NAT Server
原来的NAT转换只能是私网
先配置PC机:
PC1:
192.168.1.3
192.168.1.1
PC2:
1.1.1.2
1.1.1.1
接着配置路由器:
AR1:
//配上网关的ip
int g0/0/0
ip add 192.168.1.1 24
int g0/0/1
ip add 2.2.2.1 24
AR2:
int g0/0/0
ip add 2.2.2.2 24
int g0/0/1
ip add 1.1.1.1 24
AR3:服务器,但是用路由器代替
sys
sys Server
int g0/0/0
ip add 192.168.1.2 24
quit
dis ip routing-table //先看路由器上有什么路由
//应该都是直连路由,因为目前我们还没有配置任何协议(如下图所示)
//下面配置一条默认路由
//如果不配置这条默认路由,AR1不能ping到外网,因为他没有外面的路由表,加上这条命令就是相当于给他加了路由表,任何包有问题都直接发到192.168.1.1这个网关上,理论上来说交换机是没有网关但有路由表的,PC是有网关但没路由表的,就很迷
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
dis ip routing-table
//会看到最上面有一条静态的默认路由
AR1:配置RIP动态路由协议
sys
rip 1
version 2 //版本2
network 2.0.0.0
AR2:
sys
rip 1
ver 2
network 2.0.0.0
network 1.0.0.0
//左右两个直连的网段都声明了
quit
现在在AR1的和私网的接口上配置一个NAT转换
AR1:
sys
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 //原目标地址是192.168.1.0网段的所有包都允许通过
int g0/0/1
nat outbound 2000
//现在nat转换的easy部分已经完毕,现在是私网部分出去都可以了
nat server protocol icmp global 2.2.2.3 inside 192.168.1.2//现在让192.168.1.2这个私网ip地址作为2.2.2.3
dis this //看一下
框起来的就是我们配置的那个地址转换,所有的要发进私网的包都在AR1的0/0/1接口上从2.2.2.3替换成了192.168.1.2,所有要发出去的包(从AR3到外网),都在AR1的0/0/1上,原来的192的地址都替换成2.2.2.3
抓个在AR1上0/0/1上的包:(PC2 ping AR3 要在PC2上ping 2.2.2.3(AR3被替换的公网地址))
抓个在AR1上0/0/0上的包:(PC2 ping AR3 要在PC2上ping 2.2.2.3(AR3被替换的公网地址))
我们可以看到,在0/0/0接口上AR3的地址就是他本来的私网地址了
抓个在AR2上0/0/0上的包:(PC2 ping AR3 要在PC2上ping 2.2.2.3(AR3被替换的公网地址))
我们可以看到,在AR2的接口上,AR3的地址就是被替换的公网地址2.2.2.3
实验最终是要求PC2 ping 私网能通(AR3),PC1不能通,因为他也是个私网地址,我们并没有给他配置映射关系,想要同可以加一条映射关系就行
nat server protocol icmp global 2.2.2.4 inside 192.168.1.3 //就加上这条,PC1就能通了
注意,外网ping内网是要ping它的映射关系,而不是本来的192.168