技(jì)術(shù)知識庫 Kms
最新資訊 New
2015/3/5
華為與百度簽署合作(zuò)備忘錄 共
2015/3/5
華為聯合英運營商建全球最快4
2015/3/5
華為雲南合作(zuò)夥伴新春答(dá)謝暨頒
2015/3/3
MWC 2015,定義5G—
2015/3/3
華為發布LTE-A Ever
搜索   Search
你(nǐ)的位置:首頁 > 技(jì)術(shù)知識庫 > 華為 > 路由

某局點ar2200 R3升級到R5內(nèi)網用戶通(tōng)過公網訪問內(nèi)部服務器(qì)不通(tōng)

2014/12/18 15:33:31點擊:
問題描述
ar2200V200R003升級到AR2200 V200R005C20SPC200後其他業務正常,內(nèi)網用戶通(tōng)過公網訪問內(nèi)部服務器(qì)不通(tōng)
配置沒有(yǒu)丢失,相關配置如下:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.5 0
#
內(nèi)網口配置如下:
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
nat outbound 3000
#
外網口配置:
interface GigabitEthernet0/0/0
ip address 221.207.13.17 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
處理(lǐ)過程
通(tōng)過display nat session 查看內(nèi)網口 nat地址轉換情況發現隻替換目的地址 沒有(yǒu)替換源地址。
display acl 3000 也沒有(yǒu)看到匹配記錄。 懷疑內(nèi)網口nat沒有(yǒu)生(shēng)效。
更改配置如下後解決:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  221.207.13.200  0
根因
 R3升級到R5以後nat轉發流程有(yǒu)變更,R5配置目的公網因為是在出口做(zuò)完nat後統一修改的地址
解決方案
修改nat outbound ACL匹配解決。
此例中R5正确完整配置如下:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  221.207.13.200  0
#
內(nèi)網口配置如下:
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
nat outbound 3000
#
外網口配置:
interface GigabitEthernet0/0/0
ip address 221.207.13.17 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www