不同的会话。
实验过程:
第一步:数据包应该进行基于目的地址的转换。到TFTP服务器和到网络核心的数据包应该还是被转换到192.168.x.0/24或192.168.xx.0/24,但是到其他边界路由器的数据包应该被转换到10.x.0.0子网中。这个地址将使用在本地到其他边界路由器的S1接口和其他出现在路由表中的路由(直连的路由是自动的进入路由表)。为了防止先前的拒绝,PxR1将使用地址范围10.x.0.64-95/24和PxR2将使用地址范围10.x.0.97-127/24.使用ROUTE-MAP作为基于目的地址的地址转换条件器。你的ROUTE-MAP配置应该与下列类似:
Route-map TO_BBR permit 10
Match ip address 100
!
Route-map TO_POD permit 10
Match ip address 101
第二步:删除以前的NAT命令,加入新的NAT命令使用ROUTE-MAP进行地址转换。你的配置与下列类似:
P2R1(conf)#no ip nat inside source list 100 pool BBR
P2R1(conf)#no ip nat inside source list 101 pool POD
P2R1(conf)#ip nat inside source route-map TO_BBR pool BBR
P2R1(conf)#ip nat inside source route-map TO_POD pool POD 提示: 如果路由器指出”%Dynamic mapping in use, cannot remove”,请返回特权模式,然后输入clear ip nat trans * 删除所有动态映射。第三步:从内部路由器PING边界路由器和TFTP服务器,验正先前的步骤是成功的。打开debug ip nat命令在边界路由器上,查看地址翻译细节。你的路由器显示应该与下面类似:
Rack01R1#ping 10.254.0.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.254.0.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms
在边界路由器上,使用Debug ip nat detail命令:
*Mar 1 03:04:00.443: NAT*: s=10.254.0.254, d=192.168.1.1->10.1.1.3
*Mar 1 03:04:00.451: NAT: map match TO_BBR
*Mar 1 03:04:00.455: NAT: map match TO_BBR
*Mar 1 03:04:00.459: NAT: i: icmp (10.1.1.3, 6711) -> (10.254.0.254, 6711)
*Mar 1 03:04:00.463: NAT: s=10.1.1.3->192.168.1.1, d=10.254.0.254
*Mar 1 03:04:00.523: NAT*: o: icmp (10.254.0.254, 6711) -> (192.168.1.1, 6711)
在内部路由器上,PING其他的边界路由器:
P1R3#ping 10.1.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.254.0.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms
CCNP实验4:在NAT中使用AccessList和RouteMaps
同样,在边界路由器上,使用debug ip nat details:*Mar 1 03:06:33.587: NAT: s=10.1.1.3->10.1.0.67, d=10.1.0.2
*Mar 1 03:06:33.623: NAT*: o: icmp (10.1.0.2, 1268) -> (10.1.0.67, 1268)
*Mar 1 03:06:33.627: NAT*: s=10.1.0.2, d=10.1.0.67->10.1.1.3
*Mar 1 03:06:33.639: NAT: map match TO_POD
*Mar 1 03:06:33.643: NAT: map match TO_POD
*Mar 1 03:06:33.643: NAT: i: icmp (10.1.1.3, 1269) -> (10.1.0.2, 1269)
第四步:使用show ip nat translations命令在每个边界路由器,你的显示结果应该与下面类似:
笔记: 注意这张表是被完整的粘贴的,一些转换条件使这个表比DEUBGGING还拥有更多的信息。
P1R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 192.168.1.1:2632 10.1.1.3:2632 10.254.0.254:2632 10.254.0.254:2632
icmp 192.168.1.1:2633 10.1.1.3:2633 10.254.0.254:2633 10.254.0.254:2633
icmp 192.168.1.1:2634 10.1.1.3:2634 10.254.0.254:2634 10.254.0.254:2634
icmp 192.168.1.1:2635 10.1.1.3:2635 10.254.0.254:2635 10.254.0.254:2635
icmp 192.168.1.1:2636 10.1.1.3:2636 10.254.0.254:2636 10.254.0.254:2636
icmp 10.1.0.67:8112 10.1.1.3:8112 10.1.0.2:8112 10.1.0.2:8112
icmp 10.1.0.67:8113 10.1.1.3:8113 10.1.0.2:8113 10.1.0.2:8113
icmp 10.1.0.67:8114 10.1.1.3:8114 10.1.0.2:8114 10.1.0.2:8114
icmp 10.1.0.67:8115 10.1.1.3:8115 10.1.0.2:8115 10.1.0.2:8115
icmp 10.1.0.67:8116 10.1.1.3:8116 10.1.0.2:8116 10.1.0.2:8116
【任务五】:下载配置文件
第一步:现在你的NAT应该是配置适当的。你需要给内部路由器下载一个配置文件。在这个内部路由器(PxR3和PxR4),使用TFTP从TFTP服务器下载这个安装文件名为PxRy.txt,到当前运行配置中。下面是一个配置文件示例(路由器P3R4):
Hostname P3R4
No ip domain-lookup
No ip classless
Enable password cisco
Line console 0
Logging synchronous
Exec-timeout 30 0
Line vty 0 4
No login
Int e 0
Ip address 10.3.2.4 255.255.255.0
No shut
Int s0
Ip add 10.3.3.4 255.255.255.0
No shut
Exit
end
【实验验证】:
成功完成整个实验,你需要完成下列任务:
你的内部路由器使用NAT地址段192.168.x.0/24能够PING通TFTP服务器。 你的内部路由器使用NAT地址段10.x.0.0/24能够PING通相应的边界路由器。 你有演示这个基于ACL的NAT的限制,并且能使用基于ROUTE-MAP的NAT克服这个限制 你能通过NAT连接到TFTP服务器,并下载相应的配置文件
页:
[1]