Я пытаюсь разрешить доступ к принтеру в отдельной локальной сети в том же здании. Я контролирую только одну из сетей ... Моя попытка не использовать другой маршрутизатор не удалась посмотреть здесь.
Теперь у меня есть Cisco 2611 под управлением IOS 12.2 (специальный eBay) для подключения к сетям. Я не могу выполнить маршрутизацию, поскольку у меня нет контроля над настройками в удаленной сети. Я могу добавить IP-адрес только в виде одного из интерфейсов на маршрутизаторе, поэтому мне остается выполнять статический NAT.
Наша сеть: 10.0.0.0/24 Наш интерфейс маршрутизатора e0 / 0 10.0.0.200 Их сеть: 192.168.2.0/24 Их интерфейс маршрутизатора e0 / 1 192.168.2.200 Их принтер 192.168.2.50
Итак, я хотел бы сделать статический NAT с 10.0.0.200 до 192.168.2.50
Моя шоу-работа
Fibrotech(config)#do sh ru
Building configuration...
Current configuration : 573 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Fibrotech
!
ip subnet-zero
!
interface Ethernet0/0
ip address 10.0.0.200 255.255.255.0
ip nat outside
full-duplex
!
interface Ethernet0/1
ip address 192.168.2.200 255.255.255.0
ip nat inside
full-duplex
!
ip nat inside source static 192.168.2.50 10.0.0.200 extendable
ip classless
no ip http server
ip pim bidir-enable
!
line con 0
line aux 0
line vty 0 4
!
end
Wireshark показывает мне, что запрос действительно доходит до 192.168.2.50 из нашей сети, но ему предоставляется адрес источника (например) 10.0.0.5. Поскольку у него нет маршрута к сети 10.0.0.0, он не работает.
Итак, как я могу правильно настроить NAT, чтобы адрес источника был внутренним интерфейсом маршрутизатора?
Edit - удалили порт 80 из sh ru, просто это должна быть прямая статическая карта. Кроме того, используемый маршрутизатор не является шлюзом ни для одной из сетей, единственное, что знает какая-либо сеть о маршрутизаторе, - это IP-адрес каждого интерфейса.
В конце концов, мне пришлось заручиться помощью Cisco 877, который был шлюзом, и настроить статический маршрут к другой сети через маршрутизатор.
Это не работает, потому что вы выполняете NAT только на адресе назначения. Как вы заметили, принтер видит соединение, исходящее от реального источника 10.0.0.x, которого он не может достичь. Вам нужно добавить второй ip nat на NAT адрес источника клиента и поменять местами ip nat inside и ip nat outside заявления.
Попробуйте вместо этого:
interface Ethernet0/0
ip address 10.0.0.200 255.255.255.0
ip nat inside
!
interface Ethernet0/1
ip address 192.168.2.200 255.255.255.0
ip nat outside
!
ip nat inside source list acl_nat_inside interface Ethernet0/1 overload
ip nat outside source static tcp 192.168.2.50 80 10.0.0.50 80 add-route
!
ip access-list extended acl_nat_inside
permit tcp 10.0.0.0 0.0.0.255 host 10.0.0.50 eq www
Это приведет к тому, что трафик TCP-порта 80, идущий на 10.0.0.50, будет иметь NAT от источника (внутри локального) к IP-адресу Eth0 / 1 (внутри глобального), а его место назначения (за пределами локального) с NAT на 192.168.2.50 (снаружи Глобальный). Это позволит вашим клиентам на 10.0.0.x подключиться к адресу 10.0.0.50 для печати, а принтер на 192.168.2.50 будет думать, что они приходят с 192.168.2.200, поэтому он будет знать, как им ответить.
Предполагая, что клиент пытается распечатать адрес 10.0.0.100, переводы на вашем маршрутизаторе будут выглядеть примерно так:
Fibrotech#sh ip nat trans
Pro Inside global Inside local Outside local Outside global
tcp 192.168.2.200:2075 10.0.0.100:2075 10.0.0.50:80 192.168.2.50:80
tcp --- --- 10.0.0.50:80 192.168.2.50:80
Когда я протестировал это (на 3620 с 12.2 (40)), я не смог заставить его работать, используя собственный IP-адрес моего маршрутизатора в качестве адреса NAT назначения. Мне пришлось выбрать другой локальный IP-адрес для этой цели (в этом примере показан как 10.0.0.50).