如何让思科路由器内网终端通过公网ip来访问内网服务器

fishlonely

a18518754447 发表于 2018-4-12 13:54
做个域内nat

什么意思 ，麻烦请讲下

gejunyu

wuhao0015 发表于 2018-3-31 12:32
你们没有懂楼主的意思，方法是不对的，不能解决楼主的问题。
楼主说的是内网NAT回流的问题。
参考我的狗 ...

感谢分享很实用

junnyang

wuhao0015 发表于 2018-3-31 12:32
你们没有懂楼主的意思，方法是不对的，不能解决楼主的问题。
楼主说的是内网NAT回流的问题。
参考我的狗 ...

感谢分享,顺便说一下,在IOS-XE 平台已经不支持NVI,

liuyj

路由回流？

sxsure001

做NAT把流量转回来！！！ 百度上这么多这种，百度下吧！

1996

nat

vsop5207

做NAT 啊 ， 这个不会么？

ts1110

LZ问题也是经常会碰到的，在路由器上要解决这个问题，一般有两种做法

第一种：使用NVI接口做；
第二种：纯粹的NAT+PBR实现；

对于第一种解决方案，需要路由器支持，配置相对来说简单一些，思科网关上就有很多配置范例，LZ可以去查一下！

第二种配置要麻烦一下，我这里给你还原了一下环境，LZ可以参考一下，拓扑图如下：


最终需求：

• PC能访问Internet；
• Internet上的设备通过NAT映射，可以访问到内部的Web服务器；
• 内部PC可以通过网关的公网地址访问到内部的Web服务器；
  

注：我这里拿Telnet来代替HTTP做测试！

网关配置如下：

1. GW#sh running-config
   
2. Building configuration...
   
3. 
   
4. Current configuration : 1858 bytes
   
5. !
   
6. ! Last configuration change at 11:08:17 EET Fri Jan 25 2019
   
7. !
   
8. version 15.7
   
9. service timestamps debug datetime msec
   
10. service timestamps log datetime msec
    
11. no service password-encryption
    
12. !
    
13. hostname GW
    
14. !
    
15. boot-start-marker
    
16. boot-end-marker
    
17. !
    
18. !
    
19. !
    
20. no aaa new-model
    
21. !
    
22. !
    
23. !
    
24. clock timezone EET 2 0
    
25. mmi polling-interval 60
    
26. no mmi auto-configure
    
27. no mmi pvc
    
28. mmi snmp-timeout 180
    
29. !
    
30. !
    
31. !
    
32. !
    
33. !
    
34. !
    
35. !
    
36. !
    
37. !
    
38. !
    
39. !
    
40. !
    
41. !
    
42. !
    
43. !
    
44. 
    
45. 
    
46. !
    
47. !
    
48. !
    
49. !         
    
50. no ip domain lookup
    
51. ip cef
    
52. no ipv6 cef
    
53. !
    
54. multilink bundle-name authenticated
    
55. !
    
56. !
    
57. !
    
58. !
    
59. !
    
60. !
    
61. !
    
62. !
    
63. !
    
64. !
    
65. redundancy
    
66. !
    
67. !
    
68. !
    
69. !
    
70. !
    
71. !
    
72. !         
    
73. !
    
74. !
    
75. !
    
76. !
    
77. !
    
78. !
    
79. !
    
80. !
    
81. interface Loopback0
    
82. ip address 2.2.2.2 255.255.255.255
    
83. ip nat inside
    
84. ip virtual-reassembly in
    
85. !
    
86. interface Ethernet0/0
    
87. ip address 192.1.1.2 255.255.255.0
    
88. ip nat outside
    
89. ip virtual-reassembly in
    
90. duplex auto
    
91. !
    
92. interface Ethernet0/1
    
93. ip address 10.1.1.2 255.255.255.0
    
94. ip nat outside
    
95. ip virtual-reassembly in
    
96. ip policy route-map LOCAL
    
97. duplex auto
    
98. !
    
99. interface Ethernet0/2
    
100. no ip address
     
101. shutdown
     
102. duplex auto
     
103. !
     
104. interface Ethernet0/3
     
105. no ip address
     
106. shutdown
     
107. duplex auto
     
108. !
     
109. ip forward-protocol nd
     
110. !
     
111. !
     
112. no ip http server
     
113. no ip http secure-server
     
114. ip nat inside source list INTERNET interface Ethernet0/0 overload
     
115. ip nat inside source list LOCAL interface Loopback0 overload
     
116. ip nat inside source static tcp 10.1.1.3 23 192.1.1.2 23 extendable
     
117. ip route 0.0.0.0 0.0.0.0 192.1.1.1
     
118. !         
     
119. ip access-list extended INTERNET
     
120. remark WORK FOR LOCAL TO INTERNET
     
121. deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
     
122. permit ip 10.1.1.0 0.0.0.255 any
     
123. ip access-list extended LOCAL
     
124. remark WORK FOR LOCAL TO PUBLIC TO LOCAL
     
125. permit ip host 10.1.1.4 host 10.1.1.3
     
126. !
     
127. ipv6 ioam timestamp
     
128. !
     
129. route-map LOCAL permit 10
     
130. set interface Loopback0
     
131. !
     
132. !
     
133. !
     
134. control-plane
     
135. !
     
136. !
     
137. !
     
138. !
     
139. !
     
140. !
     
141. !         
     
142. !
     
143. line con 0
     
144. exec-timeout 0 0
     
145. logging synchronous
     
146. line aux 0
     
147. line vty 0 4
     
148. exec-timeout 0 0
     
149. privilege level 15
     
150. no login
     
151. transport input none
     
152. !
     
153. !
     
154. end

复制代码

测试现象：
PC访问Internet：

1. PC#ping 8.8.8.8
   
2. Type escape sequence to abort.
   
3. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
   
4. !!!!!
   
5. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

复制代码

Internet上的设备通过NAT映射，可以访问到内部的Web服务器：

1. Internet#telnet 192.1.1.2
   
2. Trying 192.1.1.2 ... Open
   
3. Web_Server#
   
4. Web_Server#

复制代码

内部PC可以通过网关的公网地址访问到内部的Web服务器：

1. PC#telnet 192.1.1.2
   
2. Trying 192.1.1.2 ... Open
   
3. 
   
4. Web_Server#
   
5. Web_Server#

复制代码

IceFire_Ken

ts1110 发表于 2019-1-25 17:26
LZ问题也是经常会碰到的，在路由器上要解决这个问题，一般有两种做法

第一种：使用NVI接口做；

e0/0 和 e0/1 都是 ip nat outside ？
loopback 0 是 ip nat inside ?
!
route-map LOCAL permit 10
set interface Loopback0
!
interface Ethernet0/1
ip policy route-map LOCAL
!
大概意思能明白，能详细解释一下原理吗？

IceFire_Ken

ts1110 发表于 2019-1-25 17:26
LZ问题也是经常会碰到的，在路由器上要解决这个问题，一般有两种做法

第一种：使用NVI接口做；

ip nat inside source list LOCAL interface Loopback0 overload
!
ip access-list extended LOCAL
remark WORK FOR LOCAL TO PUBLIC TO LOCAL
permit ip host 10.1.1.4 host 10.1.1.3
!
ip access-list extended INTERNET
remark WORK FOR LOCAL TO INTERNET
deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
permit ip 10.1.1.0 0.0.0.255 any
!
发现不做红色这些也可以实现，但不是转换为2.2.2.2，而是外网接口地址