Cisco tĩnh NAT với bản đồ lộ trình

Cập nhật:

Có vẻ như bản đồ tuyến chỉ khớp với địa chỉ IP, không phải trên các cổng. Có một tình huống khác trong tuần này trên một thiết bị, mô hình và phiên bản phần mềm khác nhau. Đã kết thúc việc thay đổi các tuyên bố NAT thành:

ip nat bên trong nguồn tĩnh tcp 192.168.1.20 3389 xxxx 3389

Sau đó tôi đã hạn chế quyền truy cập dựa trên ACL thay vì bản đồ tuyến đường. Sẽ rất tốt để định nghĩa NATing có điều kiện, nhưng có vẻ như nó không hoạt động.

Vì vậy, chúng tôi có một thiết lập hộp NAT khá chuẩn để cung cấp giải pháp NAT được lưu trữ cho một số khách hàng.

Đây là cấu trúc liên kết cơ bản:

Phần mềm Cisco IOS, Phần mềm C2900 (C2900-UNIVERSALK9-M), Phiên bản 15.2 (4) M3, PHẦN MỀM LIÊN QUAN (fc2)

Vấn đề tôi có là liên quan đến phần bản đồ lộ trình của các báo cáo NAT.

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

Tôi tin rằng tôi có sự hiểu biết về bản đồ chính xác. Nó có nghĩa là chỉ định những gì được phép cho NAT và những gì không. Về cơ bản, tôi đang cố gắng thiết lập nó để chỉ cho phép dịch từ các địa chỉ nguồn công khai cụ thể. Nó dường như không làm điều đó. Nó dường như được cho phép dịch từ bất kỳ địa chỉ công cộng.

Tôi đã thay đổi hoàn toàn ACL thành câu lệnh 'từ chối ip bất kỳ' và nó vẫn cho phép. Tôi có một chút mất mát. Nó xuất hiện bản đồ lộ trình không làm gì cả.

Mọi sự trợ giúp sẽ rất được trân trọng!

Chúc mừng

H

Tôi tin rằng vấn đề nằm ở chính cấu hình VRF, vì vậy vui lòng kiểm tra tiếp theo
1. cấu hình 'ip vrf redirect Customer1-portforwarding' trong các giao diện liên quan đến NAT (nat bên trong, giao diện bên ngoài)
2. nếu danh sách truy cập của bạn sẽ sử dụng Bảng định tuyến VRF, do đó bạn cần thêm lệnh 'set vrf Customer1-portforwarding' trong cấu hình bản đồ tuyến để sử dụng bảng định tuyếnVRF
3. làm cho bản đồ lộ trình của bạn cụ thể hơn bằng cách đặt hop tiếp theo
4. xác minh NAT bằng cách sử dụng 'sh ip lệnh dịch

sử dụng các URL
NAT trên VRF
Bản đồ tuyến trên VRF

Tôi nhận ra bài đăng này đã cũ nhưng tôi muốn theo dõi bài này, chỉ trong trường hợp bạn gặp vấn đề này.

Chỉ tò mò nếu địa chỉ IP bạn đang thử NAT này, bên ngoài toàn cầu, cũng trên VRF giống như máy khách. Nếu vậy, bạn có thể muốn thử: match-in-vrf

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

Tôi cũng sẽ thử hai phương pháp khác: 1.) sửa đổi ACL của bạn cho bản đồ tuyến đường, để có cùng nguồn với IP mà bạn muốn NAT. Nếu chúng ta đọc từ trái sang phải trên các quy tắc NAT, nó có thể không phân tích điều này cho đến khi bản dịch xảy ra. 2.) hãy thử ip nat bên ngoài nguồn tcp tĩnh ... Tôi không chắc cái nào sẽ hoạt động nhưng thật tốt khi thấy một bản sửa lỗi như sau:

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log

Hãy thử loại bỏ cổng 22 khỏi:

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

Trong câu lệnh NAT, bạn đang chỉ ra cổng SOURCE là 22 trên địa chỉ nội bộ, nhưng trên ACL của bạn, bạn đặt "eq 22" ở phía DESTINATION. Hãy thử loại bỏ hoàn toàn "eq 22" khỏi ACL trên sơ đồ định tuyến của bạn hoặc đặt nó ở phía bên phải (nguồn) để khớp với câu lệnh NAT của bạn.

Có vẻ như bản đồ tuyến đường có một số vấn đề. Tôi không thể khắc phục sự cố thêm.