Cisco IOS、多个 WAN 和端口转发(外部 -> 内部 PAT)

tag-icon tag-icon cisco nat ios
Cisco IOS、多个 WAN 和端口转发(外部 -> 内部 PAT)

我一直在尝试研究如何在 Cisco IOS 路由器上完成从外部到内部的 PAT,在本例中具体是Cisco 2901正在运行的 IOS Version 15.1(4)M1

首先,我要解决的问题是,无论哪个连接是默认网关,我们都希望外部端口转发能够正常工作。
在这个特定的路由器上,我们有两个 WAN 连接。一个位于内置Gig0/0接口上,另一个位于 EHWIC 卡上,用于显示Gig0/0/0

此设备中的端口转发规则示例:
ip nat inside source static tcp 192.168.1.10 3389 x.x.x.x 3389 extendable

x.x.x.x接口的 IP 地址在哪里Gig0/0/0

Gig0/0/0如果是路由器的默认网关,则此方法可行,但如果Gig0/0是默认网关,则端口转发会中断。

还值得注意的是,该接口是所有 LAN 计算机和服务器的默认网关,并且在和都是时Gig0/1指定。ip nat insideGig0/0Gig0/0/0ip nat outside

我正在使用route-map与我的 NAT ACL 与接口匹配的项目执行标准的内部到外部 PAT。

我知道我可以摆弄ip nat outsideNAT 池,但有没有更简洁的方法来实现我想要的?即使我完全用错了方法,而且 NAT/PAT 不是我的问题的解决方案,为我指明正确的方向也会有很大帮助!

我认为这是我最好的选择的唯一原因是,我使用过的每个防火墙设备在其策略中都有执行源 NAT 转换为出口接口 IP 地址的功能,而且打开起来非常简单!

编辑:淡化配置

interface GigabitEthernet0/0
 description ----WAN_INTERFACE_PRI----
 mtu 1596
 ip address x.x.x.x 255.255.255.248
 ip access-group SECURE-IN in
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 duplex full
 speed 1000
 no cdp enable
 service-policy output EthernetAccessService
!
interface GigabitEthernet0/1
 description ----INTERNAL----
 ip address 192.168.1.1 255.255.255.0
 ip access-group OUT-FILTER in
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/0/0
 description ----WAN_INTERFACE_BACK----
 ip address y.y.y.y 255.255.254.0
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source static tcp 192.168.1.10 3389 interface GigabitEthernet0/0/0 3389
ip nat inside source route-map BACK_WAN interface GigabitEthernet0/0/0 overload no-payload
ip nat inside source route-map PRI_WAN interface GigabitEthernet0/0 overload no-payload
! <Many port forwards cut>
ip route 0.0.0.0 0.0.0.0 (x.x.x.x Gateway) permanent
ip route 0.0.0.0 0.0.0.0 (y.y.y.y Gateway) 10 permanent
!
ip access-list extended NAT-ACL
 permit ip 192.168.1.0 0.0.0.255 any
 deny   ip any any
ip access-list extended OUT-FILTER
 permit icmp any any
 permit ip object-group Unrestricted-Access-Group any
 deny   ip 192.168.1.0 0.0.0.255 any
 deny   ip any any
ip access-list extended SECURE-IN
 permit ip host <allowed telnet/ssh addresses> any
 deny   tcp any any eq telnet log
 deny   tcp any any eq 22 log
 permit ip any any
!
no cdp run
!
!
!
route-map PRI_WAN permit 10
 match ip address NAT-ACL
 match interface GigabitEthernet0/0
!
route-map BACK_WAN permit 10
 match ip address NAT-ACL
 match interface GigabitEthernet0/0/0

答案1

据我所知,路由器上有两个互联网连接 - 我猜是为了冗余。我是否可以假设,如果 Gi0/0/0 出现故障,Gi0/0 会接管您的互联网连接?

如果是这种情况,那么 PAT 转换停止工作的原因是 Gi0/0/0 用于端口 3389 的公共 IP 地址不再可用

你不能只添加第二行吗:

ip nat inside source static tcp 192.168.1.10 3389 y.y.y.y 3389 extendable

其中 yyyy 是您的 Gi0/0 接口的 IP 地址。

如果我误解了,请更详细地描述配置,或者更好的是,发布您的配置。

相关内容