一、實驗拓撲：
用實驗5的拓撲

二、實驗要求：
三、命令部署：
1、ACL抓取1.1.1.1到any的流量：
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#permit ip 1.1.1.0 255.255.255.0 any
2、部署PAT技術：
R1(config)#ip nat inside source list pat interface f0/0 overload
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int lo0
R1(config-if)#ip nat inside
測試：
R1#ping 3.3.3.3 source 1.1.1.1 //正常應該不通的
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
R1#show ip nat tran
R1#show ip nat translations //空的
查看ACL、NAT配置：
R1#show access-lists
Extended IP access list pat
10 permit ip 0.0.0.0 255.255.255.0 any
R1#show run | s nat
ip nat inside
ip nat outside
ip nat inside source list pat interface FastEthernet0/0 overload
3、修改ACL，之前寫錯了：
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 any //路由器用反掩碼
測試：
R1#ping 3.3.3.3 source loopback 0 //達到了實驗效果
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
UUUUU
Success rate is 0 percent (0/5)
查看轉換：
R1#show ip nat translations //查看路由器的轉換列表

創(chuàng)新互聯堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網站設計、成都網站建設、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯網時代的閩侯網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

抓包看流量：
R1#ping 3.3.3.3 source loopback 0

可以看到：都是黑色的標識，正常出包應該是1.1.1.1——>3.3.3.3，但是因為做了NAT轉換所以是12.1.1.1——>3.3.3.3；回包應該是3.3.3.3——>1.1.1.1，實際做了NAT轉換是：3.3.3.3——>12.1.1.1。
解決方法一：
在ACL中往前插入一個序號為5的deny ACL，這樣它會先匹配序號為5的ACL：
R1#show access-lists
Extended IP access list pat
10 permit ip 1.1.1.0 0.0.0.255 any
R1(config)#ip access-list extended pat
R1(config-ext-nacl)#5 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
測試1：
R1#ping 3.3.3.3 source 1.1.1.1 //匹配了ACL 5，不做NAT轉換，所以就是ESP的流量了。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/30/40 ms
抓包：

測試2：
R1#ping 23.1.1.3 source 1.1.1.1 //這個也可以通，但是地址是有NAT轉換的，實際是12.1.1.1——>3.3.3.3；因為流量出去時候不匹配ACL 5，匹配ACL 10，所以會轉換。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1 !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 96/102/116 ms
抓包：

解決方法二：
不要讓流量從inside進去，不要從outside出來；或者不要讓流量從inside進去，可以從outside出來：比如在其它進口寫inside，不要在1.1.1.1的環(huán)回口下寫。
要實現 nat 就要滿足 3 個條件：
感興趣流（滿足），inside 接口進（不滿足），outside 接口出。
這時必須還要在加一臺路由器，所以我加了 R4，因為我之前做的是用環(huán) 回口 1.1.1.1,自身發(fā)起的流量，這個自身的流量 route-map 是控制不了的。一 定要讓這個流量從某一個物理接口進入，我這個策略才好使。
這塊如何用route-map呢？？？

另外有需要云服務器可以了解下創(chuàng)新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站欄目：6-VPN：NAT對IPSEC的影響-創(chuàng)新互聯
當前路徑：http://www.rwnh.cn/article10/cspcdo.html

成都網站建設公司_創(chuàng)新互聯，為您提供小程序開發(fā)、建站公司、網站策劃、Google、搜索引擎優(yōu)化、企業(yè)網站制作

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯