|
 
- 社区积分
- 890
- 技术积分
- 2466
- 阅读权限
- 50
- 注册时间
- 2007-7-18
论坛徽章 7 |
楼主
发表于 2007-7-27 09:38
| 只看该作者
cisco 1721 ---nat 和 acl
我贴上部分配置:
interface Ethernet0
ip address 210.72.235.ZX 255.255.255.128
ip access-group 104 out
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.11.254 255.255.255.0 secondary
ip address 192.168.10.254 255.255.255.0
ip access-group 104 in
ip access-group 104 out
ip nat inside
speed 100
arp timeout 600
!
ip nat pool btd 210.72.235.XX 210.72.235.XX netmask 255.255.255.0 这一句现在没有生效!
ip nat inside source list 1 interface Ethernet0 overload
ip nat inside source static 192.168.11.252 210.72.235.86
ip nat inside source static 192.168.11.250 210.72.235.87
ip nat inside source static 192.168.10.247 210.72.235.74
ip classless
ip route 0.0.0.0 0.0.0.0 210.72.235.1
ip route 192.168.0.0 255.255.255.0 192.168.11.250
ip route 192.168.6.0 255.255.255.0 192.168.11.250
ip route 210.72.235.85 255.255.255.255 210.72.235.1
no ip http server
!
!
access-list 1 deny 192.168.10.51
access-list 1 deny 192.168.10.54
access-list 1 deny 192.168.10.55
access-list 1 deny 192.168.10.52
access-list 1 deny 192.168.10.53
access-list 1 deny 192.168.10.58
access-list 1 deny 192.168.10.59
access-list 1 deny 192.168.10.56
access-list 1 deny 192.168.10.57
access-list 1 permit 192.168.11.0
access-list 1 permit any
要求:由于NAT 失效,原因不明,因此我想换成pool 的形式。 直接添加却不行。在 cisco其它的路由上操作却可以。。。
我的操作步骤:
cisco#clear ip nat statistics
cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#no ip nat inside source list 1 interface Ethernet0 overload
%Dynamic mapping in use, cannot remove
cisco(config)#
直接添加:ip nat pool btd 210.72.235.XX 210.72.235.XX netmask 255.255.255.0
也没有一点效果!
请指点!
问题二: 我现在的ACL 是先DENY 再permit
由于公司环境问题无法分VLAN
我的要求:先permit 再 deny
默认不是全是 deny么?所以我一个一个添加IP
cisco(config)#access-list 1 permit 192.168.10.2cisco(config)#access-list 1 permit 192.168.10.3
cisco(config)#access-list 1 permit 192.168.10.4
添加后的IP 却无法上网。
网友1:
关于ACL...好象你还没有应用到端口上...
网友2:
1. 关于NAT 你的配置不正确. 在access list 1 192.168.11.0 这句不对, 应该是 access list 1 192.168.11.0 0.0.0.255
2. ACL的标准配置都是先permit 后dengy
网友3:
好谢谢。
其它的问题呢?怎么去掉NAT 的?
ACL 标准我也知道,我是这么操作的。
如果实在是找不到解决办法,我只能重配了。。
网友4:
把 ip nat inside source list 1 interface Ethernet0 overload 这句话no 掉
网友5:
1. 关于NAT 你的配置不正确. 在access list 1 192.168.11.0 这句不对, 应该是 access list 1 192.168.11.0 0.0.0.255
这个我认为你说得不对。应该我是要添加IP地址。而不是一段耶。
网友6:
上面不是写着了吗?
NO 不掉
我再加一个问题:
为什么我的NAT 没有生效??
网友7:
192.168.11.0 不代表单个IP地址,而代表一个地址段,当然具体的地址段要看掩码而定,如果是24位掩码.那么应该写成 192.168.11.0/24 代表可用主机地址为 192.168.11.1---192.168.11.254.如果是25位掩码,那么应该写成 192.168.11.0/25 代表可用主机地址为 192.168.11.1--192.168.11.126
如果你的目的不是将一段地址通过在路由器上作NAT使他们访问互联网吗话,那么就不应该写192.168.11.0 .如果是这个目的话,那么需要给这个地址写掩码. 楼主说要添加IP地址是什么意思?是将一个地址映射出去吗? 如果是的话那直接作静态映射.
怎么能no 不掉呢?
你的NAT没有生效是因为你的配置不正确,所以没有生效,配置错误的原因就是192.168.11.0 不对.
楼主认为我说的不对没关系,大家共同讨论,共同进步,如果你是想只配置IP地址,那么楼主能告诉我192.168.11.0 这个IP地址哪个设备可用?你的电脑可以把IP设置成192.168.11.0吗?无论是使用多少为掩码。 |
|
