使用IP NAT Outside Source List命令的配置樣例

2019-11-04 20:24:05

字體：大中小

來源：轉載

供稿：網友

　　使用的組件
　　本文不局限于非凡的軟件和硬件版本。
　　
　　配置
　　本部分向您提供配置本文所述功能所需要的信息。
　　
　　網絡圖
　　本文使用下圖所示的網絡設置。
　　　使用IP NAT Outside Source List命令的配置樣例（圖一）

　　從Router 2514w的loopback0接口（172.16.88.1）到Router 2501e的171.68.1.1的ping 數據包成功。在Router 2514x的外部接口上，該包有源地址（SA）172.16.88.1 和目的地地址（DA）171.68.1.1。假如SA答應在 ip nat outside source list命令使用的訪問表1中，那么該SA將被轉換成NAT 池 Net171中的地址。請注重， ip nat outside source list 命令參考了 NAT 池 "Net171"。在本例中，該地址被轉換成 171.68.16.10。轉換之后，Router 2514x 在路由表中搜索目的地并傳送數據包。Router 2501e在入局接口上發現這個數據包，SA 為171.68.16.10，DA 為171.68.1.1。Router 2501e發出一個互聯網控制消息協議（ICMP）響應來答復171.68.16.10。假如它沒有路由，那么它就丟棄這個數據包。在本例中，由于Router 2501e有一個（默認的）路由，因此，Router 2501e使用 171.68.1.1 的SA和 171.68.16.10的DA將數據包發送到Router 2514x。Router 2514x發現這個包并檢查去往171.68.16.10 地址的路由。假如Router 2501e沒有一個路由，那它就發送ICMP不可到達的應答來作響應。在本例中，由于它有去往171.68.16.10的路由，因此它將這個數據包轉換回172.16.88.1地址，并將該包路由出自己的外部接口。
　　
　　配置
　　　使用IP NAT Outside Source List命令的配置樣例（圖二）

　　檢驗
　　此配置目前沒有檢驗程序。
　　
　　故障檢修
　　本部分向您提供可以用于配置排障的信息。
　　
　　以下輸出是從Router 2514w的 loopback0 接口地址（172.16.188.1）ping到Router 2501e的loopback0接口地址（171.68.1.1）時，在Router 2514x上運行debug ip packet 和 debug ip nat 命令的結果。
　　
　　rp-2514x#
　　 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [40]　
　　 IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len　
　　 100, forward ICMP type=8, code=0
　　 NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [40]　
　　 IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len　
　　 100, forward ICMP type=0, code=0　
　　　
　　 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [41]　
　　 IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len　
　　 100, forward ICMP type=8, code=0　
　　 NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [41]　
　　 IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len　
　　 100, forward ICMP type=0, code=0　
　　
　　 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [42]　
　　 IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len　
　　 100, forward ICMP type=8, code=0　
　　 NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [42]　
　　 IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len　
　　 100, forward ICMP type=0, code=0　
　　
　　 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [43]　
　　 IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len　
　　 100, forward ICMP type=8, code=0　
　　 NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [43]　
　　 IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len　
　　 100, forward ICMP type=0, code=0　
　　
　　 NAT: s=172.16.88.1->171.68.16.10, d=171.68.1.1 [44]　
　　 IP: s=171.68.16.10 (Serial1), d=171.68.1.1 (Ethernet1), g=171.68.192.201, len　
　　 100, forward ICMP type=8, code=0　
　　 NAT: s=171.68.1.1, d=171.68.16.10->172.16.88.1 [44]　
　　 IP: s=171.68.1.1 (Ethernet1), d=172.16.88.1 (Serial1), g=172.16.191.254, len　
　　 100, forward ICMP type=0, code=0
　　
　　總結
　　使用 ip nat outside source list 命令（動態NAT）而不是 ip nat outside source static 命令（靜態NAT）的主要區別在于，在（為NAT配置的）路由器檢驗數據包的轉換標準之前，在轉換表中沒有條目。在上例中，SA為172.16.88.1的數據包（進入Router 2514x的外部接口）符合訪問列表1，即 ip nat outside source list 命令使用的標準。因此，在內部網絡的包可以與Router 2514w的loopback0接口通信之前，必須從外部網絡始發數據包。
　　
　　本例中需要注重兩點：
　　第一，當數據包從外部傳輸到內部時，先進行轉換，然后檢查目的地的路由表。當數據包從內部傳輸到外部時，先檢查目的地的路由表，然后進行轉換。
　　
　　第二，使用上述每條命令時，記錄IP數據包的哪個部分被轉換很重要。下表給出了一個綱要：
　　使用IP NAT Outside Source List命令的配置樣例（圖五）