有關CISCO ROUTER NAT問題

nat

vvct 2019-04-11 18:00:20 ‧ 2051 瀏覽

分享至

請問我要將一台設備做NAT 一對一對應外部IP

我設定了

ip nat inside sou static 內部IP 外部IP

也設定f0/0是 inside 跟 S0/0是outside

可是由連外部IP卻顯示無法連接網頁

是我少設定甚麼嗎用sh ip nat tr去看是有對應

請大家幫忙是那裡有少設定到感謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

納貝

iT邦新手 1 級 ‧ 2019-04-12 11:10:03

最佳解答

假設內部IP 192.168.123.123
外部NAT 10.123.123.123

interface config要有這一句
ip nat inside

路由要有這一句
ip nat inside source static 192.168.123.123 10.123.123.123

ACL要有這一句
permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255

以上為一組完整的nat 設定
希望幫到你

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

vvct iT邦新手 5 級 ‧ 2019-04-12 12:28:29 檢舉

在 ACL 中有設定 ACC-list per 192.168.123.0 0.0.0.255
您說得 permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255 這設不進去

vvct iT邦新手 5 級 ‧ 2019-04-12 12:31:49 檢舉

我設定ip nat inside source static 192.168.123.123 10.123.123.123 這組後 ,去PING外部IP 10.123.123.123是OK,但如將內部設備網路線拿掉還是PING的到,表示有到對外的窗口,可是就是進不去

納貝 iT邦新手 1 級 ‧ 2019-04-12 13:14:06 檢舉

vvct先做個測試
你先從內部機做一個長ping去外部IP(這裡的外部IP不是10.123.12.123也不是192.168.123.123，是你的外部目的地真IP)，這一步的用意是要讓NAT的策略持續生效。

ping 外部目的地IP -t

然後你在路由器下這個指令看看有沒有出現hit record

sh ip nat translations | in 10.123.123.123

如果結果有出現紀錄，表示NAT的設定是正確的，問題很有可能出在你的ACL策略，或是中間經過的防火牆策略上，先確保你的ACL有allow到80或443端口，你說的ping成功也只不過是ICMP potocol過了而已。

另外這個指令是看有沒有traffic通過，也常用

sh ip ei topology

vvct iT邦新手 5 級 ‧ 2019-04-12 13:51:54 檢舉

在 sh ip nat translations | in 這段是有紀錄出現
sh ip ei topology 這邊就沒有出現紀錄
當我下了ip nat inside source static 192.168.123.123 10.123.123.123 不就表示我是全部Mapping
我的ACL 要怎麼下呢

納貝 iT邦新手 1 級 ‧ 2019-04-12 14:18:27 檢舉

你可以參考這篇中文教學
https://giboss.pixnet.net/blog/post/26846168-access-list%E8%A8%AD%E5%AE%9A

我舉其中一個情境的例子，假設你是白名單的方式設定ACL(白名單意思是你有一句deny ip any any指令存在)，你可以跟著下面指令

#conf t
(config)#ip access-list extended 你的access-list名字
(config-ext-nacl)#permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255
(config-ext-nacl)#end