在重叠网络中使用

NAT目录简介先决条件要求使用的组件规则配置网络图配置验证故障排除相关信息简介本文档介绍如何使用网络地址转换(NAT)重叠网络.
当您将一个IP地址分配给网络上的设备,但该IP地址已经被互联网或外部网络上的其他设备合法拥有时,会产生重叠网络.
在各自网络中都使用RFC1918IP地址的两个公司合并的时候,也会产生重叠网络.
这两个网络需要进行通信,但最好不要重新为其所有设备分配地址.
先决条件要求对IP编址、IP路由和域名系统(DNS)信息的基本了解对理解本文内容有用.

使用的组件NAT的支持在CiscoIOS软件版本11.
2开始.
有关平台支持的详细信息,请参阅NAT常见问题.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
配置本部分提供有关如何配置本文档所述功能的信息.
注意:要查找本文档所用命令的其他信息,请使用命令查找工具(仅限注册用户).

网络图本文档使用下图所示的网络设置.
注意:内部设备和它希望与之通信的外部设备有相同的IP地址.
配置路由器A为NAT配置,这样它将内部设备转换到来自池"测试环路"的地址,把外部设备转换到来自"test-dns"池的地址.
有关此配置如何帮助重叠的说明,请参阅以下配置表.

路由器A!
version11.
2noserviceudp-small-serversnoservicetcp-small-servers!
hostnameRouter-A!
!
ipdomain-namecisco.
comipname-server171.
69.
2.
132!
interfaceLoopback0ipaddress1.
1.
1.
1255.
0.
0.
0!
interfaceEthernet0ipaddress135.
135.
1.
2255.
255.
255.
0shutdown!
interfaceSerial0ipaddress171.
68.
200.
49255.
255.
255.
0ipnatinsidenoipmroute-cachenoiproute-cachenofair-queue!
interfaceSerial1ipaddress172.
16.
47.
146255.
255.
255.
240ipnatoutsidenoipmroute-cachenoiproute-cache!
ipnatpooltest-loop172.
16.
47.
161172.
16.
47.
165prefix-length28ipnatpooltest-dns172.
16.
47.
177172.
16.
47.
180prefix-length28ipnatinsidesourcelist7pooltest-loopipnatoutsidesourcelist7pooltest-dnsipclasslessiproute0.
0.
0.
00.
0.
0.
0172.
16.
47.
145access-list7permit171.
68.
200.
00.
0.
0.
255!
!
linecon0exec-timeout00lineaux0linevty04login!
end为了让上述配置帮助完成内部设备与外部设备通信时的重叠,必须使用外部设备域名.

内部设备不能使用外部设备的IP地址,因为它与分配到自身(内部设备)的地址相同.
因此,内部设备将发送对外部设备域名的DNS查询.
内部设备的IP地址将是此查询的来源,并且由于已经配置了ipnatinsidesourcelist命令,该地址将被转换为来自"测试环路"池的一个地址.
DNS服务器回复来自池"测试环路"的地址,同时提供与信息包有效载荷中的外部设备域名相关IP地址.
"应答数据包的目的地地址转换回内部设备的地址,并且由于ipnatoutsidesourcelist命令,应答数据包有效载荷地址被转换为来自池""test-dns""的地址.
"因此内部设备获悉该外部设备的IP地址来自"test-dns"池,并且再与外部设备通信时,它将使用此地址.
此时,运行NAT的路由器负责转换.
故障排除部分对此进程进行了详细介绍.
使用重迭地址的设备不使用DNS也能够彼此连通,但在这种情况下,必须配置静态NAT.
以下提供了如何完成此进程的示例.
路由器A!
version11.
2noserviceudp-small-serversnoservicetcp-small-servers!
hostnameRouter-A!
!
ipdomain-namecisco.
comipname-server171.
69.
2.
132!
interfaceLoopback0ipaddress1.
1.
1.
1255.
0.
0.
0!
interfaceEthernet0ipaddress135.
135.
1.
2255.
255.
255.
0shutdown!
interfaceSerial0ipaddress171.
68.
200.
49255.
255.
255.
0ipnatinsidenoipmroute-cachenoiproute-cachenofair-queue!
interfaceSerial1ipaddress172.
16.
47.
146255.
255.
255.
240ipnatoutsidenoipmroute-cachenoiproute-cache!
ipnatpooltest-loop172.
16.
47.
161172.
16.
47.
165prefix-length28ipnatinsidesourcelist7pooltest-loopipnatoutsidesourcestatic171.
68.
200.
48172.
16.
47.
177ipclasslessiproute0.
0.
0.
00.
0.
0.
0172.
16.
47.
145iproute172.
16.
47.
160255.
255.
255.
240Serial0!
---ThislineisnecessarytomakeNATworkforreturntraffic.
!
---Therouterneedstohavearouteforthepooltotheinside!
---NATinterfacesoitknowsthatatranslationisneeded.
access-list7permit171.
68.
200.
00.
0.
0.
255!
!
linecon0exec-timeout00lineaux0linevty04login!
end有了上述配置,当内部设备想与外部设备通信时,它可以使用IP地址172.
16.
47.
177,但不需要DNS.
如上所述,内部设备的地址的转换仍然要动态完成,这意味着创建转换之前路由器必须从内部设备得到信息包.
为此,内部设备必须首次启动所有连接,以便让内部设备和外部设备进行通信.
如果外部设备必须启动内部设备连接,那么内部设备地址也必须静态配置.

验证当前没有可用于此配置的验证过程.
故障排除本部分提供的信息可用于对配置进行故障排除.
内部设备使用DNS与外部设备进行通信的流程(如上所述)可以通过下列故障排除流程详细查看.

当前用showipnattranslations命令看到的转换表里没有发生转换过程.
以下示例改为使用debugippacket和debugipnat命令.
注意:debug命令会产生大量输出.
只有在IP网络的数据流很低时才能使用它,以便系统上的其他操作不会受到负面影响.
Router-A#showipnattranslationsRouter-A#showdebugGenericIP:IPpacketdebuggingison(detailed)IPNATdebuggingison当内部设备向驻留再NAT域外面的DNS服务器发送DNS查询时,由于ipnatinside命令,DNS查询的源地址(内部设备地址)将被转换.
此内容可在以下debug输出中显示.
NAT:s=171.
68.
200.
48->172.
16.
47.
161,d=171.
69.
2.
132[0]IP:s=172.
16.
47.
161(Serial0),d=171.
69.
2.
132(Serial1),g=172.
16.
47.
145,len66,forwardUDPsrc=6988,dst=53在DNS服务器发送DNS回复时,由于ipnatoutside命令存在,所以DNS回复的有效载荷可以进行转换.
注意:除非转换发生在应答数据包的IP头上,否则NAT不查看DNS回复的有效载荷.
请参阅以上路由器配置中的ipnatoutsidesourcelist7pool命令.
下面调试输出的第一NAT消息表示,路由器认可DNS回复,并且将有效载荷的IP地址转换到172.
16.
47.
177.
第二个NAT消息显示路由器转换DNS回复的目的地,因此它能将回复转发到执行最初DNS查询的内部设备上.
报头的目标部分(内部全局地址)将转换为内部本地地址.