关于NAT的问题。

骆驼刺

关于NAT的问题。
一个关于NAT的问题
有一个拓扑结构内部采用catalyst 4506 三层交换机做核心分布层，使用catalyst2950 二层交换机做接入层接入用户，核心分布层和接入层之间采用千兆光纤链路汇接。访问外网采用一个cisco 2600路由器采用以太网接口线路接入internet，在Cisco接入路由器2600和catalyst 4506三层交换机之间安装一个cisco pix 525防火墙对内部服务器工作服务器及内网用户的数据保护，在这个设计中内部通过核心交换机划分了多个办公Vlan，外部通过2611路由器做NAT使用以太网线路接入互联网，通常情况下内部网是私有地址划分一个Vlan时可以使用NAT很轻松的做转换，但这个拓扑中是多个Vlan划分，这时候在2611上如何做NAT转换？是不是要在在2611接核心交换机的端口上地址做路由聚合？可是我总觉得不对，如果有其他正确的办法希望大家能给贴出来，方法越多越好，在这个设计中，防火墙不作NAT，只是将其做透明设备看待。
下面是我的配置练习：
下面是关于cisco 2600接入路由器与catalyst4506的配置：

#网段划分：
外部网段：
202.142.221.5/30

内部Vlan划分：
172.18.3.165/30 (2611与4506的接口地址)
172.18.0.0/23
172.18.3.0/25
172.18.3.128/27
172.18.2.4/24


#cisco 2611的配置

Enable
Configure terminal
Service password-encryption
Hostname cisco2600
ip subnet-zero
ip nat inside soure static 172.18.1.253 202.142.221.6
interface fastethernet 0/0
ip address 202.142.221.5 255.255.255.252 （ISP提供的IP地址段）
ip nat outside (配置e/0口为外部接口)
speed auto
no shutdown

interface fastethernet 0/1
ip address 172.18.3. 166 255.255.255.252 （cisco 2600和catalyst 4506私有接口地址）
ip address 172.0.0.0 255.0.0.0 secondary （对内部多个Vlan做了路由聚合）
ip nat inside (配置e/1为内部接口)
speed auto
no shutdown

interface serial 0/0
no ip address
shutdown

exit
ip classless
ip route 0.0.0.0 0.0.0.0 202.142.221.6
ip defaule network 172.0.0.0
no ip http server
line con 0
line aux 0
line vty 0 4
login
end

由于是讨论在NAT接口转换的问题，catalyst 4506交换机和接入交换机之间的设置就不贴上了，在catalyst4506上要配置和2600连接的以太网端口地址和配置全局路由。
enable
config terminal
interface fastethernet 2/1
ip addr 172.18.3.165 255.255.255.252 (cisco 2600和catalyst 4506私有接口地址地址)
speed auto
no shutdown
ip router 0.0.0.0 0.0.0.0 172.18.3.165


防火墙的设置，对于端口及其过滤包流量的配置就不写了，只写下关于外部、内部地址的指向。
ip address outside202.142.221.5 255.255.255.252
ip address inside 172.0.0.0 255.0.0.0 （内部地址指向，写的是路由聚合地址）
ip address dmz 172.18.3.126 255.255.255.128


各位大侠，也许我的思路本来就是错的，如有正确的配置，希望能贴上来，作为学习，谢谢。

cnadl

写一个acl，把内网地址都包括了，对那个acl做nat

骆驼刺

具体如何配置，能否详细告诉我啊，谢谢。

cnadl

就是accesslist aa permit ip 172.18.0.0 0.0.255.255
然后ip nat inside source list aa 。。。
是用pool还是用interface就看你有多少地址了。

SUNfan

这个问题，值得关注

骆驼刺

原帖由 "cnadl" 发表：
就是accesslist aa permit ip 172.18.0.0 0.0.255.255
然后ip nat inside source list aa 。。。
是用pool还是用interface就看你有多少地址了。

我研究一下再贴上来看对不对

tjwsj

做ACL这个思路比较麻烦哦~~~
楼主两个地方的配置有问题。
ip nat inside soure static 172.18.1.253 202.142.221.6
这句话的解释：来自于172.18.1.253的地址转化为202.142.221.6，而楼主的目的是vlan全部可以上公网，所以要改成：
ip nat inside soure static 172.18.0.0 202.142.221.6
在NAT的表象中会有映射，如果只映射172.18.1.253的话，那么对于其他的地址来说，根本就不会有NAT流量出去，比如172.18.3.1的数据报经过了172.18.1.253并不会把自己的源地址更改为172.18.1.253，所以你用debug ip nat tran可以看到，除了直链和Router本身的IP，并没有流量使用了NAT。
这个多私有IP对单公有IP的技术应该叫做PAT，属于NAT的一个变种。它使用内网地址和端口映射。

tjwsj

ip route 0.0.0.0 0.0.0.0 202.142.221.6
这句话的问题是上个问题的连带问题，静态路由应该指向下一跳的地址，也就是你网关的地址。
202.142.221.5
202.142.221.6
这两个地址，假设.5是路由器接口地址，而.6是网关地址，那么，这两条语句应该是这样的：
ip nat inside soure static 172.18.1.253 interface FastetherNet 0/0
ip route 0.0.0.0 0.0.0.0 202.142.221.6

tjwsj

ip address 172.0.0.0 255.0.0.0 secondary
这句话并不是说是路由聚合，这句话的意思是辅助IP地址，做单端口桥接用的，所以把这句话No掉。
之后还是要在4506，Pix和Router上做路由。基于Pix职能够使用Rip的原因，三台设备上的路由协议可以配置成：Rip v2（因为v2是无类路由，带子网掩码宣告）。

tjwsj

你防火墙和26上的ip有些乱了，整理一下吧。