欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

單物理接口NAT的總結(jié)

 更新時間:2007年09月19日 10:22:37   作者:  
要想正確地理解單物理接口NAT,需要正確地理解NAT條件和處理順序。以下配置引用了壇子里的內(nèi)容,對被引用內(nèi)容的原作者表示感謝。

一:從inside到outside的NAT

1.有inside和outside接口
2.inside接口接收到NAT“感興趣的包”(由ACL定義)
3.檢查是否有經(jīng)過outside接口到外網(wǎng)的路由(先策略路由后常規(guī)路由)。
4.執(zhí)行NAT,源地址被NAT轉(zhuǎn)換。
5.被轉(zhuǎn)換的包經(jīng)outside接口轉(zhuǎn)發(fā)出去。

二:從outside到inside的NAT

1.NAT表中是否有相應(yīng)的NAT紀錄
2.執(zhí)行NAT,目的地址被轉(zhuǎn)換
3.執(zhí)行路由(先策略路由后常規(guī)路由)
4.被轉(zhuǎn)換的包經(jīng)inside接口轉(zhuǎn)發(fā)出去。

三:配置實例1分析:

特點是: loopback0做outside接口

interface Loopback0
  ip address 172.16.2.254 255.255.255.252
  ip nat outside
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.248 sec
 ip address 172.16.1.254 255.255.255.0
 ip nat inside
 ip policy route-map nat
!
ip nat pool pool1 192.168.0.2 192.168.0.3 prefix-length 29
ip nat inside source list 10 pool pool1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.6
ip route 172.16.1.0 255.255.255.0 Ethernet0
access-list 10 permit 172.16.1.0 0.0.0.255
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
access-list 101 permit ip any 192.168.0.0 0.0.0.7
!
route-map nat permit 10
  match ip address 101
  set interface loopback0

(一):源地址=172.16.1.0/24的包到達E0接口時:

1.E0接口是inside接口
2.包是NAT感興趣的包(ACL 10定義)
3.檢查路由,先執(zhí)行策略路由nat,有set interface loopback0,即有經(jīng)outside接口loopback0到達外網(wǎng)的路由,因此滿足NAT執(zhí)行的條件
4.執(zhí)行NAT,源=172.16.1.0/24被轉(zhuǎn)換為=192.168.0.2~3(地址池pool1定義)。
5.從outside接口loopback0轉(zhuǎn)發(fā)出去。
6.loopback0是邏輯環(huán)路接口,因此應(yīng)用ip route 0.0.0.0 0.0.0.0 192.168.0.6,192.168.0.6是ISP端地址。
7.被轉(zhuǎn)換的包就經(jīng)E0接口轉(zhuǎn)發(fā)到ISP路由器。


(二):返回包(目的地址=192.168.0.2~3)到達E0接口時

1.返回包不是NAT感興趣的包,因此按常規(guī)包處理
2.執(zhí)行策略路由nat,set interface loopback0,即路由到outside接口。
3.NAT有相應(yīng)的NAT紀錄,
4.執(zhí)行NAT,目的地址192.168.0.2~3被轉(zhuǎn)換為172.16.1.0/24
5.執(zhí)行路由,loopback0接口上無策略路由,因此執(zhí)行常規(guī)路由。
6.被轉(zhuǎn)換的包經(jīng)E0接口轉(zhuǎn)發(fā)出去。


四:配置2實例

特點是:loopback0做inside接口。

interface Loopback0
ip address 172.16.1.1 255.255.255.248
ip nat inside
ip policy route-map rm_nat
!
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.252
ip nat outside
ip policy route-map no_route
!
ip nat pool st_pool 61.233.13.193 61.233.13.198 netmask 255.255.255.248
ip nat inside source list 10 pool st_pool
ip classless
ip route 0.0.0.0 0.0.0.0 Loopback0
access-list 10 permit 172.16.0.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 permit ip 172.16.0.0 0.0.0.255 any
route-map no_route permit 10
match ip address 102
set interface Loopback0
!
route-map rm_nat permit 10
match ip address 101
set ip next-hop 192.168.0.2

該實例的主要區(qū)別是采用了2個策略路由,其目的都是實現(xiàn)使包到達inside接口或outside接口,且滿足NAT轉(zhuǎn)換的路由條件。

需要注意的是:NAT地址池的地址不必非要與ISP端路由器地址同一網(wǎng)段,可以是公網(wǎng)IP,也可以是私網(wǎng)地址。只要ISP能區(qū)分就行。且ISP必須有到達NAT地址池的路由(靜態(tài)或動態(tài)都行)。

對于NAT路由器來說,只需要有“ip route 0.0.0.0 0.0.0.0 ISP端IP地址”這條命令即可。 文章錄入:csh    責(zé)任編輯:csh 

相關(guān)文章

最新評論