某局点ar2200R3升级到R5内网用户通过公网访问内部服务器不通

发布时间:  2014-12-11 浏览次数:  212 下载次数:  0
问题描述
ar2200V200R003升级到AR2200 V200R005C20SPC200后其他业务正常,内网用户通过公网访问内部服务器不通
配置没有丢失,相关配置如下:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.5 0
#
内网口配置如下:
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
nat outbound 3000
#
外网口配置:
interface GigabitEthernet0/0/0
ip address 221.207.13.17 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
处理过程
通过display nat session 查看内网口 nat地址转换情况发现只替换目的地址 没有替换源地址。
display acl 3000 也没有看到匹配记录。 怀疑内网口nat没有生效。
更改配置如下后解决:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  221.207.13.200  0

根因
 R3升级到R5以后nat转发流程有变更,R5配置目的公网因为是在出口做完nat后统一修改的地址
解决方案
修改nat outbound ACL匹配解决。
此例中R5正确完整配置如下:
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination  221.207.13.200  0
#
内网口配置如下:
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www
nat outbound 3000
#
外网口配置:
interface GigabitEthernet0/0/0
ip address 221.207.13.17 255.255.255.0
nat server protocol tcp global 221.207.13.200 www inside 192.168.1.5 www

END