设置 Cisco IOS 静态 NAT

tag-icon tag-icon cisco nat ios
设置 Cisco IOS 静态 NAT

我正在尝试允许访问同一栋楼内不同 LAN 上的打印机。我只能控制其中一个网络...我尝试不使用其他路由器,但失败了看这里

我现在有一台运行 IOS 12.2(eBay 专用)的 Cisco 2611 来接入网络。我无法路由,因为我无法控制远程网络上的设置,我只能以路由器上某个接口的形式添加 IP 地址 - 所以我只能进行静态 NAT。

我们的网络:10.0.0.0/24 我们的路由器接口 e0/0 10.0.0.200 他们的网络:192.168.2.0/24 他们的路由器接口 e0/1 192.168.2.200 他们的打印机 192.168.2.50

所以我想做一个从 10.0.0.200 到 192.168.2.50 的静态 NAT

我的节目运行配置

Fibrotech(config)#do sh ru
Building configuration...

Current configuration : 573 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Fibrotech
!
ip subnet-zero
!
interface Ethernet0/0
ip address 10.0.0.200 255.255.255.0
ip nat outside
full-duplex
!  
interface Ethernet0/1
ip address 192.168.2.200 255.255.255.0
ip nat inside
full-duplex
!
ip nat inside source static 192.168.2.50 10.0.0.200 extendable
ip classless
no ip http server
ip pim bidir-enable
!
line con 0
line aux 0
line vty 0 4
!
end

Wireshark 显示请求确实从我们的网络到达了 192.168.2.50,但源地址为(例如)10.0.0.5。由于没有到 10.0.0.0 网络的路由,因此失败。

那么我怎样才能正确地进行 NAT,以便源地址成为路由器的内部接口?

编辑 - 已从 sh ru 中删除端口 80,只需将其作为直接静态映射即可。此外,所使用的路由器不是任一网络的网关,任一网络对路由器的唯一了解就是每个接口上的 IP 地址。

答案1

最后,我不得不借助作为网关的 Cisco 877 的帮助,并通过路由器设置到另一个网络的静态路由。

答案2

它不起作用,因为您只在目标地址上执行 NAT。正如您所指出的,打印机看到连接来自它无法到达的真实 10.0.0.x 源。您需要添加第二个ip nat语句来 NAT 客户端源地址,并交换ip nat insideip nat outside语句。

尝试一下这个:

interface Ethernet0/0
 ip address 10.0.0.200 255.255.255.0
 ip nat inside
!  
interface Ethernet0/1
 ip address 192.168.2.200 255.255.255.0
 ip nat outside
!
ip nat inside source list acl_nat_inside interface Ethernet0/1 overload
ip nat outside source static tcp 192.168.2.50 80 10.0.0.50 80 add-route
!
ip access-list extended acl_nat_inside
 permit tcp 10.0.0.0 0.0.0.255 host 10.0.0.50 eq www

这将导致 TCP 端口 80 流量进入 10.0.0.50,其源(本地内部)被 NAT 为 Eth0/1 的 IP(全局内部),其目标(本地外部)被 NAT 为 192.168.2.50(全局外部)。这将使 10.0.0.x 上的客户端连接到 10.0.0.50 地址进行打印,而 192.168.2.50 上的打印机将认为它们来自 192.168.2.200,因此它将知道如何回复它们。

假设尝试打印的客户端位于 10.0.0.100,则路由器上的转换将如下所示:

Fibrotech#sh ip nat trans
Pro Inside global      Inside local       Outside local      Outside global
tcp 192.168.2.200:2075 10.0.0.100:2075     10.0.0.50:80     192.168.2.50:80
tcp ---                ---                 10.0.0.50:80     192.168.2.50:80

当我测试这个(在运行 12.2(40) 的 3620 上)时,我无法使用路由器自己的 IP 地址作为目标 NAT 地址来使其工作。我不得不选择另一个本地 IP 用于此目的(在此示例中显示为 10.0.0.50)。

相关内容