分类: 系统运维
2011-10-20 10:45:13
本示例的网络结构如图5-22所示。在这样一个网络中,路由器的三个接口(Ethernet0/0、Ethernet1/0和Serial2/0)各连接了一个VPN(bank、park和services)。在这三个VPN中bank和park采用动态NVI,共享一个名为pool1的全局IP地址池,并通过acl 1进行NAT通信过滤;而services VPN示例采用静态NVI,配置内部本地IP地址192.168.123.1到内部全局地址192.168.125.10的映射。
图5-22 启用NVI功能的NAT配置示例
以下显示了在NAT路由器上的NVI接口配置。
interface Ethernet0/0
ip vrf forwarding bank !----指定Ethernet0/0接口与名为bank的VRF关联,也就是这个接口连接名为bank的VPN,下面的这个语句类似
ip address 192.168.121.1 255.255.255.0
ip nat enable !----在Ethernet0/0接口上启用NAT服务
!
interface Ethernet1/0
ip vrf forwarding park
ip address 192.168.122.1 255.255.255.0
ip nat enable
!
interface Serial2/0
ip vrf forwarding services
ip address 192.168.123.2 255.255.255.0
ip nat enable
!
ip nat pool NAT 192.168.25.20 192.168.25.30 netmask 255.255.255.0 add-route !---创建一个名为NAT的动态NAT地址池,全局地址范围为192.168.25.20 ~ 192.168.25.30,同时创建一个动态NVI,并为所有全局地址启用到NVI接口的路由
ip nat source list 1 pool NAT vrf bank overload !---按照acl 1中的规则和名为NAT的全局地址池对名为bank的VRF实例进行动态PAT转换
ip nat source list 1 pool NAT vrf park overload
ip nat source static 192.168.123.1 192.168.125.10 vrf services !---把名为services的VRF实例中的本地地址192.168.123.1转换成192.168.125.10的全局地址
!
access-list 1 permit 192.168.122.20
access-list 1 permit 192.168.122.0 0.0.0.255
!
本文摘自《路由器配置与管理完全手册(Cisco篇)试读样章》第五章