所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

AR2240对进行地址转换后的数据流配置ACL命中失败

发布时间:  2018-11-17  |   浏览次数:  266  |   下载次数:  0  |   作者:  lWX466262  |   文档编号: EKB1001993098

目录

问题描述

 某局点用户需要对访问服务器的数据流目的和源地址都进行替换,场景以及说明如下:

PC1使用UDP发包工具进行测试,当访问2.2.2.2的UDP53端口时,目的地址转换成200.200.200.200,源地址转换成100.100.100.100,当前配置下,测试是成功的,但是当将acl3001细化,匹配目的地址为200.200.200.200时,测试失败,源NAT不生效,但是把ACL配置成匹配源地址1.1.1.2时,源NAT生效。AR2的G0/0/1口进行服务器映射,G0/0/0口进行源NAT转换。

关键配置如下:

acl number 3001 
 rule 5 permit ip destination 200.200.200.0 0.0.0.255 
#

nat address-group 1 100.100.100.100 100.100.100.100
#

interface GigabitEthernet0/0/0

 ip address 3.3.3.1 255.255.255.0

nat outbound 3001 address-group 1 no-pat
 
#

interface GigabitEthernet0/0/1

 ip address 1.1.1.1 255.255.255.0
 nat static protocol udp global 2.2.2.2 dns inside 200.200.200.200 dns netmask 255.255.255.255

这样配置后发现出去的源地址并没有转换成100.100.100.100





 

 

 

 

 

 

 

 

处理过程

排查后配置没有发现明显问题,没有进行源NAT的原因就是ACL没有命中,联系相关模块专家确认得知,在AR本机上进行IP地址转换,再命中ACL的话无论是目的NAT还是源NAT,都是需要写转换前的IP地址才可以命中

调整ACL后转换成功

 #
acl number 3001 
 rule 5 permit ip source 1.1.1.0 0.0.0.255
#

根因

在AR本机上进行IP地址转换,再命中ACL的话无论是目的NAT还是源NAT,都是需要写转换前的IP地址才可以命中

解决方案

把ACL中的数据流改成转换前的数据流IP后问题解决

建议与总结

在AR本机上进行IP地址转换,再命中ACL的话无论是目的NAT还是源NAT,都是需要写转换前的IP地址才可以命中