设为首页收藏本站
开启辅助访问 切换到窄版

a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

我考网»我考网社区 计算机考试 思科认证 CCNP实验4:在NAT中使用AccessList和RouteMaps
返回列表 发新帖
查看: 122|回复: 1

[CCNP] CCNP实验4:在NAT中使用AccessList和RouteMaps

[复制链接]
会计考友
发表于 2012-8-3 20:20:19 | 显示全部楼层 |阅读模式
【任务四】:转换内部地址在NAT中使用ROUTE-MAP
4 k# R! {6 h* Z& @( j在这个任务中,你将配置NAT使用ROUTE-MAP进行数据包匹配。大家在看见看到,当价钱使用NAT时不使用overloading地址,这个地址转换表仅仅包含本地和全局地址。当你配置NAT使用ROUTE-MAP时,这个地址转换条目将包含内部和外部(本地和全局)地址条目和TCP、UDP端口信息。这种地址转换条目使路由器可以识别不同的会话。0 R9 O' ^7 ~+ \  W: P/ m
  T" U' Y+ S6 @3 Q* M7 X! O
实验过程:+ Z3 m8 [6 N! |1 `# [6 l

+ G; U4 N& M  N! m) `第一步:数据包应该进行基于目的地址的转换。到TFTP服务器和到网络核心的数据包应该还是被转换到192.168.x.0/24或192.168.xx.0/24,但是到其他边界路由器的数据包应该被转换到10.x.0.0子网中。这个地址将使用在本地到其他边界路由器的S1接口和其他出现在路由表中的路由(直连的路由是自动的进入路由表)。为了防止先前的拒绝,PxR1将使用地址范围10.x.0.64-95/24和PxR2将使用地址范围10.x.0.97-127/24.使用ROUTE-MAP作为基于目的地址的地址转换条件器。你的ROUTE-MAP配置应该与下列类似:
; x  l6 }# ?8 |* @  e, yRoute-map TO_BBR permit 10
1 Z  K6 L" i  f+ P1 ]Match ip address 100. u9 M6 s& G3 r6 a! p5 A
!2 d( s, |' _# }' k0 U6 M
Route-map TO_POD permit 10. [  [8 y( \+ Z! j- }
Match ip address 101& Y0 G9 u- j8 ]8 E8 w

  p. ?' l! Y2 {) F$ G3 D3 j第二步:删除以前的NAT命令,加入新的NAT命令使用ROUTE-MAP进行地址转换。你的配置与下列类似:
2 L! d- ~: g  G& b5 fP2R1(conf)#no ip nat inside source list 100 pool BBR. C* H' d6 Y+ ^$ {% }
P2R1(conf)#no ip nat inside source list 101 pool POD& O! t& M# T6 x( |
P2R1(conf)#ip nat inside source route-map TO_BBR pool BBR
- g% K/ W( Q5 `  q8 fP2R1(conf)#ip nat inside source route-map TO_POD pool POD 提示: 如果路由器指出”%Dynamic mapping in use, cannot remove”,请返回特权模式,然后输入clear ip nat trans * 删除所有动态映射。第三步:从内部路由器PING边界路由器和TFTP服务器,验正先前的步骤是成功的。打开debug ip nat命令在边界路由器上,查看地址翻译细节。你的路由器显示应该与下面类似:! ~7 n2 h% ^( h6 W4 y( ^
Rack01R1#ping 10.254.0.254 7 G, e8 y9 {" [- T, d1 L
Type escape sequence to abort.
: v6 S, g$ {0 o% bSending 5, 100-byte ICMP Echos to 10.254.0.254, timeout is 2 seconds:/ H2 w7 W: b. l  w! L/ u' y
!!!!!
# g% T. S8 [  Z" PSuccess rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms
5 z* x* j' H0 t% \+ v在边界路由器上,使用Debug ip nat detail命令:: o, W2 p- v6 @3 _) _
*Mar 1 03:04:00.443: NAT*: s=10.254.0.254, d=192.168.1.1->10.1.1.3 [55449]
5 |- O0 v. J  H. Z9 ]*Mar 1 03:04:00.451: NAT: map match TO_BBR
" J4 V5 L. J; M0 T$ f" b*Mar 1 03:04:00.455: NAT: map match TO_BBR
" Q- v1 [- P1 O! y; [+ g3 x# `3 }*Mar 1 03:04:00.459: NAT: i: icmp (10.1.1.3, 6711) -> (10.254.0.254, 6711) [61]! |; S' D8 g% t9 E
*Mar 1 03:04:00.463: NAT: s=10.1.1.3->192.168.1.1, d=10.254.0.254 [61]
8 ?4 M) W/ d# }' D. c0 L*Mar 1 03:04:00.523: NAT*: o: icmp (10.254.0.254, 6711) -> (192.168.1.1, 6711)
/ d. h9 a' y, [5 i( k8 D( U. s) U8 F4 O) b
在内部路由器上,PING其他的边界路由器:/ r, W, `2 K/ M; }+ t
P1R3#ping 10.1.0.2. f- w1 o6 k7 g$ f
Type escape sequence to abort.6 \3 V2 z, r5 z' R$ B: {
Sending 5, 100-byte ICMP Echos to 10.254.0.254, timeout is 2 seconds:
0 q3 @5 z8 y, i0 o!!!!!
$ l" L: }7 v- U' n5 k% t! ?( pSuccess rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms
回复

使用道具 举报

会计考友
 楼主| 发表于 2012-8-3 20:20:20 | 显示全部楼层

CCNP实验4:在NAT中使用AccessList和RouteMaps

同样,在边界路由器上,使用debug ip nat details:
2 n, V  d, o4 I5 f$ Y8 e*Mar 1 03:06:33.587: NAT: s=10.1.1.3->10.1.0.67, d=10.1.0.2 [66]7 J3 H+ j8 b# f  ?9 v
*Mar 1 03:06:33.623: NAT*: o: icmp (10.1.0.2, 1268) -> (10.1.0.67, 1268) [66]( p8 H/ @7 x+ O  O7 N
*Mar 1 03:06:33.627: NAT*: s=10.1.0.2, d=10.1.0.67->10.1.1.3 [66]
: {" \1 e  }3 h" \*Mar 1 03:06:33.639: NAT: map match TO_POD6 O$ G; d8 K) {5 Q% j7 Z) F
*Mar 1 03:06:33.643: NAT: map match TO_POD6 k  x7 l. P. i5 W
*Mar 1 03:06:33.643: NAT: i: icmp (10.1.1.3, 1269) -> (10.1.0.2, 1269) [67]" x! n. y' M) ~5 ~  F' W$ M

) G" t2 |6 m7 V2 \0 C% M1 T/ L5 U第四步:使用show ip nat translations命令在每个边界路由器,你的显示结果应该与下面类似:
% c& f3 `4 z( l$ ?. i" G笔记: 注意这张表是被完整的粘贴的,一些转换条件使这个表比DEUBGGING还拥有更多的信息。
$ N6 B1 Y9 z" n0 NP1R1#sh ip nat translations
! [  w' v& |, ZPro Inside global Inside local Outside local Outside global* R  E' b7 G. ^% d
icmp 192.168.1.1:2632 10.1.1.3:2632 10.254.0.254:2632 10.254.0.254:2632' O$ w7 c/ S. ~' t' K6 [9 `5 l/ C
icmp 192.168.1.1:2633 10.1.1.3:2633 10.254.0.254:2633 10.254.0.254:2633
4 F, @) ?6 w  l% Q# Bicmp 192.168.1.1:2634 10.1.1.3:2634 10.254.0.254:2634 10.254.0.254:26341 h) B0 U$ d* `( B4 `
icmp 192.168.1.1:2635 10.1.1.3:2635 10.254.0.254:2635 10.254.0.254:2635
, X/ I& b% O$ j5 h1 ^icmp 192.168.1.1:2636 10.1.1.3:2636 10.254.0.254:2636 10.254.0.254:2636% c- e  @8 c; f! n3 Y  Q2 n2 _9 Z
icmp 10.1.0.67:8112 10.1.1.3:8112 10.1.0.2:8112 10.1.0.2:8112
% `; n! P: q- S5 j+ o$ {icmp 10.1.0.67:8113 10.1.1.3:8113 10.1.0.2:8113 10.1.0.2:81131 I& x4 n% D: `& l/ N
icmp 10.1.0.67:8114 10.1.1.3:8114 10.1.0.2:8114 10.1.0.2:8114' o3 _$ p/ ]# y" Q* P
icmp 10.1.0.67:8115 10.1.1.3:8115 10.1.0.2:8115 10.1.0.2:8115
5 O8 F8 @, E' a1 O$ x" y3 H; Sicmp 10.1.0.67:8116 10.1.1.3:8116 10.1.0.2:8116 10.1.0.2:8116
" R' _& ]8 S  I9 K【任务五】:下载配置文件9 f$ H+ O, t  x$ M) ?1 r% g' P. {
第一步:现在你的NAT应该是配置适当的。你需要给内部路由器下载一个配置文件。在这个内部路由器(PxR3和PxR4),使用TFTP从TFTP服务器下载这个安装文件名为PxRy.txt,到当前运行配置中。下面是一个配置文件示例(路由器P3R4):
0 @+ B" ^6 f& zHostname P3R4
; F4 O; G0 i. g# ^) {$ _* J) sNo ip domain-lookup
/ p- W+ J4 V* @' WNo ip classless
% q+ U' ]. i+ [Enable password cisco$ Q" W+ a  x, i( n; Z! M4 u
Line console 0
; `/ N! K) b7 M& ~( ]0 BLogging synchronous2 u! g0 |$ L9 p0 C
Exec-timeout 30 08 \) z6 w3 E9 p# A2 J
Line vty 0 4
" O$ ^! `8 [5 D4 y5 f1 zNo login
* Z! ]  b+ P/ X9 C  |Int e 0
! |' S- O( C" L  b$ V, j: zIp address 10.3.2.4 255.255.255.0
' j/ ^/ E1 {; f/ cNo shut
4 C; V0 O2 t' X6 t: q1 RInt s0% L8 M# G) S  n5 g
Ip add 10.3.3.4 255.255.255.0' W- c3 |7 |& x& l+ l; ~
No shut
2 \( [3 ?9 \9 S, ]9 [Exit& {- y  Q5 q( p" G8 ~9 e, j
end+ M% j7 [: |  Z0 O; k
【实验验证】:8 l/ |" Y4 J1 W# M. w+ ^
成功完成整个实验,你需要完成下列任务: & M. q$ _+ H! o! _3 i+ \, S
你的内部路由器使用NAT地址段192.168.x.0/24能够PING通TFTP服务器。 你的内部路由器使用NAT地址段10.x.0.0/24能够PING通相应的边界路由器。 你有演示这个基于ACL的NAT的限制,并且能使用基于ROUTE-MAP的NAT克服这个限制 你能通过NAT连接到TFTP服务器,并下载相应的配置文件
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-5 12:22 , Processed in 0.321639 second(s), 23 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表