扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
huadong(config)#ip nat inside source route-map abc interface serial0/0 overload
上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。
以下是测试命令,通过该命令,可以判断配置是否有根本的错误。例如,在命令的输出中,说明了内部接口和外部接口。并注意检查输出与实际要求是否相符。
huadong#show ip nat stat
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
Ethernet0/0
……
在IP地址为172.17.1.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。
c:>ping 210.75.32.10
……
Reply from 210.75.32.10: bytes=32 time=1ms TTL=255
……
c:>ping http://www.ninemax.com
……
Reply from 211.100.15.36: bytes=32 time=769ms TTL=248
……
此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。
huadong#show ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 210.75.32.9:1975 172.17.1.100:1975 210.75.32.10:1975 210.75.12.10:1975
……
以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问Internet。当然,如果业务要求,不允许所有的内部员工/计算机,或只允许部分内部计算机访问Internet,那么,只需要适当修改上述配置命令,即可实现
3. 配置ESP-DES IPSec并测试
以下配置是配置VPN的关键。首先,VPN隧道只能限于内部地址使用。如果有更多的内部网络,可在此添加相应的命令。
huadong(config)#access-list 105 permit ip 172.17.1.0 0.0.0.255 172.16.0.0 0.0.255.255
huadong(config)#access-list 106 permit ip 172.17.1.0 0.0.0.255 172.17.2.0 0.0.0.255
huadong(config)#access-list 107 permit ip 172.17.1.0 0.0.0.255 172.17.3.0 0.0.0.255
指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法,也可以使用md5算法。
在IKE协商过程中使用预定义的码字。
huadong(config)#crypto isakmp policy 10
huadong(config-isakmp)#hash sha
huadong(config-isakmp)#authentication pre-share
huadong(config-isakmp)#exit
针对每个VPN路由器,指定预定义的码字。可以一样,也可以不一样。但为了简明起见,建议使用一致的码字。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者