我正在尝试使用思科NAT在两个内部networking之间创build一个DMZtypes的环境。 下面的configuration工作允许两个“NAT外部”接口通过10.0.0.50和172.26.100.50隐藏NAT IP地址访问服务器内的dmz'NAT'。 但是,服务器(192.168.1.2)在访问其他两个设备时没有被识别。
我需要这个双向nat为了隐藏'nat里面'networking。 例如,10.0.0.2能够ping / telnet到10.0.0.50,并访问192.168.1.2设备并被成功转换。 但是,当192.168.1.2 telnet到10.0.0.2时,stream量显示为原始IP地址,而不是所需的10.0.0.50地址。
! interface GigabitEthernet0/0 description insidetrusted ip address 172.26.100.10 255.255.255.0 ip nat outside ! interface GigabitEthernet0/1 description dmz ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface GigabitEthernet0/2 description outside ip address 10.0.0.1 255.255.255.0 ip nat outside ! ! ip nat inside source static 192.168.1.2 10.0.0.50 route-map netoutside ip nat inside source static 192.168.1.2 172.26.100.50 route-map netinside ! route-map netoutside permit 10 match ip address 101 match interface GigabitEthernet0/2 ! route-map netinside permit 10 match ip address 100 match interface GigabitEthernet0/0 ! 我在研究中使用的资源:
问题的根源在于我的ACL结尾处的“log”关键字。
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255 **log** access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255 **log**
根据思科,你不应该使用NAT ACL的“日志”。 观察到的行为是交通将在一个方向上适当的NAT,但另一方面NAT不会被应用。
更正的ACL是:
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255 access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255