Mise à jour:
Il semble que les cartes de routage ne correspondent qu'aux adresses IP, pas aux ports. J'ai eu une autre situation cette semaine sur un appareil, un modèle et une version de logiciel différents. J'ai fini par changer les instructions NAT en:
ip nat à l'intérieur de la source statique tcp 192.168.1.20 3389 xxxx 3389
J'ai ensuite restreint l'accès en fonction d'une liste de contrôle d'accès plutôt que d'une carte d'itinéraire. Il aurait été bien de définir le NAT conditionnel, mais il semble que cela ne fonctionne tout simplement pas.
Nous avons donc une configuration de boîte NAT assez standard pour offrir une solution NAT hébergée à un certain nombre de clients.
Voici la topologie de base:
Logiciel Cisco IOS, logiciel C2900 (C2900-UNIVERSALK9-M), version 15.2 (4) M3, LOGICIEL DE LIBÉRATION (fc2)
Le problème que j'ai est à faire avec la section route-map des instructions NAT.
ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable
ip access-list extended Customer1-forwarding-acl
permit tcp host 10.1.10.201 host a.a.a.a eq 22
permit tcp host 10.1.10.201 host b.b.b.b eq 22
route-map Customer1-portforwarding permit 10
match ip address Customer1-forwarding-acl
Je crois que j'ai la bonne compréhension de la feuille de route. Il est destiné à désigner ce qui est autorisé à NAT et ce qui ne l'est pas. J'essaie essentiellement de le configurer pour autoriser uniquement les traductions à partir d'adresses de source publique spécifiques. Ça ne semble pas faire ça. Il semble autoriser des traductions à partir de n'importe quelle adresse publique.
J'ai complètement changé l'ACL en une instruction 'deny ip any any' et elle le permet toujours. Je suis un peu perdu. Il semble que la carte d'itinéraire ne fasse rien.
Toute aide serait grandement appréciée!
À votre santé,
H
Réponses:
je crois que le problème est dans la configuration VRF elle-même, donc veuillez vérifier le suivant
1. configurez 'ip vrf forwarding Customer1-portforwarding' sous les interfaces impliquées dans NAT (nat inside, nat outside interfaces)
2. si votre liste d'accès utilisera le Table de routage VRF, vous devez donc ajouter la commande «set vrf Customer1-portforwarding» sous la configuration de la route-map pour utiliser la table de routage VRF
3. rendre votre route-map plus spécifique en définissant le saut suivant
4. vérifier le NAT en utilisant «sh ip commande nat translation '
utiliser ces URL
NAT sur VRF
Route-map sur VRF
la source
Je me rends compte que ce message est ancien mais je voulais poursuivre sur celui-ci, juste au cas où vous auriez ce problème en suspens.
Juste curieux de savoir si l'adresse IP sur laquelle vous essayez ce NAT, en dehors de Global, est également sur le même VRF que le client. Si c'est le cas, vous pouvez essayer: match-in-vrf
J'essaierais également deux autres méthodes: 1.) modifier votre ACL pour la route-map, pour avoir la même source que l'IP que vous souhaitez également NAT. Si nous lisons de gauche à droite sur les règles NAT, il est possible que cela ne soit analysé qu'après la traduction. 2.) essayez ip nat en dehors de la source statique tcp ... Je ne sais pas lequel fonctionnerait mais ce serait bien de voir un débogage comme celui-ci:
la source
Essayez de supprimer le port 22 de:
ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendablela source
Dans la déclaration NAT, vous indiquez que le port SOURCE est 22 sur l'adresse interne, mais sur votre ACL, vous mettez "eq 22" du côté DESTINATION. Essayez soit de supprimer "eq 22" de votre liste de contrôle d'accès de routemap, soit de le placer du bon côté (source) pour qu'il corresponde à votre instruction NAT.
la source
Il semble que la carte d'itinéraire présente certains problèmes. Je n'ai pas pu résoudre plus loin.
la source