思科路由器PPOE client+NAT解决地址回流问题测试

思科路由器PPOEclient+NAT解决地址回流问题测试

一、测试拓扑:
二、测试拓扑:测试思路:A.通过不设置方向的ipnatenable解决[/]

-此方法可以通过公共IP地址或域名直接访问。

-遗憾的是，思科不同的IOS，虽然有的有ipnatenable，但不能实现同样的功能。

-在某些版本中，不能在接口下输入ipnatenable。

B.通过设置DNS域名为内网实际地址解决

-此方法仅适用于使用域名的访问方法。

-如果是ASA防火墙，可以通过NAT添加DNS参数，使得修改后的DNS回复包可以通过内网地址解决。

-如果客户端DNS是内部服务器，您可以直接修改内部服务器DNS记录。

-如果没有内部DNS服务器，可以让路由器同时充当DNS代理服务器，并在上面配置记录。将域名指向内部服务器的实际地址
III。基本配置:
A.R1:
接口以太网0/0
IP地址202.100.1.1255.255无关机
IP路由0.0.0.0.0.0202.100.1.2
b.R2:
1.接口配置:[/br/ip地址202.100.1.2255.255.255.0
无关闭
接口Ethernet0/1
无ip地址
无关闭

2。DNS服务器:

ipdns服务器

ip主持人R4.yuntian.cn·202.100.2.4

ip主持人R1.yuntian.cn·202.100.1.1

3。PPPOE服务器配置:
AAA新型号
AAA认证PPP默认本地
用户名Cisco密码0Cisco

ipdhcp排除地址202.100.2.2

ipdhcp排除地址202.100.2.4

ipdhcp池ppoe
网络202.100.2.0255.255.255.0
默认-路由器202.100.2.2

BBA-组pppoe测试
虚拟-模板1

接口虚拟-模板1
ip地址202.100.2.2255.255.255.0
对等默认ip地址DHCP-池ppoe

PPPIPCPDNS202.100.2.2
接口以太网0/1
PPPoE启用组测试
C.R3:
1.接口配置:
接口以太网]无ip地址
无关机
接口以太网0/1
ip地址192.168.1.3255.255.255.0
无关机
2.PPPOE客户端配置:
接口E0/0
PPPoE启用组全局
PPPOE-客户端拨号池-号码1
接口拨号器0
mtu1492
ip地址协商
封装ppp
拨号器池1
pppchap主机名cisco
pppchap密码0cisco

3。DHCP服务器:

ipdhcp排除-地址192.168.1.3
ipdhcp排除-地址192.168.1.4

ipdhcp池客户端
网络192.168.1.0255.255.255.0
DNS服务器202.100.2.2

R4:

接口Ethernet0/0
ip地址192.168.1.4255.255.255.0
无关闭

ip路由0.0.0.00.0.0192.168.1.3

E.R5:

接口Ethernet0/0
ip地址DHCP
不关闭

-接口IP、默认网关和DNS都由DHCP分配

四。地址回流

-所有这些都配置在R3上

A.方法一:NVI
1.动态PAT配置:
IP访问列表扩展PAT
允许IP192.168.1.00.0.0.255any

ipnat源列表PAT接口拨号器0过载

接口以太网0/1
ipnat启用

接口拨号器0

ipnat启用

2。静态NAT配置:

ipnat源静态192.168.1.4202.100.2.4可扩展

3。测试:

-R5可以通过R4映射的公共地址访问R4
。

r5#telnet202.100.2.4
正在尝试202.100.2.4...打开


用户访问验证

密码:
R4>；显示用户
线路用户主机空闲位置
0con0未知00:00:16
*130vty0Idle00:00:00202.100.2.3

接口用户模式空闲对等地址

R4>；

-R4也可以通过R4映射的公共网络地址访问R4

202.100.2.4R4#telnet
尝试202.100.2.4...打开


用户访问验证

密码:
R4>；显示用户
线路用户主机空闲位置
0con0202.100.2.400:00:00
*131vty1Idle00:00:00202.100.2.4

接口用户模式空闲对等地址

R4>；

-通过域名访问时，DNS记录返回包(类似于ASA的DNS重写)将被自动修改

r5#pingR4.yuntian.cn

翻译“R4.yuntian.cn”...域名服务器(202.100.2.2)[好]

翻译“R4.yuntian.cn”...域名服务器(202.100.2.2)[好]

翻译“R4.yuntian.cn”...域服务器(202.100.2.2)[确定]

键入转义序列以中止。
向192.168.1.4发送5，100字节的ICMP回应，超时为2秒:
！！！！！
成功率为100%(5/5)，往返min/avg/max=8/32/52ms
R5#
*Mar102:13:40.991:ICMP:echo回复rcvd，src192.168.1.4，dst192.168.1.5
*Mar102:13:41.047:ICMP:echo回复rcvd

从不同位置的抓包可以看出，路由器R3修改了DNS应答包，将公网地址改为内网地址:

-在连接R2和R3的接口上截取数据包，您可以看到DNS回复是公有网络地址

-但是在R3内网接口数据包捕获中，可以看到公网地址已经修改为内网地址。

B.方法二:手动修改DNS记录

A.将R3配置为DNS代理，并将客户端DNS指定为自己的

R3(配置)#ipdns服务器
R3(配置)#ip名称-服务器202.100.2.2
R3(配置)#ip主机R4.yuntian.cn192.168.1.4

R3(配置)#ipdhcp池客户端
R3(DHCP-配置)#dns服务器192.168.1.3

测试:

-R5关闭接口再次获取地址，然后pingr4.yuntian.cn

r5#pingR4.yuntian.cn

翻译“R4.yuntian.cn”...域服务器(192.168.1.3)[确定]

键入转义序列以中止。
向192.168.1.4发送5，100字节的ICMP回应，超时为2秒:
。！！！！
成功率为80%(4/5)，往返min/avg/max=8/30/44ms
R5#
*Mar103:40:58.335:ICMP:echoreplyrcvd，src192.168.1.4，dst192.168.1.6
*Mar103:40:58.383:ICMP:echoreplyrcvd

此时，在R3内网接口上抓取数据包，可以看到DNS回复数据包:

这个时候因为路由器上面有这个记录，所以直接回复客户端，在外部的dns捕获包中看不到DNS请求包。

但是，如果请求其他域名，外部DNS将有一个回复数据包

r5#pingR1.yuntian.cn

翻译“R1.yuntian.cn”...域服务器(192.168.1.3)[确定]

键入要中止的转义序列。
向202.100.1.1发送5，100字节的ICMP回应，超时为2秒:
！！！！！
成功率为100%(5/5)，往返min/avg/max=52/84/152ms
R5#
*Mar103:46:26.579:ICMP:echoreplyrcvd，src202.100.1.1，dst192.168.1.6
*Mar103:46:26.647:ICMP:echoreplyrcvd，src202.100.1.1，dst