关于NAT的问题请教!
我在做一个关于NAT的实验,是一个两个方向的NAT,一个方向是NAT出去互联网,另一个方向是去集团总部。内网IP:172.16.16.0/24-172.16.20.0/24需求,1.内网所有终端都需要访问互联网;2.内网172.16.16.0/24-172.16.17.0/24这两个网段需要访问集团总部;3.由于前期集团对分公司网络规划不规范,导致不能使用连接集团的端口IP作为outside地址,需要使用192.168.100.3-9/24作为outside地址。
对此需求,我的配置是对出去互联网就直接使用与ISP对接接口IP使用overload;对于去往集团总部的网段首先建立NAT POOL,再使用NAT。但是遇到一个问题,我用ACL抓取路由时,如果是以下配置就可以成功:
ip nat pool test 192.168.100.3 192.168.100.9 netmask 255.255.255.0
ip nat inside source list 10 pool test overload
ip nat inside source list 20 interface Ethernet0/2 overload
access-list 10 permit 172.16.16.0 255.255.255.0
access-list 10 permit 172.16.16.0 255.255.255.0
access-list 20 permit any
但是如果是以下配置就不能成功NAT去往集团,而且去往集团亦转换成去往互联网的IP地址
ip nat pool test 192.168.100.3 192.168.100.9 netmask 255.255.255.0
ip nat inside source list 20 pool test overload
ip nat inside source list 10 interface Ethernet0/2 overload
access-list 10 permit any
access-list 20 permit 172.16.16.0 255.255.255.0
access-list 20 permit 172.16.16.0 255.255.255.0
我觉得问题就出在ACL上,但ACL的序号不只是一个名称而已,但为什么好像亦影响了执行顺序,请大大们解释一下。
个人觉得:
楼主的配置存在一个问题:针对现实情况来看的话,如果内网只存在16和17网段的话,两个ACL的效果是一样的,这种情况下极容易出现outside global 地址出现意外的地址。即需要访问集团地址的确转换成了外网地址。
建议使用扩展的ACL来获取nat的原地址,比如:
访问集团网络:
access-list 100 per 172.16.16.0 0.0.1.255 集团内网段地址
访问internet:
access-list 110 deny 172.16.16.0 0.0.1.255集团内网段地址
access-list 110 per 本单位内网段地址 any
通过有访问目的的方式来获取需要nat的原地址
不知道试一试会效果怎样
vb vb vb
页:
[1]