【任务三】:NAT到其他的边界路由器; i- l* [/ k! w- ~& _2 N9 U
在这个任务中,你需要NAT从奇数路由器(PxR1和PxR3)和偶数路由器(PxR2和PxR4)的数据包,同样,你也需要转换从偶数路由器到奇数路由器的数据包。因为你现在没有运行路由协议,你需要在路由器PxR1和PxR2之间进行适当的NAT。
`$ [* Y$ z$ d, m3 N8 ^. `0 `+ I2 b2 ~8 \
实验过程:$ n3 I; h+ T* U; R/ I7 Q
# ?$ u7 p0 U. R7 T
第一步:在路由器PxR1和PxR2上,同样的源地址被定义在扩展访问控制列表101中。ACL 101 应该匹配通信从E0口进入,目的地址为任何的通信。例如:PxR1应该匹配通信源地址为10.x.1.0/24的数据包和PxR2应该匹配通信源地址为10.x.2.0/24的数据包。这个ACL另外需要匹配目的地址为任何网络。0 v/ G, O, ?* b
6 Y4 @5 I' x) ]6 ^第二步:在路由器PxR1和PxR2上,为NAT创建一个名为POD的地址池。PxR1应该使用地址范围10.x.0.65-95和PxR2应该使用地址范围10.x.0.96-127。9 k) e1 a& b$ q' Q
' ~% W* V' Q4 d第三步:在路由器PxR1和PxR2上,指定数据包匹配ACL101的应该被使用地址池POD。. F! X7 I; G4 a* u
, k, }; l$ S/ W+ o2 Z) x第四步:在路由器PxR1和PxR2上,使用ip nat out命令在s1接口上,保证所有的内部通信被翻译的。
& F" |! e; z; `4 G
/ a% _$ W0 P% n& k3 I+ k, h第五步:从一个内部路由器,PING没有直接连接的边界路由器的S1接口地址(如PxR3 ping PxR2 S1的接口地址)。下图显示了一个不成功的PING,为什么呢?, k. P( l/ S$ E5 E
P2R3#ping 10.2.0.2 Type escape sequence to abort.; {3 n( l- ?/ q/ G/ f- X
Sending 5, 100-byte ICMP Echos to 10.2.0.2, timeout is 2 seconds:
0 _5 g0 G' R# W2 x* i9 v.....5 N p# t5 `* I* e) H! E
Success rate is 0 percent (0/5)
, Q8 ^( ^5 B0 f2 d2 B- @6 m5 O
# K6 c8 y4 h: X4 d- n: w/ ?+ x第六步:查看边界路由器的NAT表。它有已经这个源地址进行了地址转换但并没有识别到这是一个不同的会话。它将不为这个新的目的地址通信进行地址转换。不同的对话的识别是必须的。此时,你的NAT表应该如下表类似:) E/ Z( C; t# n: ?
P3R2#sh ip nat trans7 d0 l- [8 V6 w% ~& j6 D
Pro Inside Global Inside Local Outside Local Outside Glocal) m8 _! a0 Z8 e$ w" c
--- 192.168.2.1 10.2.1.3 --- ---" a8 y K0 A. G- r/ N1 y6 e' V( y
第七步:从这个没有直接连接的边界路由器(P2R2)上,在PING的同时使用debug ip icmp和debug ip packet 命令。新的输出被描述在下面,这个debug信息指出了为什么PxR3的PING是不成功的。. Q# n! ?7 ^: n3 C' e/ [% m' \
P2R2#debug ip icmp# u6 K' h3 ^0 y& T2 t4 {5 N
ICMP packet debugging is on
! z! D- T4 Z/ f5 c- IP2R2#
) F: Z* w( S" D& ]6 x4 Y% }8 _2w1d: ICMP: echo reply sent, src 10.2.0.2, dst 192.168.2.10 R* k7 r5 N( p/ X. B
2w1d: IP: s=10.2.0.2 (local) , d=192.168.2.1, len 100, unroutable
/ f& O7 ]7 J1 I" @8 L
* L( [) s; ~" c! j& E5 U/ B$ q4 O第八步:查看对端边界路由器(P2R2)上的路由器表,请尝试查找在ICMP ECHO回复消息中目的地址(192.168.2.0)的相关路由。你的路由表输入应该与下图相似:
' e; P# z1 c, v提示:前一个布骤中的目标地址为192.168.x.1& Z! y/ a6 p3 Q+ r/ Z) h7 U
P2R2#sh ip route
- }8 y3 T8 B1 N4 t" A" A% J7 {Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP9 n3 c' ]4 }$ c4 e4 ^9 T; v
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
1 G: h8 D) |6 r! b0 F- LN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
3 K& C) n5 @, a5 \9 [" N' sE1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
& I& _8 g% k0 j" I& wi - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
7 M( Q7 |( `( i1 w$ ?ia - IS-IS inter area, * - candidate default, U - per-user static route
) P( k1 ~- v6 t. {o - ODR, P - periodic downloaded static route/ }6 Q/ Z8 j+ P9 I
Gateway of last resort is not set
) p- ^1 J! _* G% C172.31.0.0/24 is subnetted, 1 subnets" `" k7 X& ?: Y: p3 [8 r4 _" p3 s2 K5 k
C 172.31.2.0 is directly connected, Serial04 r3 @# E I" ^5 e/ Z' T* f
10.0.0.0/8 is variably subntted, 3 subnets, 2 masks
3 h; ]' @' W9 H# mC 10.2.0.0 is directly connected, Serial01 C* I+ }. @) Z2 a
C 10.2.1.0 is directly connected, Serial0
6 s3 V. d0 p4 `S 10.0.0.0/8 [1/0] via 172.31.2.3 X. O: H8 N9 w
P2R2#s! i0 }7 w, f; r
; b; l; K: r, M2 b, m6 P
第九步:在上面的路由表中,并没有返回路由。路由器不能找到适当的回包地址它将做什么呢? |
发表于 2012-8-3 20:20:19
