lzsr2004 发表于 2008-7-1 23:26:07

菜鸟发问(关于NAT)

我这里有个综合的实验,但刚开个头就碰到问题做不下去了。
R2是网络边界路由器,R3是模拟ISP,R1和R4是内部路由器。
R1,R2,R4用EIGRP互联,R2指了条默认路由到R3,R3指条默认路由到R2。
在R2上做NAT,想让R1和R4能访问R3,但没能做成功。

R1和R4能PING通R3的s0/1,PING不通真正的外网IP(f1/0)


请达人帮忙看看问题出在哪里?
----f1/0---R1----s0/0----------s0/0----R2----s0/1----------s0/1----R3----f1/0----
                                                       f1/0
                                                          I
                                                       f1/0
                                 loopback0— R4
                                                      
R1:f1/0--192.168.11.1/24,s0/0--172.16.11.1/24
R2:s0/0--172.16.11.2/24,s0/1--61.171.11.2/30,f1/0--172.16.21.2/24
R3:s0/1--61.171.11.1/30,f1/0--218.67.10.1/24
R4:f1/0--172.16.21.4/24,loopback0--192.168.21.4/24


下面是我在R2上的配置。
R2#sh run
Building configuration...

Current configuration : 1319 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
!
!
ip cef
!
!
!
!
!         
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Serial0/0
ip address 172.16.11.2 255.255.255.0
ip nat inside
ip virtual-reassembly
serial restart-delay 0
clock rate 64000
!
interface Serial0/1
ip address 61.171.11.2 255.255.255.252
ip nat outside
ip virtual-reassembly
serial restart-delay 0
clock rate 64000
!
interface Serial0/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial0/3
no ip address
shutdown
serial restart-delay 0
!
interface FastEthernet1/0
ip address 172.16.21.2 255.255.255.0
duplex auto
speed auto
!
router eigrp 100
network 61.0.0.0
network 172.16.0.0
no auto-summary
!
ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 61.171.11.1
!
ip nat pool abc 218.67.10.10 218.67.10.15 netmask 255.255.255.240
ip nat inside source list 1 pool abc overload
!
access-list 1 permit 172.16.11.0 0.0.0.255
access-list 1 permit 172.16.21.0 0.0.0.255
access-list 1 permit 192.168.21.0 0.0.0.255
access-list 1 permit 192.168.11.0 0.0.0.255
!
!
control-plane
!
!         
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end

========================================================

[ 本帖最后由 lzsr2004 于 2008-7-1 23:28 编辑 ]

bookpig 发表于 2008-7-2 09:20:18

这个。。。。-- 嗯,看不懂,帮你招人来回答。。。。--

广播风暴 发表于 2008-7-2 10:17:49

R1 和R4能ping通R3的s0/0不是靠的NAT,你自己有起2个默认路由,这个就能够使得ping能够成功。
看你的R2的配置,首先,F1/0没有声明IP NAT Inside,还有就是access-list 1你是写了,但是没有加入到R2的
S0/0接口上,否则在sh run的结果上 S0/0有关的信息里可以明显看到有access-list 1 in(or out)这个信息的。
其他没看出什么问题,总的来看,细心是最重要的~~要细心那~~~~~-- -- --

lzsr2004 发表于 2008-7-2 12:04:00

广播风暴谢谢你,我还有问题。
1。NAT转换好像并不需要像ACL一样把访问控制列表应用到接口
2。我按你的方法重新做了一遍,还是没能PING通。
3。我现在最怀疑的问题是ip nat pool里的地址池写的不对。我看书上说是用的地址转换设备(就是路由器)的内部全局地址,那也就应该是61.171.11.X,可我即使用了这个地址池也仍然PING 不通。。。(我用的是61.171.11.3-61.171.11.10,掩码是255.255.255.0),我想问的是,61.171.11.x是30位的掩码,是不是因为我的地址池不跟它在一个网段?

广播风暴 发表于 2008-7-2 13:31:54

不好意思~~没看仔细~~
看来问题还蛮多的~~
地址转换是把内部全局地址——就是转换后的Internet 合法IP地址——你的TOPO里看到应该是61.171.11.2——这个地址就是ISP给你的合法的地址——我们就是要把内部私有地址转换成为这个地址——而图里你的218那个表示的是外网好比一个WEB服务器——那个是他的合法地址。
所以地址池——61.171.11.261.171.11.2 netmask 255.255.255.252
另外内部私有地址需要被转换的是你两个Router连接的网络 192的那些 所以 access-list 1 permit 192.168.21.0
                                                                                                                                          access-list 1 permit 192.168.11.0
这个两个就可以了~~

Daniel. 发表于 2008-7-2 14:03:29

你测试下,R2能不能ping到R3的F口!

lzsr2004 发表于 2008-7-2 14:22:52

还有问题,问题有点多,麻烦你了。
1。关于地址池(61.171.11.2 61.171.11.2 netmask 255.255.255.252),可能是你写错了,应该是61.171.11.3
   30位掩码只能有3台主机,0和4是网络位,那也就是说这个地址池中只有61.171.11.3这个地址能被转换,那还能算是地址池吗?
   2。218那个地址是模拟外网地址,我实验的要求就是内网能访问外网,现在做了半天,192的网络PING不通218的网络,实验失败。是不是因为192网段还没有去往218的路由?需要做一条静态路由指到218网段去吗?

广播风暴 发表于 2008-7-2 14:42:50

.3广播地址~~仔细算算~~可用地址只有一个也可以叫地址池~~这个是名字没什么大的意思~~

lzsr2004 发表于 2008-7-2 15:02:51

原帖由 广播风暴 于 2008-7-2 14:42 发表 http://bbs.spoto.net/images/common/back.gif
.3广播地址~~仔细算算~~可用地址只有一个也可以叫地址池~~这个是名字没什么大的意思~~




尝试在R1和R4上做静态路由指向R3的218网段,虽然能PING 通,但把NAT去掉依然能PING通,这就说明问题不在静态路由上。。。我按你的意见修改了地址池,可就是PING不通218。那怎样才能PING通218的外网呢?急啊--
页: [1]
查看完整版本: 菜鸟发问(关于NAT)