2631配置NAT后ping不通公网地址

发布时间:  2012-07-26 浏览次数:  68 下载次数:  0
问题描述
2631配置NAT,采用地址池和ACL关联,私网访问公网正常,但在公网却ping不通2631的公网地址,在2631上也ping不通公网其它地址。
告警信息
处理过程
修改ACL,将rule中匹配网段改为私网地址范围,例如:
只允许192.168.0.0/24网段被NAT转换,
rule permit source 192.168.0.0 0.0.0.255
修改后在2631上就能ping通公网其他地址了。
根因
与NAT地址池关联的ACL列表为:rule permit source any,即所有从公网接口出去的IP报文源地址都因匹配了该ACL而被NAT转换为NAT地址池中的地址,包括icmp echo和reply报文,这样导致和2631公网接口相关的ping包中echo和reply的地址不一致(一个为该接口地址,另一为NAT地址池中的地址),因此无法ping通。

END