配置NAT Server后,外网用户无法访问内网服务器

发布时间:  2015-03-31 浏览次数:  418 下载次数:  0
问题描述
组网情况:




现象描述:


客户想要内网服务器为外部用户提供Telnet和Web服务。配置如下:

interface GigabitEthernet0/0/1
ip address 202.1.1.1 255.255.255.0
nat server protocol tcp global current-interface telnet inside 1.1.1.2 telnet
nat server protocol tcp global current-interface www inside 1.1.1.2 www


配置NAT Server后,公网用户无法通过公网地址(202.1.1.1:23) 以Telnet方式访问AR路由器;同理,公网用户无法通过公网地址(202.1.1.1:80) 以Web方式访问AR路由器。
处理过程
通过配置看出,使用知名端口号为外网用户提供的服务。因为运营商在互联网上禁用了这两个知名端口号,从而导致NAT Server功能不可用。修改外部端口号为非知名端口号,即上述配置改为:

interface GigabitEthernet0/0/1
ip address 202.1.1.1 255.255.255.0
nat server protocol tcp global current-interface 1334 inside 1.1.1.2 telnet
nat server protocol tcp global current-interface 1335 inside 1.1.1.2 www
建议与总结
配置NAT Server指定外部端口号时,如果运营商禁用了此端口号,会导致NAT Server功能不可用。因此,配置NAT Server时,建议外部端口号采用非知名端口号。

NAT Server功能不生效的常用定位步骤:

使用display nat session all查看是否有NAT表项。
  • 如果没有表项:确认映射的公网IP地址是否可用;确认外部端口号是否被禁用。
  • 如果有表项:查看是否有转发错误计数,可以通过在接口上获取报文进行分析。

END