本帖最后由 碧云天 于 2020-2-28 13:34 编辑
一.测试拓扑
测试总结:
1.使用ip nat inside destination对UDP没有效果
2.使用route-map方式支持UDP,并且目标地址可以不是接口地址
3.使用route-map方式有一个缺点,没法使用ACL过滤,如果做nat的设备主动发起UDP访问,回包可能也会被转
---特别是端口范围是高位端口时,R2主动发起访问,源端口正好在端口范围,那么回包的时候,也会被转换
4.网上说可以用ip nat portmap实现,但是实际测试没有成功
二.基本配置
1.PC1
ip address:202.100.1.1//24
--可以不设置网关
2.R2路由器
hostname R2
interface f0/0
ip address 202.100.1.2 255.255.255.0
ip nat outside
no shutdown
interface f1/0
ip address 10.1.1.2 255.255.255.0
ip nat inside
no shutdown
3.R3路由器
hostname R3
interface f1/0
ip address 10.1.1.3 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.2
三.Destination方式
1.R1配置地址池:
ip nat pool pool1 10.1.1.3 10.1.1.3 netmask 255.255.255.0 type rotary
2.R1配置ACL:
access-list 101 permit udp any any range 514 1514
3.R1配置NAT
ip nat inside destination list 101 pool pool1
4.验证(不成功)
PC1上使用syslog发送工具,设置目标地址202.100.1.2,目标端口为UDP514,在R2的F1/0接口没有抓到包,在F0/0接口抓包可以看到会回复端口不可达
四.使用route-map方式
1.配置ACL
access-list 109 permit udp host 10.1.1.3 range 514 1514 host 202.100.1.2
2.配置route-map ,调用ACL
route-map NAT permit 10
match ip address 109
3.配置nat,调用router-map
ip nat inside source static 10.1.1.3 202.100.1.2 route-map NAT extendable
4.验证
①R3的f1/0接口开启抓包
②PC1上使用工具先后向202.100.1.2的UDP514和1514发送syslog
③可以看到能抓到对应的包,说明转换是成功的
五.使用portmap方式
1.R1配置ACL
ip access-list extended insidehost
permit ip host 10.1.1.3 any
2.R1配置portmap
ip nat portmap RTP-RANGE-PORTMAP
appl udp-rtp startport 512 size 1024
3.R1配置NAT调用portmap
ip nat inside source list insidehost interface FastEthernet0/0 overload portmap RTP-RANGE-PORTMAP
4.验证(不成功)
①R3的f1/0接口开启抓包
②PC1上使用工具先后向202.100.1.2的UDP514和1514发送syslog
③没有抓包对应的包,说明这种方式也不能成功转换,估计路由器识别应用,实际部署RTP包,所以不会转换
一.测试拓扑
测试总结:
1.使用ip nat inside destination对UDP没有效果
2.使用route-map方式支持UDP,并且目标地址可以不是接口地址
3.使用route-map方式有一个缺点,没法使用ACL过滤,如果做nat的设备主动发起UDP访问,回包可能也会被转
---特别是端口范围是高位端口时,R2主动发起访问,源端口正好在端口范围,那么回包的时候,也会被转换
4.网上说可以用ip nat portmap实现,但是实际测试没有成功
二.基本配置
1.PC1
ip address:202.100.1.1//24
--可以不设置网关
2.R2路由器
hostname R2
interface f0/0
ip address 202.100.1.2 255.255.255.0
ip nat outside
no shutdown
interface f1/0
ip address 10.1.1.2 255.255.255.0
ip nat inside
no shutdown
3.R3路由器
hostname R3
interface f1/0
ip address 10.1.1.3 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.2
三.Destination方式
1.R1配置地址池:
ip nat pool pool1 10.1.1.3 10.1.1.3 netmask 255.255.255.0 type rotary
2.R1配置ACL:
access-list 101 permit udp any any range 514 1514
3.R1配置NAT
ip nat inside destination list 101 pool pool1
4.验证(不成功)
PC1上使用syslog发送工具,设置目标地址202.100.1.2,目标端口为UDP514,在R2的F1/0接口没有抓到包,在F0/0接口抓包可以看到会回复端口不可达
四.使用route-map方式
1.配置ACL
access-list 109 permit udp host 10.1.1.3 range 514 1514 host 202.100.1.2
2.配置route-map ,调用ACL
route-map NAT permit 10
match ip address 109
3.配置nat,调用router-map
ip nat inside source static 10.1.1.3 202.100.1.2 route-map NAT extendable
4.验证
①R3的f1/0接口开启抓包
②PC1上使用工具先后向202.100.1.2的UDP514和1514发送syslog
③可以看到能抓到对应的包,说明转换是成功的
五.使用portmap方式
1.R1配置ACL
ip access-list extended insidehost
permit ip host 10.1.1.3 any
2.R1配置portmap
ip nat portmap RTP-RANGE-PORTMAP
appl udp-rtp startport 512 size 1024
3.R1配置NAT调用portmap
ip nat inside source list insidehost interface FastEthernet0/0 overload portmap RTP-RANGE-PORTMAP
4.验证(不成功)
①R3的f1/0接口开启抓包
②PC1上使用工具先后向202.100.1.2的UDP514和1514发送syslog
③没有抓包对应的包,说明这种方式也不能成功转换,估计路由器识别应用,实际部署RTP包,所以不会转换
