6-VPN：NAT對(duì)IPSEC的影響-創(chuàng)新互聯(lián)

一、實(shí)驗(yàn)拓?fù)洌?br/>用實(shí)驗(yàn)5的拓?fù)?br/>
二、實(shí)驗(yàn)要求：
三、命令部署：
1、ACL抓取1.1.1.1到any的流量：
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#permit ip 1.1.1.0 255.255.255.0 any
2、部署PAT技術(shù)：
R1(config)#ip nat inside source list pat interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int lo0
R1(config-if)#ip nat inside
測(cè)試：
R1#ping 3.3.3.3 source 1.1.1.1 //正常應(yīng)該不通的
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
R1#show ip nat tran
R1#show ip nat translations //空的
查看ACL、NAT配置：
R1#show access-lists
Extended IP access list pat
10 permit ip 0.0.0.0 255.255.255.0 any
R1#show run | s nat
ip nat inside
ip nat outside
ip nat inside source list pat interface FastEthernet0/0 overload
3、修改ACL，之前寫錯(cuò)了：
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 any //路由器用反掩碼
測(cè)試：
R1#ping 3.3.3.3 source loopback 0 //達(dá)到了實(shí)驗(yàn)效果
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
UUUUU
Success rate is 0 percent (0/5)
查看轉(zhuǎn)換：
R1#show ip nat translations //查看路由器的轉(zhuǎn)換列表

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的閩侯網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

抓包看流量：
R1#ping 3.3.3.3 source loopback 0

可以看到：都是黑色的標(biāo)識(shí)，正常出包應(yīng)該是1.1.1.1——>3.3.3.3，但是因?yàn)樽隽薔AT轉(zhuǎn)換所以是12.1.1.1——>3.3.3.3；回包應(yīng)該是3.3.3.3——>1.1.1.1，實(shí)際做了NAT轉(zhuǎn)換是：3.3.3.3——>12.1.1.1。
解決方法一：
在ACL中往前插入一個(gè)序號(hào)為5的deny ACL，這樣它會(huì)先匹配序號(hào)為5的ACL：
R1#show access-lists
Extended IP access list pat
10 permit ip 1.1.1.0 0.0.0.255 any
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#5 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
測(cè)試1：
R1#ping 3.3.3.3 source 1.1.1.1 //匹配了ACL 5，不做NAT轉(zhuǎn)換，所以就是ESP的流量了。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/30/40 ms
抓包：

測(cè)試2：
R1#ping 23.1.1.3 source 1.1.1.1 //這個(gè)也可以通，但是地址是有NAT轉(zhuǎn)換的，實(shí)際是12.1.1.1——>3.3.3.3；因?yàn)榱髁砍鋈r(shí)候不匹配ACL 5，匹配ACL 10，所以會(huì)轉(zhuǎn)換。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 96/102/116 ms
抓包：

解決方法二：
不要讓流量從inside進(jìn)去，不要從outside出來；或者不要讓流量從inside進(jìn)去，可以從outside出來：比如在其它進(jìn)口寫inside，不要在1.1.1.1的環(huán)回口下寫。
要實(shí)現(xiàn) nat 就要滿足 3 個(gè)條件：
感興趣流（滿足），inside 接口進(jìn)（不滿足），outside 接口出。
這時(shí)必須還要在加一臺(tái)路由器，所以我加了 R4，因?yàn)槲抑白龅氖怯铆h(huán) 回口 1.1.1.1,自身發(fā)起的流量，這個(gè)自身的流量 route-map 是控制不了的。一 定要讓這個(gè)流量從某一個(gè)物理接口進(jìn)入，我這個(gè)策略才好使。
這塊如何用route-map呢？？？

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站欄目：6-VPN：NAT對(duì)IPSEC的影響-創(chuàng)新互聯(lián)
當(dāng)前路徑：http://muchs.cn/article10/cspcdo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、建站公司、網(wǎng)站策劃、Google、搜索引擎優(yōu)化、企業(yè)網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)