具有多个接口的 IOS NAT

具有多个接口的 IOS NAT

我正在尝试使用 Cisco NAT 在两个内部网络之间创建 DMZ 类型的环境。以下配置允许两个“nat outside”接口通过 10.0.0.50 和 172.26.100.50 隐藏 nat IP 地址访问 dmz“nat inside”服务器。但是,服务器 (192.168.1.2) 在访问其他两个设备时未被 nat 处理。

我需要它进行双向 nat,以便隐藏“nat inside”网络。例如,10.0.0.2 能够 ping/telnet 到 10.0.0.50 并访问 192.168.1.2 设备并成功转换。但是,当 192.168.1.2 telnet 到 10.0.0.2 时,流量显示原始 IP 地址,而不是所需的 10.0.0.50 地址。

!
interface GigabitEthernet0/0
 description insidetrusted
 ip address 172.26.100.10 255.255.255.0
 ip nat outside
!
interface GigabitEthernet0/1
 description dmz
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
!
interface GigabitEthernet0/2
 description outside
 ip address 10.0.0.1 255.255.255.0
 ip nat outside
!
!
ip nat inside source static 192.168.1.2 10.0.0.50 route-map netoutside
ip nat inside source static 192.168.1.2 172.26.100.50 route-map netinside

!
route-map netoutside permit 10
 match ip address 101
 match interface GigabitEthernet0/2
!
route-map netinside permit 10
 match ip address 100
 match interface GigabitEthernet0/0
!

我研究中使用的资源:

答案1

问题的根源是我的 ACL 末尾的“log”关键字。

access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255 **log**
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255 **log**

根据 Cisco 的说法,您永远不应将“log”与 NAT ACL 一起使用。观察到的行为是,流量在一个方向上可以正确进行 NAT,但在另一个方向上不会应用 NAT。

更正后的 ACL 为:

access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255

相关内容