Недавно мы откопали старый Cisco 1841, чтобы решить одну проблему, и сейчас пытаемся настроить его соответствующим образом. Признаюсь, это мой первый выход в мир маршрутизации Cisco. Я пытаюсь собрать воедино правильные правила NAT, но что-то не так.
Чтобы дать вам представление о местности, у нас есть внешнее подключение к Интернету, идущее в fa0/1. Затем у нас есть брандмауэр Cisco, идущий в fa0/0. Теперь, прежде чем я зайду слишком далеко, я точно знаю, что брандмауэр Cisco настроен правильно. Оригинальный маршрутизатор, который был на месте до того, как мы поменяли его на 1841, работал просто отлично. Для тех, кто интересуется, мы использовали маршрутизатор Edgemark через провайдера PBX, которого мы больше не хотим использовать. Чтобы удовлетворить потребность в маршрутизаторе, мы заменили маршрутизатор Edgemark на этот маршрутизатор Cisco.
Интернет -> Cisco 1841 FA0/1 -> Cisco 1841 FA0/0 -> Межсетевой экран Cisco ASA 5520 -> Внутренний коммутатор ядра
interface FastEthernet0/0
description $ETH-LAN$
ip address 67.xxx.xxx.177 255.255.255.240
ip nat inside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 65.yyy.yyy.150 255.255.255.252
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
speed 10
full-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat pool Net67 67.xxx.xxx.176 67.xxx.xxx.191 netmask 255.255.255.240
ip nat pool ovrld 67.xxx.xxx.178 67.xxx.xxx.178 prefix-length 24
ip nat inside source list 101 pool ovrld overload
ip nat outside source list 101 pool Net67 add-route
!
access-list 101 permit ip 67.xxx.xxx.176 0.0.0.15 any
Теперь, правила nat, которые у меня есть, это правила, которые я собрал из таких сайтов, как ServerFault, Cisco Community и других источников. Я думаю, что что-то не так.
Вот эти проблемы:
- Устройства внутри не видят интернет.
- Хотя маршрутизатор МОЖЕТ пинговать 8.8.8.8 сам с себя.
- Внешний трафик, идущий на внутренние публичные IP-адреса, не может пройти.
Любая помощь будет оценена по достоинству.
Спасибо!
EDIT: Предыдущая конфигурация, которую я также пробовал, и которая также не работала, была такой.
interface FastEthernet0/0
description $ETH-LAN$
ip address 67.xxx.xxx.177 255.255.255.240
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-WAN$
ip address 65.yyy.yyy.150 255.255.255.252
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache
speed 10
full-duplex
!
ip route 0.0.0.0 0.0.0.0 65.yyy.yyy.149
!
no ip http server
no ip http secure-server
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
access-list 101 permit ip 67.xxx.xxx.176 255.255.255.240 any
route-map nonat permit 10
match ip address 101
решение1
во-первых, у вас есть соответствие дуплексной смеси. если вы хотите провести тест, чтобы ваша конфигурация работала, я бы рекомендовал вам сделать оба интерфейса дуплексными автоматическими (в дополнение к вашей скорости). я бы также изменил ваш оператор внутренней внешней перегрузки, чтобы ваш внутренний трафик указывал на внешний интерфейс. то есть ip nat внутренний список источников 101 интерфейс fastethernet 0/1 перегрузка попробуйте это и посмотрите, даст ли это вам доступ... через 3 года