Cisco 1841 - NAT の設定の問題

tag-icon tag-icon cisco router nat
Cisco 1841 - NAT の設定の問題

最近、私たちはある問題を解決するために古い Cisco 1841 を掘り出し、それを適切に構成しようとしています。確かに、これは私にとって Cisco ルーティングの世界への初めての冒険です。正しい NAT ルールをまとめようとしていますが、何かがおかしいのです。

状況を説明すると、外部インターネット接続は fa0/1 に接続されています。次に、Cisco ファイアウォールが fa0/0 に接続されています。話がそれる前に、Cisco ファイアウォールが適切に設定されていることは事実です。1841 に交換する前に設置されていた元のルータは、問題なく動作していました。疑問に思われる方もいるかもしれませんが、PBX プロバイダー経由で Edgemark ルータを使用していましたが、現在は使用していません。ルータの必要性を満たすために、Edgemark ルータをこの Cisco ルータに交換しました。

インターネット -> Cisco 1841 FA0/1 -> Cisco 1841 FA0/0 -> Cisco ASA 5520 ファイアウォール -> コア内部スイッチ

interface FastEthernet0/0
description $ETH-LAN$
ip address 67.xxx.xxx.177 255.255.255.240
ip nat inside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 65.yyy.yyy.150 255.255.255.252
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
speed 10
full-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat pool Net67 67.xxx.xxx.176 67.xxx.xxx.191 netmask 255.255.255.240
ip nat pool ovrld 67.xxx.xxx.178 67.xxx.xxx.178 prefix-length 24
ip nat inside source list 101 pool ovrld overload
ip nat outside source list 101 pool Net67 add-route
!
access-list 101 permit ip 67.xxx.xxx.176 0.0.0.15 any

ここで使用している NAT ルールは、ServerFault、Cisco Community、その他のソースなどのサイトから集めたルールです。しかし、何かが間違っていると思います。

問題は次のとおりです:

  • 内部のデバイスはインターネットを見ることができません。
    • ただし、ルータは自身から 8.8.8.8 に ping を実行できます。
  • 外部から内部のパブリック IP に向かうトラフィックは通過できません。

ご協力いただければ幸いです。

ありがとう!

編集: 以前に試した設定ですが、これも機能しませんでした。

interface FastEthernet0/0
 description $ETH-LAN$
 ip address 67.xxx.xxx.177 255.255.255.240
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ETH-WAN$
 ip address 65.yyy.yyy.150 255.255.255.252
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 speed 10
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
access-list 101 permit ip 67.xxx.xxx.176 255.255.255.240 any
route-map nonat permit 10 
match ip address 101

答え1

まず、デュプレックスのミックス マッチがあります。設定を機能させるためにテストを行う場合は、両方のインターフェイスをデュプレックス自動 (速度に加えて) にすることをお勧めします。また、内部トラフィックが外部インターフェイスを指すように、内部外部オーバーロード ステートメントを変更します。つまり、ip nat inside source list 101 interface fastethernet 0/1 overload です。これを試して、3 年後にアクセスできるかどうかを確認してください。

関連情報