請問我要將一台設備做NAT 一對一 對應外部IP
我設定了
ip nat inside sou static 內部IP 外部IP
也設定f0/0是 inside 跟 S0/0是outside
可是由連外部IP卻顯示無法連接網頁
是我少設定甚麼嗎 用sh ip nat tr去看是有對應
請大家幫忙是那裡有少設定到 感謝
已邀請的邦友 {{ invite_list.length }}/5
假設內部IP 192.168.123.123
外部NAT 10.123.123.123
interface config要有這一句
ip nat inside
路由要有這一句
ip nat inside source static 192.168.123.123 10.123.123.123
ACL要有這一句
permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255
以上為一組完整的nat 設定
希望幫到你
在 ACL 中有設定 ACC-list per 192.168.123.0 0.0.0.255
您說得 permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255 這設不進去
我設定ip nat inside source static 192.168.123.123 10.123.123.123 這組後 ,去PING外部IP 10.123.123.123是OK,但如將內部設備網路線拿掉還是PING的到,表示有到對外的窗口,可是就是進不去
vvct先做個測試
你先從內部機做一個長ping去外部IP(這裡的外部IP不是10.123.12.123也不是192.168.123.123,是你的外部目的地真IP),這一步的用意是要讓NAT的策略持續生效。
ping 外部目的地IP -t
然後你在路由器下這個指令看看有沒有出現hit record
sh ip nat translations | in 10.123.123.123
如果結果有出現紀錄,表示NAT的設定是正確的,問題很有可能出在你的ACL策略,或是中間經過的防火牆策略上,先確保你的ACL有allow到80或443端口,你說的ping成功也只不過是ICMP potocol過了而已。
另外這個指令是看有沒有traffic通過,也常用
sh ip ei topology
在 sh ip nat translations | in 這段是有紀錄出現
sh ip ei topology 這邊就沒有出現紀錄
當我下了ip nat inside source static 192.168.123.123 10.123.123.123 不就表示我是全部Mapping
我的ACL 要怎麼下呢
你可以參考這篇中文教學
https://giboss.pixnet.net/blog/post/26846168-access-list%E8%A8%AD%E5%AE%9A
我舉其中一個情境的例子,假設你是白名單的方式設定ACL(白名單意思是你有一句deny ip any any指令存在),你可以跟著下面指令
#conf t
(config)#ip access-list extended 你的access-list名字
(config-ext-nacl)#permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255
(config-ext-nacl)#end
感謝
網頁還是無法打開,但是服務有過,應用上應該沒問題,麻煩您花時間.
vvct所以你問題有解決了嗎?
我個人好奇而已
iThome鐵人賽
看影片追技術