下图拓扑,192.168.3.0为内部局域网段。 Host3为移动用户, R1的默认网关200.200.200.1 R1为VPN server,思科路由器, 所以client端安装cisco VPNclient拨号软件。 R1没有配置隧道分离。
R1 上配置如下-- hostname R2691
!
username vc password pass02
aaa new-model
!
aaa authentication login default local
aaa authentication login vc_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network vc_vpn_group_ml_1 local aaa session-id common
ip subnet-zero
!
no ip domain lookup
!
ip cef
ip audit po max-events 100
!
crypto isakmp policy 1 encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group test
key test02
pool vc_pool_1
!
crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac ! cryptodynamic-map vc_dynmap_1 1
set transform-set esp-3des-sha
reverse-route
!
crypto map vc_cmap_1 client authentication list vc_vpn_xauth_ml_1 cryptomap vc_cmap_1 isakmp authorization list vc_vpn_group_m1_1 cryptomap vc_cmap_1 client configuration address respond cryptomap vc_cmap_1 65535 ipsec-isakmp dynamic vc_dynmap_1 !
interface FastEthernet0/0
ip address 192.168.3.7 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.200.200.2 255.255.255.240
ip nat outside
duplex auto
speed auto
crypto map vc_cmap_1
ip local pool vc_pool_1 10.0.0.110.0.0.200
ip nat inside source list 120 interface FastEthernet0/1overload //内网符合list 120的流量NAT转换访问internet
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 200.200.200.1
!
access-list 120 deny ip 192.168.3.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 120 permit ip any any
! //对于内部192.168.3.0去往client的流量不做NAT,其余流量做NAT转换,内网用户就可以上网了。
end R2691# 问题:host3 拨vpn后,得到 IP为10.0.0.5,去ping 202.96.209.5,ping包从F0/1进入R1,查看路由表,应该走默认路由,丢向F0/1,但从F0/1出去竟然没有执行NAT转换, 这是为什么? 原来是希望ezvpn client用户上网流量也从VPN server走。所以用ping包来测试。 | 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2017-1-24 21:15:17
置顶卡
喧嚣卡
变色卡
千斤顶
助人为乐,要啥自行车。
楼主