内网设备访问外网时需要在MSR56上进行目的地址和源地址的转变,且只对特定的源地址进行访问目的地址的转变。
acl advanced 3000
rule 10 permit ip source 1.1.1.1 0 destination 1.1.1.10 0 //acl里去匹配 内网1.1.1.1的地址去访问1.1.1.10的报文。
#
interface GigabitEthernet0/0 //内网口
port link-mode route
combo enable copper
ip address 1.1.1.2 255.255.255.0
nat server protocol tcp global 1.1.1.2 1.1.1.10 inside 100.1.1.1 100.1.1.9 acl 3000 // 地址数要对应,DIP 1.1.1.2-1.1.1.10的转为100.1.1.1-100.1.1.9,也可以用同个地址的不同转口号转不同地址等方式。
#
interface GigabitEthernet0/1 //外网接口
port link-mode route
combo enable copper
ip address 2.2.2.1 255.255.255.0
nat outbound //转源地址
#
ip route-static 100.1.1.0 24 2.2.2.2
Deb:
*Dec 21 10:34:30:886 2021 R2 NAT/7/COMMON:
PACKET: (GigabitEthernet0/0-in-config) Protocol: TCP
1.1.1.1:42252 - 1.1.1.10: 23(VPN: 0) ------> //转目的地址
1.1.1.1:42252 - 100.1.1.9: 23(VPN: 0)
*Dec 21 10:34:30:886 2021 R2 NAT/7/COMMON:
PACKET: (GigabitEthernet0/1-out-config) Protocol: TCP
1.1.1.1:42252 - 100.1.1.9: 23(VPN: 0) ------> //转源地址
2.2.2.1: 1029 - 100.1.1.9: 23(VPN: 0)
*Dec 21 10:34:30:886 2021 R2 NAT/7/COMMON:
PACKET: (GigabitEthernet0/1-in-session) Protocol: TCP
100.1.1.9: 23 - 2.2.2.1: 1029(VPN: 0) ------>
100.1.1.9: 23 - 1.1.1.1:42252(VPN: 0)
*Dec 21 10:34:30:886 2021 R2 NAT/7/COMMON:
PACKET: (GigabitEthernet0/0-out-session) Protocol: TCP
100.1.1.9: 23 - 1.1.1.1:42252(VPN: 0) ------>
1.1.1.10: 23 - 1.1.1.1:42252(VPN: 0)
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作