由于untrust域目的nat原因造成nat server映射不生效

发布时间:  2012-07-20 浏览次数:  121 下载次数:  0
问题描述
用户配置了多个nat server一对一映射,但是映射不生效。
告警信息
处理过程

1、登陆设备检查用户映射配置,配置正确

nat server 0 global 123.127.75.246 inside 192.168.11.151
nat server 1 global 123.127.75.252 inside 10.10.10.12
nat server 2 global 123.127.75.249 inside 192.168.11.11

2、检查访问的会话,数据包到达了防火墙,也做了转换,但转换的地址不正确

3、检查用户配置,发现用户在untrust域内配置了目的nat。acl是允许所有ip,这样就造成所有的访问都通过了目的nat进行转换,nat server的映射不能生效

acl number 3100
rule 0 permit ip

interface GigabitEthernet0/0/1
undo enable snmp trap updown
ip address 123.127.75.235 255.255.255.224

firewall zone untrust
set priority 5
destination-nat 3100 address 10.10.10.12 port 8888
add interface GigabitEthernet0/0/1

4、删除掉untrust域内的目的nat,再次测试映射访问正常。

根因

可能是用户配置映射错误

建议与总结

END