f100防火墙nat问题
- 0关注
- 1收藏,1155浏览
问题描述:
公司有一条专上线在0/2的端口配置了地址是10.3.128.52 ,可以ping通对端IP10.3.128.49 对方给了一个nat地址 10.16.3.0/27 在0/3端口上连接的是一个3600的交换机,下面的客户端是192.168.10.0 /24 请问怎么才能让客户端通过nat访问10.3.128.49 ?拜托了,想了好几天了
- 2018-11-18提问
- 举报
-
(0)
最佳答案
0/3接口配置192.168.10.0段的ip,作为内网pc的网关。
在端口0/2上配置nat outbound,参考配置如下:
#
acl num 3000 (也可能是acl advance 3000)
rule permit ip souce 192.168.10.0 0.0.0.255
#
nat address-group 0
address 10.16.3.0 10.16.3.31
#
在接口0/2 上配置
nat outbound 3000 address-group 0
#
为了确保做了地址转换后的报文能够回程,需要在对方设备上配置目的为10.16.3.0/27网段的路由,下一跳为你这边的出口地址,即0/2的接口IP: 10.3.128. 52
- 2018-11-18回答
- 评论(7)
- 举报
-
(0)
收到,非常感谢,明天试试
现在在防火墙上我能ping通10.192.23.22 可是客户端上ping不通 ,我查了一下nat没有成功,我现在该怎么弄?
客户端的网关是多少呢,需要设置成0/3端口的IP,0/3端口的地址应该是:192.168.10.0网段的,例如192.168.10.1之类。你可以在防火墙带源地址ping一下公网,如下:ping -a 192.168.10.1 10.192.23.22,看看能否ping通。如果不通,可能是对端没有配置好回程路由、 为了确保做了地址转换后的报文能够回程,需要在对方设备上配置目的为10.16.3.0/27网段的路由,下一跳为你这边的出口地址,即0/2的接口IP: 10.3.128. 52
0/3的IP是192.168.10.1 客户端的网关192.168.10.1
[VPN_1000_S]dis nat all 地址集的信息: 2 : 从 10.16.3.2 到 10.16.3.5 地址转换关联表的信息: Ethernet0/3: acl(2000) --- 接口 Ethernet0/2: acl(3006) --- 地址集(2) 静态地址转换表的信息: 没有配置任何静态地址转换表 内部服务器的信息: 没有配置任何内部服务器 域名映射信息: 没有配置任何域名映射 地址转换超时时间信息: tcp ---- 超时时间是 86400 (秒) udp ---- 超时时间是 300 (秒) icmp ---- 超时时间是 60 (秒) pptp ---- 超时时间是 86400 (秒) dns ---- 超时时间是 60 (秒) tcp-fin ---- 超时时间是 60 (秒) tcp-syn ---- 超时时间是 60 (秒) ftp-ctrl ---- 超时时间是 7200 (秒) ftp-data ---- 超时时间是 300 (秒) 内部服务器信息: 没有配置内部服务器组
现在是看不到任何nat转换的信息
0/3接口的acl 2000是干吗的?能否把你的完整配置(命令行的)贴下?
要把192.168.10.0/24网段转换成10.16.3.0/27 ?
- 2018-11-18回答
- 评论(15)
- 举报
-
(0)
现在在防火墙上我能ping通10.192.23.22 可是客户端上ping不通 ,我查了一下nat没有成功,我现在该怎么弄?
是的,初步设置一个地址池,10.16.3.2-10.16.3.5然后能访问10.3.12849
system nat address-group 1 address 10.16.3.2 10.16.3.5 quit interface g0/2 nat outbound address-group 1
system
nat address-group 1
address 10.16.3.2 10.16.3.5
quit
interface g0/2
nat outbound address-group 1
谢谢,明天试试
不用加入rule 1 sour permit source 192.168.10.0 0.0.0.255吗?
加不加都可以
我现在还是不明白,我的内部地址转换成了10.16.3.2了 ,可是怎么通过10.3.128.52 出去呢?
为什么要通过52出去?你的要求不是要转换成10.16.3.0/27吗!如果要转换成52直接nat outbound就行了就不用配置地址组了
是转换成10.16.3.0/27 可是要能ping通49,我不明白,转换以后就能直接ping通49了?
现在在防火墙上我能ping通10.192.23.22 可是客户端上ping不通 ,我查了一下nat没有成功,我现在该怎么弄?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
0/3接口的acl 2000是干吗的?能否把你的完整配置(命令行的)贴下?