Cisco SDM可以跨网段使用么？

magic_os

是这样的 我搭建了一个下面这样的环境 想在真实计算机上用SDM配置R3
R1和R2是12.1.1.0网段
R2和R3又是23.1.1.0网段


R1 --------- R2 -------- R3
|
R1 的fa 0/0 IP为 172.16.1.1
真实计算机连在了R1的fa0/0上 IP为172.16.1.2
R1上有一个lo 0 回环接口 地址为 192.168.1.1
在R1上做了个NAT将lo 0的地址转换成R1去往R2的出口的那个网段的IP 如下
!
ip nat inside source list 100 interface Serial1/1 overload
!
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any
!

R3上面也有一个回环接口lo0 IP为192.168.2.0

同样也做了NAT 将lo0转换成去往R2的那个接口的IP（至于那个阻止回环接口到回环接口是用作VPN用的）
ip nat inside source list 100 interface Serial1/0 overload
!
logging alarm informational
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip any any
!

在R1 R2 R3上面都配置的静态路由 并且R3也配置了ip http server和密码本地验证

真实计算机可以ping通R3但是使用SDM 确连接不上R3

如果将真实计算机直接连接到R3上面 可以用SDM来管理

我发现问题好像出在R3的那个NAT上面，我取消R3的NAT
no ip nat inside source list 100 interface Serial1/0 overload
之后就可以从真实计算机上SDM到R3了

这是为什么额-  -？

还希望各位老师们赐教！谢谢！

magic_os

原来是因为R1上面用的那个NAT..但是就是不知道为什么

R1的s1/1(12.1.1.1)连接R2的S1/0(12.1.1.2)
R2的S1/1(23.1.1.2)连接R3的S1/0(23.1.1.3)

linda.!

用SDM连接R3时候是使用什么地址连接的？
可以再检查一下路由表，看看路由是否正确。

magic_os

回复 3 # linda.! 的帖子

是用R3的23.1.1.3连接的~

我查了下路由，互相都能ping除了R1和R3上面那两个环口用作VPN以外全部ping能ping通

后来我干脆将R3的那个NAT取消 然后就可以用SDM连接了

我发现问题应该出在那个R3的NAT上

就是不知道为什么会这样-  -

R1和R3上面那两个环口我是在回环接口下使用ip nat inside
然后在R1(s1/1)和R3(s1/0)上都使用了ip nat outside
最后用ip nat inside source 关联到那个访问控制列表


-----------------------------------

谢谢版主^_^~!

小皮球

我是路过来打酱油的：）

linda.!

       测试之后是没有问题的，而且从你的描述来看和NAT是没有关系的，另外路由可以通的话其他的都能访问。
你可以把详细的配置贴出来。

magic_os

我将上面那个R1 R2 R3简化了一下

就直接用R1（s1/1:12.1.1.1）连接 R2（S1/0:12.1.1.2）

R1配置如下：
----------------------------
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
serial restart-delay 0
!
ip http server
no ip http secure-server
!
!
ip nat inside source list 100 interface Serial1/1 overload
!
access-list 100 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any
!
-----------------------------------

R2配置如下：

------------------

!
!
username test privilege 15 secret 5 $2$Nph2$JQFvgkst31RiYWegOdY6u.
!
!
!
interface Loopback0
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
serial restart-delay 0
!
ip route 172.16.1.0 255.255.255.0 12.1.1.1
ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat inside source list 100 interface Serial1/0 overload
!
logging alarm informational
access-list 100 deny   ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip any any
!
!

PC配置：

C:\Documents and Settings\Administrator>ping 12.1.1.2

Pinging 12.1.1.2 with 32 bytes of data:

Reply from 12.1.1.2: bytes=32 time=99ms TTL=254

C:\Documents and Settings\Administrator>ipconfig

Windows IP Configuration


Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 172.16.1.200
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 172.16.1.1

magic_os

怪就怪在这里 我在R2 上使用

no ip nat inside source list 100 interface Serial1/0 overload

取消那个映射后 就能从PC上成功连上12.1.1.2了

linda.!

从你的配置看来可以分析为以下几点：
1.PC与R2之间的通信是通过路由实现的，PC所连接的路由器接口并没有通过NAT。
2.PC上的SDM要与R3相连，配置是在R2上做了NAT，但是之前的解释是在R3上做NAT，所以希望LZ给出更为清晰的拓扑和相关说明。

magic_os

其实我就是将我一楼的R1 R2 R3简化成R1直接连接R3的情况

我将1楼说的那个拓扑 R2的配置清空 R3的配置改到R2上面

R3就不用了

最后的配置就是我7楼说的那个~

就简化成两个路由相连，我从PC用SDM访问R2