Cisco 1841 - NAT 구성 문제

tag-icon tag-icon cisco router nat
Cisco 1841 - NAT 구성 문제

우리는 최근 요구 사항을 해결하기 위해 오래된 Cisco 1841을 발굴하고 이를 적절하게 구성하려고 노력하고 있습니다. 분명히 이것은 Cisco Routing의 땅으로의 첫 번째 탈출입니다. 올바른 NAT 규칙을 조합하려고 노력했지만 뭔가 잘못되었습니다.

상황을 알려드리기 위해 외부 인터넷 연결이 fa0/1로 들어가도록 했습니다. 그런 다음 Cisco 방화벽이 fa0/0으로 이동합니다. 이제 더 멀리 나아가기 전에 Cisco 방화벽이 적절하게 구성되어 있다는 사실을 알게 되었습니다. 1841로 교체하기 전에 있던 원래 라우터는 잘 작동했습니다. 궁금한 분들을 위해 말씀드리자면, 우리는 더 이상 사용하고 싶지 않은 PBX 제공업체를 통해 Edgemark 라우터를 사용하고 있었습니다. 라우터의 필요성을 충족시키기 위해 Edgemark 라우터를 이 Cisco 라우터로 교체했습니다.

인터넷 -> Cisco 1841 FA0/1 -> Cisco 1841 FA0/0 -> Cisco ASA 5520 방화벽 -> 코어 내부 스위치

interface FastEthernet0/0
description $ETH-LAN$
ip address 67.xxx.xxx.177 255.255.255.240
ip nat inside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 65.yyy.yyy.150 255.255.255.252
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
speed 10
full-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat pool Net67 67.xxx.xxx.176 67.xxx.xxx.191 netmask 255.255.255.240
ip nat pool ovrld 67.xxx.xxx.178 67.xxx.xxx.178 prefix-length 24
ip nat inside source list 101 pool ovrld overload
ip nat outside source list 101 pool Net67 add-route
!
access-list 101 permit ip 67.xxx.xxx.176 0.0.0.15 any

이제 여기에 있는 nat 규칙은 ServerFault, Cisco 커뮤니티 및 기타 소스와 같은 사이트에서 조합한 규칙입니다. 그래도 뭔가 잘못된 것 같아요.

문제는 다음과 같습니다.

  • 내부 장치에서는 인터넷을 볼 수 없습니다.
    • 라우터는 자체적으로 8.8.8.8을 핑할 수 있습니다.
  • 내부 공용 IP로 향하는 외부 트래픽은 통과할 수 없습니다.

어떤 도움이라도 주시면 감사하겠습니다.

감사해요!

편집: 나도 시도했지만 작동하지 않았던 이전 구성은 다음과 같습니다.

interface FastEthernet0/0
 description $ETH-LAN$
 ip address 67.xxx.xxx.177 255.255.255.240
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description $ETH-WAN$
 ip address 65.yyy.yyy.150 255.255.255.252
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 speed 10
 full-duplex
!
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
access-list 101 permit ip 67.xxx.xxx.176 255.255.255.240 any
route-map nonat permit 10 
match ip address 101

답변1

우선 이중 믹스 매치가 있습니다. 구성이 제대로 작동하도록 테스트하려면 두 인터페이스를 모두 이중 자동으로 설정하는 것이 좋습니다(속도 외에도). 또한 내부 트래픽이 외부 인터페이스를 향하도록 내부 외부 과부하 설명을 변경하겠습니다. 즉. 소스 목록 101 인터페이스 fastethernet 0/1 과부하 내부의 ip nat 이것을 시도해보고 액세스할 수 있는지 확인하십시오.... 3년 안에

관련 정보