一、测试拓扑:
二、测试拓扑:测试思路:A.通过不设置方向的ipnatenable解决[/]
-此方法可以通过公共IP地址或域名直接访问。
-遗憾的是,思科不同的IOS,虽然有的有ipnatenable,但不能实现同样的功能。
-在某些版本中,不能在接口下输入ipnatenable。
B.通过设置DNS域名为内网实际地址解决
-此方法仅适用于使用域名的访问方法。
-如果是ASA防火墙,可以通过NAT添加DNS参数,使得修改后的DNS回复包可以通过内网地址解决。
-如果客户端DNS是内部服务器,您可以直接修改内部服务器DNS记录。
-如果没有内部DNS服务器,可以让路由器同时充当DNS代理服务器,并在上面配置记录。将域名指向内部服务器的实际地址
III。基本配置:
A.R1:
接口以太网0/0
IP地址202.100.1.1255.255无关机
IP路由0.0.0.0.0.0202.100.1.2
b.R2:
1.接口配置:[/br/ip地址202.100.1.2255.255.255.0
无关闭
接口Ethernet0/1
无ip地址
无关闭
2。DNS服务器:
ipdns服务器
ip主持人R4.yuntian.cn·202.100.2.4
ip主持人R1.yuntian.cn·202.100.1.1
3。PPPOE服务器配置:
AAA新型号
AAA认证PPP默认本地
用户名Cisco密码0Cisco
ipdhcp排除地址202.100.2.2
ipdhcp排除地址202.100.2.4
ipdhcp池ppoe
网络202.100.2.0255.255.255.0
默认-路由器202.100.2.2
BBA-组pppoe测试
虚拟-模板1
接口虚拟-模板1
ip地址202.100.2.2255.255.255.0
对等默认ip地址DHCP-池ppoe
PPPIPCPDNS202.100.2.2
接口以太网0/1
PPPoE启用组测试
C.R3:
1.接口配置:
接口以太网]无ip地址
无关机
接口以太网0/1
ip地址192.168.1.3255.255.255.0
无关机
2.PPPOE客户端配置:
接口E0/0
PPPoE启用组全局
PPPOE-客户端拨号池-号码1
接口拨号器0
mtu1492
ip地址协商
封装ppp
拨号器池1
pppchap主机名cisco
pppchap密码0cisco
3。DHCP服务器:
ipdhcp排除-地址192.168.1.3
ipdhcp排除-地址192.168.1.4
ipdhcp池客户端
网络192.168.1.0255.255.255.0
DNS服务器202.100.2.2
R4:
接口Ethernet0/0
ip地址192.168.1.4255.255.255.0
无关闭
ip路由0.0.0.00.0.0192.168.1.3
E.R5:
接口Ethernet0/0
ip地址DHCP
不关闭
-接口IP、默认网关和DNS都由DHCP分配
四。地址回流
-所有这些都配置在R3上
A.方法一:NVI
1.动态PAT配置:
IP访问列表扩展PAT
允许IP192.168.1.00.0.0.255any
ipnat源列表PAT接口拨号器0过载
接口以太网0/1
ipnat启用
接口拨号器0
ipnat启用
2。静态NAT配置:
ipnat源静态192.168.1.4202.100.2.4可扩展
3。测试:
-R5可以通过R4映射的公共地址访问R4
。
r5#telnet202.100.2.4
正在尝试202.100.2.4...打开
用户访问验证
密码:
R4>;显示用户
线路用户主机空闲位置
0con0未知00:00:16
*130vty0Idle00:00:00202.100.2.3
接口用户模式空闲对等地址
R4>;
-R4也可以通过R4映射的公共网络地址访问R4
202.100.2.4R4#telnet
尝试202.100.2.4...打开
用户访问验证
密码:
R4>;显示用户
线路用户主机空闲位置
0con0202.100.2.400:00:00
*131vty1Idle00:00:00202.100.2.4
接口用户模式空闲对等地址
R4>;
-通过域名访问时,DNS记录返回包(类似于ASA的DNS重写)将被自动修改
r5#pingR4.yuntian.cn
翻译“R4.yuntian.cn”...域名服务器(202.100.2.2)[好]
翻译“R4.yuntian.cn”...域名服务器(202.100.2.2)[好]
翻译“R4.yuntian.cn”...域服务器(202.100.2.2)[确定]
键入转义序列以中止。
向192.168.1.4发送5,100字节的ICMP回应,超时为2秒:
!!!!!
成功率为100%(5/5),往返min/avg/max=8/32/52ms
R5#
*Mar102:13:40.991:ICMP:echo回复rcvd,src192.168.1.4,dst192.168.1.5
*Mar102:13:41.047:ICMP:echo回复rcvd
从不同位置的抓包可以看出,路由器R3修改了DNS应答包,将公网地址改为内网地址:
-在连接R2和R3的接口上截取数据包,您可以看到DNS回复是公有网络地址
-但是在R3内网接口数据包捕获中,可以看到公网地址已经修改为内网地址。
B.方法二:手动修改DNS记录
A.将R3配置为DNS代理,并将客户端DNS指定为自己的
R3(配置)#ipdns服务器
R3(配置)#ip名称-服务器202.100.2.2
R3(配置)#ip主机R4.yuntian.cn192.168.1.4
R3(配置)#ipdhcp池客户端
R3(DHCP-配置)#dns服务器192.168.1.3
测试:
-R5关闭接口再次获取地址,然后pingr4.yuntian.cn
r5#pingR4.yuntian.cn
翻译“R4.yuntian.cn”...域服务器(192.168.1.3)[确定]
键入转义序列以中止。
向192.168.1.4发送5,100字节的ICMP回应,超时为2秒:
。!!!!
成功率为80%(4/5),往返min/avg/max=8/30/44ms
R5#
*Mar103:40:58.335:ICMP:echoreplyrcvd,src192.168.1.4,dst192.168.1.6
*Mar103:40:58.383:ICMP:echoreplyrcvd
此时,在R3内网接口上抓取数据包,可以看到DNS回复数据包:
这个时候因为路由器上面有这个记录,所以直接回复客户端,在外部的dns捕获包中看不到DNS请求包。
但是,如果请求其他域名,外部DNS将有一个回复数据包
r5#pingR1.yuntian.cn
翻译“R1.yuntian.cn”...域服务器(192.168.1.3)[确定]
键入要中止的转义序列。
向202.100.1.1发送5,100字节的ICMP回应,超时为2秒:
!!!!!
成功率为100%(5/5),往返min/avg/max=52/84/152ms
R5#
*Mar103:46:26.579:ICMP:echoreplyrcvd,src202.100.1.1,dst192.168.1.6
*Mar103:46:26.647:ICMP:echoreplyrcvd,src202.100.1.1,dst
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)