计算机网络基础考试考核试题三_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
计算机网络基础考试考核试题三
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩9页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢查看: 1174|回复: 5
nat静态转换配合route-map问题求助
在线时间 小时
阅读权限20
配置如下：
ip nat inside source static 192.168.1.2 10.40.2.100 route-map nat1
ip nat inside source static 192.168.1.2 10.41.3.110 route-map nat2
ip route 172.27.16.0 255.255.255.0 Serial0/0/1:0 10.48.209.62
ip route 172.27.16.0 255.255.255.0 Serial0/0/0:0 10.32.6.121 100
route-map nat1 permit 10
match interface Serial0/0/1:0
route-map nat2 permit 10
match interface Serial0/0/0:0
由于两个出口必须用不同的地址去访问，所以必须做不同的nat转换，规则配置的是出口为Serial0/0/1:0时用nat1转换规则，出口为Serial0/0/0:0时用nat2转换规则
正常走第一条路由时使用nat1转换规则，可以ping通对端；当路由切换到第二条浮动静态路由后，nat2转换规则却不能生效，必须把nat1转换规则删除，删除后可以正常ping通对端。
请教给位这是什么原因，是不是nat配合route-map有问题？
在线时间 小时
阅读权限50
请问clear ip nat tr也不可以吗？
在线时间 小时
阅读权限20
那个没试 因为目的是要配合浮动路由进行自动切换
在线时间 小时
阅读权限50
在线时间 小时
阅读权限50
额，我想想，如果有防火墙的功能应该就好做了，
自定义2个区域（untr1和untr2），内网trust区域，
然后trust 去untr1 启用nat1
trust去untr2 启用nat2
压根就不需要route-map了
在线时间 小时
阅读权限80
走过路过,不能错过.
Powered by温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
LOFTER精选
网易考拉推荐
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
心得：在我自己做这个实验的时候，一直无法PING通，后来分析后觉得是路由问题，我使用的是默认路由的方式，因为已经有一个直连路由在inside方向，再加一个相同的路由到DMZ上是无法加上的，但是却没有想到用变换掩码的方式来加入路由。此思路可以用于解决IPSec VPN两端有地址重叠的情况。&两个网络使用相同的网络地址空间（192.168.100.0/24），但是两个网络中的主机（192.168.100.2）必须相互通信。要求只能配置防火墙来完成这个任务。&我们用R1代替ASA Inside地址为192.168.100.2/24的主机，用R3代替DMZ区的192.168.100.2/24的主机；&凡是遇到地址重叠的情况，首先想到的就是使用双向NAT来解决，但这只是临时的解决办法，最终办法就是重新编址；1.基本路由（只使用静态）R1：interface Ethernet0/0&ip address 192.168.100.2 255.255.255.0R2：interface Ethernet0/0&ip address 10.1.1.2 255.255.255.0!interface Ethernet0/1&ip address 192.168.100.22 255.255.255.0!R3：interface Ethernet0/0&ip address 192.168.100.2 255.255.255.0!ASA：interface Ethernet0/0&nameif dmz&security-level 50&ip address 10.1.1.1 255.255.255.0!interface Ethernet0/1&nameif inside&security-level 100&ip address 192.168.100.3 255.255.255.0access-list outsideacl extended permit ip any any&& //为了便于测试，所以用ip any any2.NAT配置将来自inside去往dmz的192.168.100.0网段的流量的IP转换为10.1.2.0网段中的地址；static (inside,dmz) 10.1.2.0 192.168.100.0 netmask 255.255.255.0将来自dmz去往inside的192.168.100.0网段的流量的IP转换为10.1.3.0网段中的地址；static (dmz,inside) 10.1.3.0 192.168.100.0 netmask 255.255.255.0因此，此时对于R3看来，它是在和10.1.2.2通信；在R1看来，它是在和10.1.3.2通信&3.路由问题：转换后要重新考虑路由的问题，对于R2来说，它并不知道怎么去10.1.2.0/24网段，而对于R1来说，它不知道怎么去10.1.3.0/24网段，因为我这里使用的是静态路由，因此加静态路由；如果使用的是动态路由协议，那么就要在ASA上将相应的网段通告给相应的设备；r1(config)#ip route 10.1.3.0 255.255.255.0 192.168.100.3r2(config)#ip route 10.1.2.0 255.255.255.0 10.1.1.1r3(config)#ip route 10.1.2.0 255.255.255.0 192.168.100.22对于ASA，收到R3去往inside的192.168.100.0的包的时候它就会直接转发给和自己直连的192.168.100.0网段；但是当ASA收到从R1返回给R3的包的时候，在outside方向上却找不到去往192.168.100.0的路由，在ASA上打开log可以看到：asa(config)# logging onasa(config)# logging buffered 7asa(config)# show logg%ASA-6-110001: No route to 192.168.100.1 from 10.1.2.1因此，需要在outside方向上加一个去往192.168.100.0的静态路由，但是又不能加24位的，因为24位的已经和inside口直连了，因此要加一个掩码不同的网段；route outside 192.168.100.0 255.255.255.128 10.1.1.2route outside 192.168.100.128 255.255.255.128 10.1.1.2加完路由后，在R3上telnet 10.1.2.2，然后在防火墙上show conn以及在R1上debug ip packet detail可以看到：asa(config)# show conn1 in use, 10 most usedTCP out 10.1.3.2(192.168.100.2):11005 in 192.168.100.2:23 idle 0:01:12 bytes 111 flags UIOBasa(config)#&r1#show logg*Mar&1 01:07:15.265: IP: s=10.1.3.2 (Ethernet0/0), d=192.168.100.2 (Ethernet0/0), len 43, rcvd
阅读(2861)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_083065',
blogTitle:'在ASA配置双向NAT解决地址重叠问题',
blogAbstract:'摘要: 两个网络使用相同的网络地址空间（192.168.100.0/24），但是两个网络中的主机（192.168.100.2）必须相互通信。要求只能配置防火墙来完成这个任务。',
blogTag:'nat,地址重叠,asa',
blogUrl:'blog/static/',
isPublished:1,
istop:false,
modifyTime:8,
publishTime:1,
permalink:'blog/static/',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'0',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人：
{list a as x}
{if !!b&&b.length>0}
他们还推荐了：
{list b as y}
转载记录：
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}简答题完整版_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
简答题完整版
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩16页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢华为数通网上题库_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为数通网上题库
上传于||暂无简介
阅读已结束，如果下载本文需要使用5下载券
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢