iT邦幫忙

0

有關CISCO ROUTER NAT問題

nat
vvct 2019-04-11 18:00:202062 瀏覽
  • 分享至 

  • xImage

請問我要將一台設備做NAT 一對一 對應外部IP

我設定了

ip nat inside sou static 內部IP 外部IP

也設定f0/0是 inside 跟 S0/0是outside

可是由連外部IP卻顯示無法連接網頁

是我少設定甚麼嗎 用sh ip nat tr去看是有對應

請大家幫忙是那裡有少設定到 感謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
納貝
iT邦新手 1 級 ‧ 2019-04-12 11:10:03
最佳解答

假設內部IP 192.168.123.123
外部NAT 10.123.123.123

interface config要有這一句
ip nat inside

路由要有這一句
ip nat inside source static 192.168.123.123 10.123.123.123

ACL要有這一句
permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255

以上為一組完整的nat 設定
希望幫到你

看更多先前的回應...收起先前的回應...
vvct iT邦新手 5 級 ‧ 2019-04-12 12:28:29 檢舉

在 ACL 中有設定 ACC-list per 192.168.123.0 0.0.0.255
您說得 permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255 這設不進去

vvct iT邦新手 5 級 ‧ 2019-04-12 12:31:49 檢舉

我設定ip nat inside source static 192.168.123.123 10.123.123.123 這組後 ,去PING外部IP 10.123.123.123是OK,但如將內部設備網路線拿掉還是PING的到,表示有到對外的窗口,可是就是進不去

納貝 iT邦新手 1 級 ‧ 2019-04-12 13:14:06 檢舉

vvct先做個測試
你先從內部機做一個長ping去外部IP(這裡的外部IP不是10.123.12.123也不是192.168.123.123,是你的外部目的地真IP),這一步的用意是要讓NAT的策略持續生效。

ping 外部目的地IP -t

然後你在路由器下這個指令看看有沒有出現hit record

sh ip nat translations | in 10.123.123.123

如果結果有出現紀錄,表示NAT的設定是正確的,問題很有可能出在你的ACL策略,或是中間經過的防火牆策略上,先確保你的ACL有allow到80或443端口,你說的ping成功也只不過是ICMP potocol過了而已。

另外這個指令是看有沒有traffic通過,也常用

sh ip ei topology
vvct iT邦新手 5 級 ‧ 2019-04-12 13:51:54 檢舉

在 sh ip nat translations | in 這段是有紀錄出現
sh ip ei topology 這邊就沒有出現紀錄
當我下了ip nat inside source static 192.168.123.123 10.123.123.123 不就表示我是全部Mapping
我的ACL 要怎麼下呢

納貝 iT邦新手 1 級 ‧ 2019-04-12 14:18:27 檢舉

你可以參考這篇中文教學
https://giboss.pixnet.net/blog/post/26846168-access-list%E8%A8%AD%E5%AE%9A

我舉其中一個情境的例子,假設你是白名單的方式設定ACL(白名單意思是你有一句deny ip any any指令存在),你可以跟著下面指令

#conf t
(config)#ip access-list extended 你的access-list名字
(config-ext-nacl)#permit ip 192.168.123.0 0.0.0.255 10.123.123.0 0.0.0.255
(config-ext-nacl)#end
vvct iT邦新手 5 級 ‧ 2019-04-12 14:33:57 檢舉

感謝
網頁還是無法打開,但是服務有過,應用上應該沒問題,麻煩您花時間.

納貝 iT邦新手 1 級 ‧ 2019-04-12 14:34:12 檢舉

vvct所以你問題有解決了嗎?
我個人好奇而已

納貝 iT邦新手 1 級 ‧ 2019-04-12 14:34:29 檢舉

瞭解瞭解

納貝 iT邦新手 1 級 ‧ 2019-04-12 14:38:03 檢舉

我補充一句路由器的運作方式

路由這種東西講求去、跟返的雙向路由存在,我剛跟你講的只針對單邊而已,因為我預設你的返回路由已經存在(通常內部去外部都會有一條全0的default route)

策略(ACL)就只需要有單向的權限已經足夠

vvct iT邦新手 5 級 ‧ 2019-04-12 14:42:00 檢舉

問題算可以處理,服務正常,只是我比較要求要更好.

我要發表回答

立即登入回答