无
无
现场存在源地址转换、目的地址转换、ipsec业务、sip业务,但存在较为特殊的情况。现场192.168.1.1是内网服务器,需要给外网提供服务(通过nat server映射);同时192.168.1.1也有ipsec业务,属于感兴趣流的源地址;同时192.168.1.1还需要通过nat server reversible去访问外网。但192.168.1.1去ping10.0.0.1不通,而10.0.0.1可ping通192.168.1.1(ipsec单通)。
nat server global 3.3.3.2 inside 192.168.1.1 reversible
通过查看会话及debug nat packet发现192.168.1.1去ping10.0.0.1匹配reversible进行了源地址转换,导致不通。需在nat server中加入acl进行过滤, 由于这里是反向匹配,当192.168.1.1 ping 10.0.0.1时,acl里的deny需要写源是10.0.0.0 0.0.0.255(或者明细 源是10.0.0.0 0.0.0.255 目的是3.3.3.2 0 global地址)。 同时由于现场192.168.1.1需要去访问公网以及外网需要映射进来,所以还需写个permit ip。
若deny 10.0.0.0 0.0.0.255 到 192.168.1.0 0.0.0.255(即感兴趣反向),此时是不匹配的。
见上,关键是acl的写法。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作