1.关于拓扑图的说明
   a。Isa2006为公司办公网络的默认网关,ISA通过ADSL路由器实现NAT接入Internet
   b。cisco路由器的用途是用来连接远端一处在线业务数据中心的MPLS接入终端,连接到远端数据中心,并且只有192.168.100.0/24的网段允许到远端数据中心,实现数据中心管理控制台和内部办公网络的隔离。
 
与ISA2006相关的路由配置一例_职场
 
 
2.业务变更产生新需求。
   由于业务变更,导致某个同事需要频繁访问到远端数据中心的某项应用,但是192.168.100.253的管理控制台去访问数据中心又非常不方便,因为和办公网络隔离。
3.解决办法
给拓扑图中的cisco路由器配置一个192.168.1.2的ip接入到办公网络的交换机;当192.168.1.0/24的电脑访问远端数据中心的服务(假设需要访问192.168.200.1这台位于数据中心的服务器),通过默认网关192.168.1.1将数据转发到192.168.1.2,再从cisco路由器通过MPLS vpn 到底远端的192.168.200.1
4.实现过程
假设192.168.1.10需要访问192.168.200.1上的服务。它的数据流大概如下:
a。192.168.1.10将目标地址192.168.200.1的数据请求发送给默认网关192.168.1.1
b。ISA在拿到数据后,比较ISA设置的网络规则,在未做配置前,发现192.168.200.0的网端并不含在预设的INTRANET内,于是将当做EXTRANET发送到外网方向,造成访问失败。
c。假定,在ISA新加一个网络名datacenter含192.168.200.1的地址,并将它和intranet的关系设置为“路由”。ISA收到包以后,发现目标地址属于datacenter网络,并且根据预先设置好的路由表 router add 192.168.200.0 mask 255.255.255.0 192.168.1.2 ,会转发给192.168.1.2. 经过观察发现,数据包并未转发到192.168.1.2.  最终的解决办法是将192.168.200.1加入到ISA的intranet范围内,测试后可以将数据转发到192.168.1.2
d。 由于MPLs vpn  服务商指定了访问规则只允许预设的192.168.100.0网端通过×××。在不要求上游做更改的基础上要实现来自192.168.1.0网络的数据需要通过×××必须依靠NAT来实现,就是将接口192.168.1.2的数据NAT成192.168.100.0的数据,这样就可以通过×××。在现有的配置中,cisco所有的数据包都路由到上游IP。
e。通过nat伪装来自192.168.1.0 到192.168.200.1 的数据流。
       定义一个ACL  
ip access-list extended nat_to_100
permit ip 0.0.0.0 255.255.255.0 host 192.168.200.1
实现伪装
ip nat source list nat_to_100 interface FastEthernet0/1 overload
(注:fasterethernet0/1即为192.168.100.254的接口)
这样配置以后,所有来自192.168.1.0到192.168.200.1的数据会先做一个nat,再经过路由器的默认路由检查是,会认为是从192.168.100.254发出的数据包,顺利经过×××。