网络工程 - 路由器上的静态 Nat 源和目标 - 吾爱随笔录

路由器上的静态 Nat 源和目标

网络工程思科路由器转变虚拟专用网纳特

2021-07-27 16:00:59

过去 3 天我一直在工作，但无济于事。我已经注视并搜索了所有解决方案，但仍然没有成功。

我的任务是找到一种将地址映射到另一个地址的方法。但是，它要进入的网络没有默认网关。(Vlan1)（我无法在这些设备上配置默认网关。）

场景是该设备即将用于 VPN 站点到站点访问。当其他站点连接时，它将使用我们映射到它的 IP 地址 (10.1.1.21) 进行连接。目前它只有一台需要访问的服务器。但是，在未来它可能是两个或更多。

完成后如何 ping 到 10.1.1.21 的想法。

来源：-RangeOfIPs-（假设为 11.22.33.44）
目的地：10.1.1.21
=>路由器 NAT =>
来源：192.168.0.21 目的地：192.168.0.114（内部服务器）

返回时会发生以下情况：

来源：192.168.0.114（内部服务器）
目的地：192.168.0.21
=>路由器 NAT =>
来源：10.1.1.21
目的地：-RangeOfIPs-（11.22.33.44）

当前使用的路由器是Cisco 881，有一个 WAN 端口和 4 个交换机端口
。WAN 端口连接到其他网络，其中一个交换机端口连接到我们的本地网络交换机。

Loopback 0 的作用是创建一个网络，VPN 站点到站点的另一端将使用该网络。他们通过 VPN 连接到路由器的公共 IP (1.1.1.36)，然后，他们将通过 10.1.1.21 连接到服务器以访问该资源。这样，我们就不需要默认路由，同时也可以通过 VPN 控制他们可以访问的服务器。

我计划在完成并准备好之后制作 VPN，我将使用 ACL 来防止 VPN 访问 192 网络。至少，据我所知应该是可能的。

这是我必须开始的配置。

!
interface Loopback0
 ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet4
 ip address 1.1.1.36 255.255.255.240
 duplex auto
 speed auto
!
interface FastEthernet0
 switchport mode access
!
interface FastEthernet1
 switchport mode access
!
interface FastEthernet2
 switchport mode access
!
interface FastEthernet3
 switchport mode access
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 1.1.1.33 
!

示例网络拓扑：在此处输入图片说明键：
灰色：内部网络
橙色： VPN 站点到站点（稍后我会研究这个，我知道如何做这部分）
深蓝色：公共网络
1.1.1.X：代表真实的公共 IP 地址。

最右边的服务器：
外部 IP：1.1.1.21 / 网关：1.1.1.18
内部 IP：192.168.0.114 / 网关：无

1个回答

为了测试您的场景，我设置了以下实验室：

NAT拓扑

10.0.0.0/24 网络是您的 -RangeOfIPs-

当流量来自10.0.0.0/24它时，它将被 NAT 转换为192.168.0.21. 来自的流量192.168.0.114将被 NAT 转换为10.1.1.21.

配置：

R3(config)#int f0/0
R3(config-if)#ip nat outside
R3(config-if)#int f0/1
R3(config-if)#ip nat inside

上述命令将接口定义为outside和inside。

R3(config)#ip nat inside source static 192.168.0.114 10.1.1.21

此命令将的inside local地址转换192.168.0.114为的inside global地址10.1.1.21。

R3(config)#access-list 1 permit 10.0.0.0 0.0.0.255

此访问列表将定义outside将获得 NAT 的主机。

R3(config)#ip nat pool NAT_POOL 192.168.0.21 192.168.0.21 netmask 255.255.255.0

我们创建了一个由单个地址组成的 NAT 池。

R3(config)#ip nat outside source list 1 pool NAT_POOL add-route

然后我们进行配置，以便匹配的主机access-list 1将被 NAT 转换为192.168.0.21.

在此处配置 add-route 或添加静态路由很重要，因为在进行inside to outsideNAT 时，NAT 会按操作顺序在路由之前进行。这意味着 R3 必须具有 10.1.1.21 的路由。

R3 现在具有以下 NAT 表：

R3#show ip nat translations 
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                192.168.0.21       10.0.0.1
--- 10.1.1.21          192.168.0.114      ---                ---

请注意，R4 已配置 IP 并ip routing关闭以模拟主机。R1 上的 ICMP 调试已启用，R3 上的 ip nat 调试也已启用。

R1#debug ip icmp
ICMP packet debugging is on

R3#debug ip nat 
IP NAT debugging is on

然后从 R1 发出 ping：

R1#ping 10.1.1.21 so f0/1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.21, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 80/86/104 ms
R1#
ICMP: echo reply rcvd, src 10.1.1.21, dst 10.0.0.1
ICMP: echo reply rcvd, src 10.1.1.21, dst 10.0.0.1
ICMP: echo reply rcvd, src 10.1.1.21, dst 10.0.0.1
ICMP: echo reply rcvd, src 10.1.1.21, dst 10.0.0.1
ICMP: echo reply rcvd, src 10.1.1.21, dst 10.0.0.1

来自 R3 的调试和 NAT 表：

NAT*: s=10.0.0.1->192.168.0.21, d=10.1.1.21 [15]
NAT*: s=192.168.0.21, d=10.1.1.21->192.168.0.114 [15
NAT: s=192.168.0.114->10.1.1.21, d=192.168.0.21 [15]
NAT: s=10.1.1.21, d=192.168.0.21->10.0.0.1 [15]

R3#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                192.168.0.21       10.0.0.1
icmp 10.1.1.21:3       192.168.0.114:3    192.168.0.21:3     10.0.0.1:3
--- 10.1.1.21          192.168.0.114      ---                ---

我认为这是您正在寻找的那种配置。

但是，请注意有一个警告，因为没有overload (PAT)可供outside to inside翻译的内容。这意味着一旦您的主机之一与通信192.168.0.114，池中将没有空闲 IP。您可以做的是增加，pool size以便您保留 10 个仅用于NAT.

其它你可能感兴趣的问题

上一篇如何利用ISP提供的IP池中的多个IP地址下一篇用完想法来解决 Ping 问题 Cisco IOS 3560 交换机