在做NAT-T实验中的问题

锐意精通 · 发表于 2020-6-14 12:34:39

在做NAT-T实验中的问题

先向各位大拿奉上实验拓扑
拓扑.jpg

实验要求：
1）Site1配置NAT和IPSec VPN；以及配置"出"静态路由
2）ISP只需配置两个接口IP地址；
3）PAT配置NAT以及"出入"静态路由；
4）Site2配置IPSec VPN

配置如下：
Site1
1）基础配置
inter lo 0
ip add 1.1.1.1 255.255.255.0
inter fast 0/0
ip add 202.100.1.1 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 202.100.1.10
2）NAT配置
ip access ex nat
permit ip any any
ip nat inside source list nat inter fast 0/0 overload
inter lo 0
ip nat inside
inter fast 0/0
ip nat outside
3）IPSec配置
cry isa policy 10
encryption des
authentication pre-share
hash md5
group 1
cry isa key cisco address 61.128.1.1
cry ip tran TRAN esp-des esp-md5-hmac
mode tunnel
ip access ex vpn
permit ip host 1.1.1.1 host 2.2.2.2
cry map CMAP 10 ipsec-isa
set peer 61.128.1.1
set tran TRAN
match address vpn
inter fast 0/0
cry map CMAP

ISP
1）基础配置
inter fast 0/0
ip add 202.100.1.10 255.255.255.0
no sh
inter f 0/1
ip add 61.128.1.10 255.255.255.0
no sh

PAT
1）基础配置
inter fast 0/0
ip add 61.128.1.1 255.255.255.0
no sh
inter fast 0/1
ip add 10.1.1.254 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 61.128.1.10
ip route 2.2.2.2 255.255.255.255 10.1.1.1
2）NAT配置
ip access ex nat
permit ip any any
ip nat inside source list nat inter fast 0/0 overload
inter fast 0/0
ip nat outside
inter fast 0/1
ip nat inside

Site2
1）基础配置
inter lo 0
ip add 2.2.2.2 255.255.255.0
inter fast 0/0
ip add 10.1.1.1 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 10.1.1.254
2）IPSec VPN配置
cry isa po 10
en des
au pre
ha md5
gr 1
cry isa key cisco address 202.100.1.1
cry ip tran TRAN esp-des esp-md5-hmac
mode tunnel
ip access ex vpn
permit ip host 2.2.2.2 host 1.1.1.1
cry map CMAP 10 ipsec-isa
set peer 202.100.1.1
set tran TRAN
match add vpn
inter fast 0/0
cry map CMAP

配置完毕以上各台设备后，我们开始做ping测试，Site2 ping Site1
Site2#p 1.1.1.1 source 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
.....
Success rate is 0 percent (0/5)
Site2#p 1.1.1.1 source 2.2.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
.....
Success rate is 0 percent (0/5)

//很明显，路由已经通了，但是ping不通
Site1#p 2.2.2.2 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
U.U.U
Success rate is 0 percent (0/5)

***按道理说，Site2在这里应该能够ping通"1.1.1.1/24"，所以我们在Site1 fast 0/0接口上抓包，情况如下

我们打开这个"黑色"的ICMP包

显示"Port Unreachable"。我在GLAB郭主任的视频中没有发现这个问题，他在这一步就能再Site2上ping通"1.1.1.1"。

这个实验，我来来回回做了好几次，总是卡在这一步，所以想请在屏幕前的你们支持解决这个问题，谢谢

zou8412 · 发表于 2020-6-14 12:34:40

site1应该不配nat吧？

锐意精通 · 发表于 2020-6-14 18:09:43

占个沙发

锐意精通 · 发表于 2020-6-15 08:15:01

帮忙答个疑呗

锐意精通 · 发表于 2020-6-18 14:25:38

坛里的各位，帮忙值条明路把

锐意精通 · 发表于 2020-6-18 17:13:57

实验室依照GLAB郭主任的视频做的，应该没有错

rikkukim · 发表于 2020-7-31 15:33:16

本帖最后由 rikkukim 于 2020-7-31 15:38 编辑

没看见你deny感兴趣流，如果在nat处没有出现deny感兴趣流的话，路由器默认走默认路由进行nat转换。不在进行crypto-map的映射进行加密。

修改site1 配置如下（红色字体），（site2也一样，在nat转换的acl上同样需要deny感兴趣流）

2）NAT配置

ip access ex nat

deny ip host 1.1.1.1 host 2.2.2.2

permit ip any any

ip nat inside source list nat inter fast 0/0 overload

inter lo 0

ip nat inside

inter fast 0/0

ip nat outside

rikkukim · 发表于 2020-7-31 15:39:16

本帖最后由 rikkukim 于 2020-7-31 15:41 编辑

是可以配置nat的，不做nat的话，你内网其他设备不上互联网的嘛？

锐意精通 · 发表于 2020-8-7 09:21:12

rikkukim 发表于 2020-7-31 15:39
是可以配置nat的，不做nat的话，你内网其他设备不上互联网的嘛？

谢谢您的回复，谢谢

账号		自动登录	找回密码
密码			论坛注册

[求助] 在做NAT-T实验中的问题

最佳答案

客服中心

投诉建议