Chinaunix

标题: 关于NAT的问题。 [打印本页]

作者: 骆驼刺 时间: 2005-03-07 12:23
标题: 关于NAT的问题。
关于NAT的问题。
一个关于NAT的问题
有一个拓扑结构内部采用catalyst 4506 三层交换机做核心分布层，使用catalyst2950 二层交换机做接入层接入用户，核心分布层和接入层之间采用千兆光纤链路汇接。访问外网采用一个cisco 2600路由器采用以太网接口线路接入internet，在Cisco接入路由器2600和catalyst 4506三层交换机之间安装一个cisco pix 525防火墙对内部服务器工作服务器及内网用户的数据保护，在这个设计中内部通过核心交换机划分了多个办公Vlan，外部通过2611路由器做NAT使用以太网线路接入互联网，通常情况下内部网是私有地址划分一个Vlan时可以使用NAT很轻松的做转换，但这个拓扑中是多个Vlan划分，这时候在2611上如何做NAT转换？是不是要在在2611接核心交换机的端口上地址做路由聚合？可是我总觉得不对，如果有其他正确的办法希望大家能给贴出来，方法越多越好，在这个设计中，防火墙不作NAT，只是将其做透明设备看待。
下面是我的配置练习：
下面是关于cisco 2600接入路由器与catalyst4506的配置：

#网段划分：
外部网段：
202.142.221.5/30

内部Vlan划分：
172.18.3.165/30 (2611与4506的接口地址)
172.18.0.0/23
172.18.3.0/25
172.18.3.128/27
172.18.2.4/24

#cisco 2611的配置

Enable
Configure terminal
Service password-encryption
Hostname cisco2600
ip subnet-zero
ip nat inside soure static 172.18.1.253 202.142.221.6
interface fastethernet 0/0
ip address 202.142.221.5 255.255.255.252 （ISP提供的IP地址段）
ip nat outside (配置e/0口为外部接口)
speed auto
no shutdown

interface fastethernet 0/1
ip address 172.18.3. 166 255.255.255.252 （cisco 2600和catalyst 4506私有接口地址）
ip address 172.0.0.0 255.0.0.0 secondary （对内部多个Vlan做了路由聚合）
ip nat inside (配置e/1为内部接口)
speed auto
no shutdown

interface serial 0/0
no ip address
shutdown

exit
ip classless
ip route 0.0.0.0 0.0.0.0 202.142.221.6
ip defaule network 172.0.0.0
no ip http server
line con 0
line aux 0
line vty 0 4
login
end

由于是讨论在NAT接口转换的问题，catalyst 4506交换机和接入交换机之间的设置就不贴上了，在catalyst4506上要配置和2600连接的以太网端口地址和配置全局路由。
enable
config terminal
interface fastethernet 2/1
ip addr 172.18.3.165 255.255.255.252 (cisco 2600和catalyst 4506私有接口地址地址)
speed auto
no shutdown
ip router 0.0.0.0 0.0.0.0 172.18.3.165

防火墙的设置，对于端口及其过滤包流量的配置就不写了，只写下关于外部、内部地址的指向。
ip address outside202.142.221.5 255.255.255.252
ip address inside 172.0.0.0 255.0.0.0 （内部地址指向，写的是路由聚合地址）
ip address dmz 172.18.3.126 255.255.255.128

各位大侠，也许我的思路本来就是错的，如有正确的配置，希望能贴上来，作为学习，谢谢。

作者: cnadl 时间: 2005-03-07 13:54
标题: 关于NAT的问题。
写一个acl，把内网地址都包括了，对那个acl做nat

作者: 骆驼刺 时间: 2005-03-09 10:19
标题: 关于NAT的问题。
具体如何配置，能否详细告诉我啊，谢谢。

作者: cnadl 时间: 2005-03-09 12:03
标题: 关于NAT的问题。
就是accesslist aa permit ip 172.18.0.0 0.0.255.255
然后ip nat inside source list aa 。。。
是用pool还是用interface就看你有多少地址了。

作者: SUNfan 时间: 2005-03-09 14:36
标题: 关于NAT的问题。
这个问题，值得关注

作者: 骆驼刺 时间: 2005-03-09 19:35
标题: 关于NAT的问题。

原帖由 "cnadl" 发表：
就是accesslist aa permit ip 172.18.0.0 0.0.255.255
然后ip nat inside source list aa 。。。
是用pool还是用interface就看你有多少地址了。

我研究一下再贴上来看对不对

作者: tjwsj 时间: 2005-03-10 02:55
标题: 关于NAT的问题。
做ACL这个思路比较麻烦哦~~~
楼主两个地方的配置有问题。
ip nat inside soure static 172.18.1.253 202.142.221.6
这句话的解释：来自于172.18.1.253的地址转化为202.142.221.6，而楼主的目的是vlan全部可以上公网，所以要改成：
ip nat inside soure static 172.18.0.0 202.142.221.6
在NAT的表象中会有映射，如果只映射172.18.1.253的话，那么对于其他的地址来说，根本就不会有NAT流量出去，比如172.18.3.1的数据报经过了172.18.1.253并不会把自己的源地址更改为172.18.1.253，所以你用debug ip nat tran可以看到，除了直链和Router本身的IP，并没有流量使用了NAT。
这个多私有IP对单公有IP的技术应该叫做PAT，属于NAT的一个变种。它使用内网地址和端口映射。

作者: tjwsj 时间: 2005-03-10 03:04
标题: 关于NAT的问题。
ip route 0.0.0.0 0.0.0.0 202.142.221.6
这句话的问题是上个问题的连带问题，静态路由应该指向下一跳的地址，也就是你网关的地址。
202.142.221.5
202.142.221.6
这两个地址，假设.5是路由器接口地址，而.6是网关地址，那么，这两条语句应该是这样的：
ip nat inside soure static 172.18.1.253 interface FastetherNet 0/0
ip route 0.0.0.0 0.0.0.0 202.142.221.6

作者: tjwsj 时间: 2005-03-10 04:34
标题: 关于NAT的问题。
ip address 172.0.0.0 255.0.0.0 secondary
这句话并不是说是路由聚合，这句话的意思是辅助IP地址，做单端口桥接用的，所以把这句话No掉。
之后还是要在4506，Pix和Router上做路由。基于Pix职能够使用Rip的原因，三台设备上的路由协议可以配置成：Rip v2（因为v2是无类路由，带子网掩码宣告）。

作者: tjwsj 时间: 2005-03-10 04:36
标题: 关于NAT的问题。
你防火墙和26上的ip有些乱了，整理一下吧。

作者: 骆驼刺 时间: 2005-03-10 12:53
标题: 关于NAT的问题。

原帖由 "tjwsj" 发表：
做ACL这个思路比较麻烦哦~~~
楼主两个地方的配置有问题。
ip nat inside soure static 172.18.1.253 202.142.221.6
这句话的解释：来自于172.18.1.253的地址转化为202.142.221.6，而楼主的目的是vlan全部可以上?.........

谢谢tjwsj的转头，那如果不做ACL，采用何种方式如何配置？请详细告诉我吧。

作者: 寂寞走荒野 时间: 2005-03-10 16:23
标题: 关于NAT的问题。
在45上做一条静态路由
IP ROUTE 0.0.0.0 0.0.0.0 防火墙内口IP
在26上做一条NAT
p nat inside soure static 0.0.0.0 202.142.221.6
在26上做一条静态路由
IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).

作者: tjwsj 时间: 2005-03-10 21:58
标题: 关于NAT的问题。
IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).
这句是BUG。26上虽然支持用接口作为静态路由转发的目的地，但是，并不是下一跳的接口，而是本地路由器上的接口。还有一点，这条语句会造成IOS的Bug。可以show arp的时候看到NNNNN多的莫名表象。这个在Cisco官方网站已经被证实了。所以还是建议使用下一跳的的地址，而不是本地接口。

作者: tjwsj 时间: 2005-03-10 22:04
标题: 关于NAT的问题。
ip nat inside soure static 172.18.1.253 202.142.221.6
改为
ip nat inside soure static 172.18.0.0 202.142.221.6 overload
其中overload是过载，支持PAT。
不要使用0.0.0.0作为Nat的内部地址，会被一些不必要的数据流量造成麻烦的。所以
ip nat inside soure static 0.0.0.0 202.142.221.6
最好不要用。

作者: 寂寞走荒野 时间: 2005-03-11 08:44
标题: 关于NAT的问题。
不好意思,忘了防火墙是桥模式了,应该都是路由器,如果下一跳指向本地接口有问题,可以在45上配置路由接口,CISCO设备支持这一功能,如果3COM设备需要建立一个独立的用于路由的VLAN.
另外,,本地接口做路由下一跳,我曾经用过,没发现有什么问题,如果真有上述现象,我想还是小心为妙,以后我是不会这么配置了.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)