穿过Twice NAT建立DMVPN

Cisco ASA上二次NAT及DMVPN建立的问题

首先要说明的是，DMVPN穿越俩NAT Device倒不是什么大问题，主要就是这个NAT已经把人搞刨烦了。之前的一段时间在现网环境中都很少接触到NAT技术，但这次算是彻彻底底的体会到了NAT的魅力了。

先看一下实验环境：

1、R1、R2分别模拟两个分支机构的对外设备

2、ASA5、ASA6上，Gi 0/0都是outside端，Gi 0/1都是inside端

3、右边ASA5上连接R4的Gi 0/2接口是DMZ端，在本次实验中暂时没有用到

4、用一个R3设备来模拟传输骨干网

为了测试NAT是否成功，首先抓包工具是必备的。但是这个EVE-NG关联wireshark需要用它的工具包内带的wireshark，单独安装的wireshark不好调整。我懒得调了，否则又要耽误一段时间。那怎么办呢？

于是，我添加了R7、R8分别作为PC

在R7、R8、R3上配置SSH功能及SSH Logging event，这样就可以查看源地址有没有被转换了。

我先说说互访需求：

R1上有一个Loopback 0地址：10.112.101.1/32

R2上有一个Loopback 0地址：10.118.101.1/32

这俩Loopback 0地址要作为Tunnel Source建立DMVPN

R1的Loopback 0地址，经过ASA5以后，被转换为10.22.101.1，再经过ASA6被转换为10.119.1.1

R2的Loopback 0地址，经过ASA6以后，被转换为10.22.102.1，再经过ASA5被转换为10.113.1.1

于是

R1的Tunnel Source是自己的真实地址10.112.101.1

R1的Tunnel Destination是经两次转换后的10.113.1.1

R2的Tunnel Source是自己的真实地址10.118.101.1

R2的Tunnel Destination是经两次转换后的10.119.1.1

看图：

刚开始配置NAT的时候

认为静态NAT一定就是会双向转换，所以犯了致命的错误！

先看看最开始的配置吧：

ASA5上

从outside方向进来的源地址10.112.101.1，转换后成为10.22.101.1

从inside方向进来的源地址10.22.102.1（该地址由R8的10.118.101.1转换而来），转换到Outside方向的接口上成为10.113.1.1

从inside方向，10.3.3.3（在R3上），转换为10.113.1.3

ASA6上

从outside方向进来的源地址10.118.101.1，转换后成为10.22.102.1

从inside方向进来的源地址，10.22.101.1（该地址由R7的10.112.101.1转换来），再到outside方向的接口上成为10.119.1.1

从inside方向，10.3.3.3（R3上），转换为10.119.1.3

这样的话，即使是R8访问R3成功，但是在R3上看见R8的地址仍然没有经过正确转换：

为什么呢？这是因为新版Cisco ASA处理NAT的时候，把源和目标地址转换分开了来处理的。

于是，这个NAT命令应该这么写：

在弄明白了新版Cisco ASA的Twice NAT配置方式以后，于是我们就可以配置R7与R8之间互访的Twice NAT了。

NAT配置成功了，下面就可以配置DMVPN了

R2作为Hub，R1作为Spoke

于是，DMVPN成功建立了哦！！！

本次实验成功验证了，DMVPN是穿越NAT设备进行建立的。过程虽然耗费了我20多个小时，甚至是连着两个晚上没有休息，但最终还是稀里糊涂地就把NAT的相关知识和技巧又进行了一遍打磨。

不管那么多了，我要去好好吃个午饭

发送评论 编辑评论