Nat outbound配置导致内网用户无法通过公网IP访问服务器

发布时间:  2014-09-03 浏览次数:  484 下载次数:  0
问题描述

拓扑:某单位从运营商申请了一个公网IP,新添加边界路由器AR2220-S,内网用户通过路由器进行NAT转换访问互联网,同时内网有服务器需要映射到公网。
#
acl number 3000 
rule 5 permit ip
#
interface GigabitEthernet0/0/1
  ip address 113.128.176.10 255.255.255.252
  nat server protocol tcp global current-interface 8081 inside 192.168.1.119 8081
nat outbound 3000
interface GigabitEthernet0/0/2
  ip address 192.168.100.1 255.255.255.0
  nat server protocol tcp global current-interface 8081 inside 192.168.1.119 8081
问题:设备调试完成后,外网用户能使用公网IP访问内网服务器,内网用户无法通过公网IP访问服务器,但是可以通过内网IP访问。
          注:内网用户和服务器在同一网段。


告警信息
处理过程
1. 在内网接口上配置nat outbound 3000
    interface GigabitEthernet0/0/2
    ip address 192.168.100.1 255.255.255.0
    nat server protocol tcp global current-interface 8081 inside 192.168.1.119 8081
    nat outbound 3000
2. 内网电脑用公网IP地址访问服务器,能正常访问,问题解决。
根因
内网PC访问内网服务器,不做源替换,服务器回包的时候就直接在交换机上转了(因为内网服务器和PC在同一网段),访问就会出现问题,因为回应报文没有做反向替换,做了Nat Outbound之后就不会有这个问题,回包直接回给网关,就是AR路由器。
建议与总结
本方法使用于内网用户和服务器在一个网段,如果服务器和内网用户不在一个网段,只需要在连接内网PC的接口做NAT server,不用做nat outbound。

END