FAQ-某局点需要大量映射内部服务器端口,内部用户同时需要该公网地址上网,如何简便实现

发布时间:  2016-03-22 浏览次数:  174 下载次数:  0
问题描述
某局点需要大量映射内部服务器端口(映射的公网地址是设备上的公网接口地址),内部用户同时需要该公网地址做源NAT上网,如何简便实现
解决方案

方案1:做1对1的端口映射,用户实际需要映射1000+端口,配置起来非常繁琐,不采纳

方案2:直接配置全映射,这样配置了之后用户上网没问题,但是部分端口号访问不到,原因是用户上网把部分端口占用了,此种方案有弊端,不采纳

方案3:配置端口组映射,在nat static后跟上acl参数

eg:需要映射10000-11000一千个端口和其余一些零散的端口,配置命令如下

acl number 2000 
rule 5 permit source 192.168.1.0 0.0.0.255

acl number 3000 
rule 5 permit tcp destination 60.8.7.78 0 destination-port range 10000 11000
rule 10 permit tcp destination 60.8.7.78 0 destination-port eq 443
rule 15 permit tcp destination 60.8.7.78 0 destination-port eq 556
rule 20 permit tcp destination 60.8.7.78 0 destination-port eq 3389
rule 25 permit tcp destination 60.8.7.78 0 destination-port eq www

interface GigabitEthernet0/0/0
ip address 60.8.7.78 255.255.255.252
nat static global current-interface inside 192.168.1.100  netmask 255.255.255.255 acl 3000
nat outbound 2000

END