Я пытаюсь создать среду типа DMZ между двумя внутренними сетями с помощью Cisco NAT. Приведенная ниже конфигурация позволяет двум интерфейсам «nat external» обращаться к серверу dmz «nat inside» через скрытые IP-адреса nat 10.0.0.50 и 172.26.100.50. Однако сервер (192.168.1.2) не обрабатывается, когда он обращается к двум другим устройствам.
Мне это нужно для двунаправленного нат, чтобы скрыть сеть «нат внутри». Например, 10.0.0.2 может пинговать / telnet на 10.0.0.50 и получать доступ к устройству 192.168.1.2 и успешно транслируется. Однако, когда 192.168.1.2 подключается к 10.0.0.2, трафик отображается с исходным IP-адресом, а не с желаемым адресом 10.0.0.50.
!
interface GigabitEthernet0/0
description insidetrusted
ip address 172.26.100.10 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/1
description dmz
ip address 192.168.1.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet0/2
description outside
ip address 10.0.0.1 255.255.255.0
ip nat outside
!
!
ip nat inside source static 192.168.1.2 10.0.0.50 route-map netoutside
ip nat inside source static 192.168.1.2 172.26.100.50 route-map netinside
!
route-map netoutside permit 10
match ip address 101
match interface GigabitEthernet0/2
!
route-map netinside permit 10
match ip address 100
match interface GigabitEthernet0/0
!
Ресурсы, которые я использовал в своем исследовании:
Источником проблемы было ключевое слово log в конце моего ACL.
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255 **log**
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255 **log**
Согласно Cisco, вы никогда не должны использовать «журнал» с NAT ACL. Наблюдаемое поведение заключалось в том, что трафик будет правильно настроен NAT в одном направлении, но в другом NAT не будет применяться.
Исправленные ACL:
access-list 100 permit ip host 192.168.1.2 172.26.100.0 0.0.0.255
access-list 101 permit ip host 192.168.1.2 10.0.0.0 0.0.0.255