公网出接口同时配置了包过滤和NAT,包过滤匹配了内网用户的源地址。已配置相关路由,但内网用户访问不了外网。
用户的关键配置如下:
#
interface GigabitEthernet2/0/0 //设备的公网出口
port link-mode route
description ith
combo enable copper
ip address 125.69.76.100 255.255.255.0
arp send-gratuitous-arp interval 200
packet-filter 3000 inbound
packet-filter 3002 outbound
nat outbound 2001 address-group 1
#
acl basic 2001
description ith
rule 1 permit source 10.2.3.0 0.0.0.255
rule 2 permit source 10.2.4.0 0.0.0.255
rule 3 permit source 10.2.5.0 0.0.0.255
rule 4 permit source 10.2.10.0 0.0.0.255//测试用户地址段
rule 5 permit source 10.2.12.0 0.0.0.255
rule 6 permit source 10.2.13.0 0.0.0.255
rule 7 permit source 10.2.15.0 0.0.0.255
rule 8 permit source 192.168.50.0 0.0.0.255
rule 9 permit source 10.2.100.0 0.0.0.255
rule 10 permit source 10.2.11.0 0.0.0.255
rule 11 permit source 10.2.200.0 0.0.0.255
rule 20 deny
#
acl advanced 3000//与ACL3000配置无关此处配置省略
#
acl advanced 3002
rule 2 permit ip source 10.2.4.0 0.0.0.255
rule 3 permit ip source 192.168.50.0 0.0.0.255
rule 4 permit ip source 10.2.10.248 0
rule 5 permit ip source 10.2.10.240 0
rule 6 permit ip source 10.2.5.235 0
rule 7 permit ip source 10.2.3.16 0
rule 8 permit ip source 10.2.3.17 0
rule 9 permit ip source 10.2.10.211 0//测试用户地址
.
.
.
Rule 400 deny ip
#
ip route-static 0.0.0.0 0 125.69.76.1
ip route-static 10.1.0.0 16 10.2.10.199
ip route-static 10.2.0.0 16 10.2.10.252 preference 70
ip route-static 192.168.50.0 24 10.2.10.252
#
nat address-group 1
address 125.69.76.101 125.69.76.102
#
检查路由配置没有问题,检查NAT配置没有问题。通过display acl查看匹配的rule规格的匹配情况,发现acl 2001的源地址没有问题。acl 3002的匹配用户地址段rule 9规则的匹配次数没有增加,而rule 400增加。
流量匹配NAT和包过滤是有先后顺序的,流量先匹配NAT再匹配包过滤。NAT之后报文的源地址变为NAT地址池中的地址。而包过滤的acl中没有放通该地址段,导致网络中断。
在包过滤的acl中放通NAT地址池中的地址
遇到接口NAT不生效的问题,可以查看由没有NAT会话。其次查看NAT的ACL有没有和其他功能的ACL有重叠的地址段。并注意接口下,各功能ACL的下发顺序。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作