我正在尝试使用 Cisco NAT 在两个内部网络之间创建 DMZ 类型的环境。以下配置允许两个“nat outside”接口通过 10.0.0.50 和 172.26.100.50 隐藏 nat IP 地址访问 dmz“nat inside”服务器。但是,服务器 (192.168.1.2) 在访问其他两个设备时未被 nat 处理。
我需要它进行双向 nat,以便隐藏“nat inside”网络。例如,10.0.0.2 能够 ping/telnet 到 10.0.0.50 并访问 192.168.1.2 设备并成功转换。但是,当 192.168.1.2 telnet 到 10.0.0.2 时,流量显示原始 IP 地址,而不是所需的 10.0.0.50 地址。
!
interface GigabitEthernet0/0
description insidetrusted
ip address 172.26.100.10 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/1
description dmz
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/2
description outside
ip address 10.0.0.1 255.255.255.0
ip nat outside
!
!
ip nat inside source static 192.168.1.2 10.0.0.50 route-map netoutside
ip nat inside source static 192.168.1.2 172.26.100.50 route-map netinside
!
route-map netoutside permit 10
match ip address 101
match interface GigabitEthernet0/2
!
route-map netinside permit 10
match ip address 100
match interface GigabitEthernet0/0
!
我研究中使用的资源:
答案1
问题的根源是我的 ACL 末尾的“log”关键字。
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255 **log**
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255 **log**
根据 Cisco 的说法,您永远不应将“log”与 NAT ACL 一起使用。观察到的行为是,流量在一个方向上可以正确进行 NAT,但在另一个方向上不会应用 NAT。
更正后的 ACL 为:
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255