做一个NAT  穿越×××的实验。

要求,从192.168.1.0 网段的去往172.16.1.0 网段的做×××,其它的地址做NAT转换,R1模拟成公网。

 

第一步,先做基本的配置吧。让整个网络互通。

全部都做默认路由和静态路由就行了。

 
  
  1. R0 : 
  2. interface Loopback0 
  3.  ip address 192.168.1.1 255.255.255.0 
  4. !          
  5. interface Serial1/0 
  6.  ip address 12.1.1.1 255.255.255.0 
  7.  serial restart-delay 0 
  8.  
  9. ip route 0.0.0.0 0.0.0.0 Serial1/0 
 
  
 
 
  
 
  
  1. R1: 
  2.  
  3. interface Serial1/0 
  4.  ip address 12.1.1.2 255.255.255.0 
  5.  serial restart-delay 0 
  6.  
  7. interface Serial1/0 
  8.  ip address 12.1.1.2 255.255.255.0 
  9.  serial restart-delay 0 
  10.  
  11. ip route 172.16.1.0 255.255.255.0 Serial1/1 
  12. ip route 192.168.1.0 255.255.255.0 Serial1/0 
 
  
 
 
  
 
 
  
 
  
  1. r2: 
  2.  
  3. interface Loopback0 
  4.  ip address 172.16.1.1 255.255.255.0 
  5.  
  6.  
  7. interface Serial1/0 
  8.  ip address 23.1.1.3 255.255.255.0 
  9.  serial restart-delay 0 
  10. !          
  11.  
  12. ip route 0.0.0.0 0.0.0.0 Serial1/0 
 
  
 
 
  
 
  
  1. R1#ping 172.16.1.1 sou lo0 
  2.  
  3. Type escape sequence to abort. 
  4. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: 
  5. Packet sent with a source address of 192.168.1.1  
  6. !!!!! 
  7. Success rate is 100 percent (5/5), round-trip min/avg/max = 12/14/20 ms 
 
  
 
 
  
第二步,建立×××链路:
 
  
 
 
  
 
  
  1. R0: 
  2. !          
  3. crypto isakmp policy 100 
  4.  authentication pre-share 
  5. crypto isakmp key 6 yeelone address 23.1.1.3 
 
  
 
 
  
 
  
  1. R2: 
  2.  
  3. crypto isakmp policy 100 
  4.  authentication pre-share 
  5. crypto isakmp key 6 yeelone address 12.1.1.1 
 
  
 
 
  
第三步,使用ipsec加密:
 
  
 
 
  
 
  
  1. R0: 
  2.  
  3. crypto ipsec transform-set cisco esp-des  
  4. !          
  5. crypto map ciscomap 100 ipsec-isakmp  
  6.  set peer 23.1.1.3 
  7.  set transform-set cisco  
  8.  match address 100 
  9.  
  10. access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 
  11.  
  12. interface Serial1/0 
  13.  ip address 12.1.1.1 255.255.255.0 
  14.  serial restart-delay 0 
  15.  crypto map ciscomap 
 
  
 
 
  
 
 
  
 
  
  1. R2: 
  2.  
  3. crypto ipsec transform-set cisco esp-des  
  4. !          
  5. crypto map ciscomap 100 ipsec-isakmp  
  6.  set peer 12.1.1.1 
  7.  set transform-set cisco  
  8.  match address 100 
  9.  
  10. access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255 
  11. interface Serial1/0 
  12.  ip address 23.1.1.3 255.255.255.0 
  13.  serial restart-delay 0 
  14.  crypto map ciscomap 
 
  
 
 
  
第四步,切入重点了,做nat:
 
  
 
 
  
 
  
  1. R0: 
  2.  
  3. access-list 120 deny   ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 
  4. access-list 120 permit ip any any 
  5.  
  6.  
  7. ip nat pool cisconat 160.1.1.1 160.1.1.254 netmask 255.255.255.0 
  8. ip nat inside source list 120 pool cisconat 
  9.  
  10.  
  11. interface Loopback0 
  12.  ip address 192.168.1.1 255.255.255.0 
  13.  ip nat inside 
  14.  
  15.  
  16. interface Serial1/0 
  17.  ip address 12.1.1.1 255.255.255.0 
  18.  ip nat outside 
 
  
 
 
  
 
 
  
 
  
  1. R2: 
  2.  
  3. access-list 120 deny   ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255 
  4. access-list 120 permit ip any any 
  5.  
  6. ip nat pool cisconat 202.1.1.1 202.1.1.254 netmask 255.255.255.0 
  7. ip nat inside source list 120 pool cisconat 
  8.  
  9. interface Loopback0 
  10.  ip address 172.16.1.1 255.255.255.0 
  11.  ip nat inside 
  12.  ip virtual-reassembly 
  13.  
  14. !          
  15. interface Serial1/0 
  16.  ip address 23.1.1.3 255.255.255.0 
  17.  ip nat outside 
 
  
 
 
  
目前网络还没能互通。做最后一步:
 
  
 
 
  
 
  
  1. R2(config)#ip route 160.0.0.0 255.0.0.0 s1/1 
  2. R2(config)#ip route 202.0.0.0 255.0.0.0 s1/0  
 
  
 
 
  
这样就可以了。
 
  
本来是不太喜欢看到网上那些只晒配置的文章 的,不过现在自己也写了出来,感觉确实没什么好说的。只要做了实验,自己有什么不懂的,一般都会自己解决的。
 
  
唯一需要注意的是,我们用了两个ACL,一个用于将流量导向×××,做×××隧道传输。
 
  
一个用于捕获去往公网的流量,做NAT转换。