這些問題,我寫出來,只是讓我有一天在碰到同樣的問題的時候能從自己的地方找到答案。
NAT 轉換的小問題,這些都是特定環境,不能照搬的。
1.1 我們FW上做NAT的時候,做了一個地址池,用戶在私網訪問別的主機,對方主機上顯示的都是NAT address-group 1 地址。
配置貼上:nat address-group 1 200.134.231.13 200.134.231.13 vrrp 1
nat server protocol tcp global 200.134.231.16 www inside 192.168.13.11 www vrrp 1 no-reverse
解決解釋:當nat server protocol tcp global 這個語句後面帶了no-reverse表示出口IP 就是address-group 200.134.231.13,語句後面沒有no-reverse表示出口ip 就是global ip 200.134.231.16 。
1.2 在private ip主機上,只能訪問本網段以外的public ip。不能訪問本網段做了NAT 的public ip 地址。
解決解釋:這種問題是FW上permit trust 到untrust NAT 訪問,deny trust到trust NAT 訪問。需要做域內NAT.
附上語句:【】firewall zone trust
【 】nat outbound ACL_number address-group 1