返回列表 回复 发帖

cisco 1721 ---nat 和 acl

我贴上部分配置:
interface Ethernet0
ip address 210.72.235.ZX 255.255.255.128
ip access-group 104 out
ip nat outside
full-duplex
!
interface FastEthernet0
ip address 192.168.11.254 255.255.255.0 secondary
ip address 192.168.10.254 255.255.255.0
ip access-group 104 in
ip access-group 104 out
ip nat inside
speed 100
arp timeout 600
!
ip nat pool btd 210.72.235.XX 210.72.235.XX netmask 255.255.255.0  这一句现在没有生效!
ip nat inside source list 1 interface Ethernet0 overload
ip nat inside source static 192.168.11.252 210.72.235.86
ip nat inside source static 192.168.11.250 210.72.235.87
ip nat inside source static 192.168.10.247 210.72.235.74
ip classless
ip route 0.0.0.0 0.0.0.0 210.72.235.1
ip route 192.168.0.0 255.255.255.0 192.168.11.250
ip route 192.168.6.0 255.255.255.0 192.168.11.250
ip route 210.72.235.85 255.255.255.255 210.72.235.1
no ip http server
!
!
access-list 1 deny   192.168.10.51
access-list 1 deny   192.168.10.54
access-list 1 deny   192.168.10.55
access-list 1 deny   192.168.10.52
access-list 1 deny   192.168.10.53
access-list 1 deny   192.168.10.58
access-list 1 deny   192.168.10.59
access-list 1 deny   192.168.10.56
access-list 1 deny   192.168.10.57
access-list 1 permit 192.168.11.0
access-list 1 permit any

要求:由于NAT 失效,原因不明,因此我想换成pool 的形式。 直接添加却不行。在 cisco其它的路由上操作却可以。。。
我的操作步骤:

cisco#clear ip nat statistics
cisco#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
cisco(config)#no ip nat inside source list 1 interface Ethernet0 overload
%Dynamic mapping in use, cannot remove
cisco(config)#

直接添加:ip nat pool btd 210.72.235.XX 210.72.235.XX netmask 255.255.255.0
也没有一点效果!

请指点!

问题二: 我现在的ACL 是先DENY 再permit  
         由于公司环境问题无法分VLAN  
我的要求:先permit 再 deny
默认不是全是 deny么?所以我一个一个添加IP
cisco(config)#access-list 1 permit 192.168.10.2cisco(config)#access-list 1 permit 192.168.10.3
cisco(config)#access-list 1 permit 192.168.10.4
添加后的IP 却无法上网。


网友1:

关于ACL...好象你还没有应用到端口上...

网友2:

1. 关于NAT 你的配置不正确. 在access list 1 192.168.11.0 这句不对, 应该是 access list 1 192.168.11.0 0.0.0.255  
2. ACL的标准配置都是先permit 后dengy

网友3:

好谢谢。

其它的问题呢?怎么去掉NAT 的?

ACL 标准我也知道,我是这么操作的。

如果实在是找不到解决办法,我只能重配了。。


网友4:

把 ip nat inside source list 1 interface Ethernet0 overload 这句话no 掉

网友5:

1. 关于NAT 你的配置不正确. 在access list 1 192.168.11.0 这句不对, 应该是 access list 1 192.168.11.0 0.0.0.255

这个我认为你说得不对。应该我是要添加IP地址。而不是一段耶。


网友6:
上面不是写着了吗?

NO 不掉



我再加一个问题:

为什么我的NAT 没有生效??

网友7:

192.168.11.0 不代表单个IP地址,而代表一个地址段,当然具体的地址段要看掩码而定,如果是24位掩码.那么应该写成 192.168.11.0/24 代表可用主机地址为 192.168.11.1---192.168.11.254.如果是25位掩码,那么应该写成 192.168.11.0/25 代表可用主机地址为 192.168.11.1--192.168.11.126

如果你的目的不是将一段地址通过在路由器上作NAT使他们访问互联网吗话,那么就不应该写192.168.11.0 .如果是这个目的话,那么需要给这个地址写掩码. 楼主说要添加IP地址是什么意思?是将一个地址映射出去吗? 如果是的话那直接作静态映射.

怎么能no 不掉呢?
你的NAT没有生效是因为你的配置不正确,所以没有生效,配置错误的原因就是192.168.11.0 不对.

楼主认为我说的不对没关系,大家共同讨论,共同进步,如果你是想只配置IP地址,那么楼主能告诉我192.168.11.0 这个IP地址哪个设备可用?你的电脑可以把IP设置成192.168.11.0吗?无论是使用多少为掩码。
cisco新手,我是来学习的。
我也遇到过,这个好像要按顺序来写,不能中间的随便更改,cisco编译可能与其他的有区别。
如果可能,那就走在时间的前面;
如果不能,那就同时代一起前进;
但是决不要落在时代的后面。
我也认为先Permit 允许的,然后将其它全部deny,
其中permit 如果指定单机,应该是192.168.11.0 0.0.0.0
原帖由 天下无敌之二 于 2007-8-21 16:46 发表
我也认为先Permit 允许的,然后将其它全部deny,
其中permit 如果指定单机,应该是192.168.11.0 0.0.0.0
如果是单机,应该是192.168.110.X  255.255.255.255

是不是??
FIRSTLAB 中国CISCO培训品牌的创导和领先者招募会员

  First-Lab实验室是上海市政府长宁信息园基地的综合性网络实验基地。拥有最好的CCIE培训师资、教学方式、实验机架和教学环境。       
       在First-Lab,会员可以与计算机互联网络专家们(CCIE证书持有者)近距离接触,亲身感受CCIE们有趣、互动的计算机课程,亲自操作价值不菲的网络设备,优秀会员更有机会推荐到世界500强企业实习、工作。只要您成为我们的会员,就能亲临CISCO技术殿堂,欢迎您的亲临加入,共同探讨IT界最新技术。
       与CCIE巨人们互动二个月,欢乐俱乐部会费100元,这是你工作创业的起点,欢迎您的加入。

联系方式:天山路600弄3号3B,First-Lab http://www.first-lab.net
                    021-52065090-12
                    QQ:40919241
返回列表