带有路线图的Cisco静态NAT

Question

更新：

似乎路由映射只匹配IP地址，而不是端口。本周，在不同的设备、模型和软件版本上又出现了另一种情况。最后，将NAT语句更改为：

源内ip nat静态tcp 192.168.1.20 3389 x.x 3389

然后，我限制了基于ACL而不是路线图的访问。定义条件NATing会很好，但它似乎不起作用。

因此，我们有一个相当标准的NAT盒设置，为许多客户提供托管NAT解决方案。

下面是基本的拓扑结构：

思科IOS软件，C2900软件(C 2900-UNIVERSALK9-M)，版本15.2(4)M3，发布软件(fc2)

我的问题是与NAT声明的路线图部分有关。

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding extendable

ip access-list extended Customer1-forwarding-acl
 permit tcp host 10.1.10.201 host a.a.a.a eq 22
 permit tcp host 10.1.10.201 host b.b.b.b eq 22

route-map Customer1-portforwarding permit 10
 match ip address Customer1-forwarding-acl

我相信我对路线图的理解是正确的。它的意思是指定哪些是允许NAT的，哪些是不允许的。我基本上是试图设置它，只允许从特定的公共源地址翻译。它似乎没那么做。它似乎允许任何公共演讲的翻译。

我将ACL完全更改为“拒绝ip任何”语句，它仍然允许。我有点不知所措。看来路线图什么也没做。

任何帮助都将不胜感激！

干杯,

H

Answer 1

路线图似乎有一些问题。我无法进一步解决问题。

Answer 2

我相信问题在VRF配置本身，所以请检查下一个

1. 在NAT所涉及的接口(nat内部，nat外部接口)下配置'ip转发客户1-端口转发‘

1. 如果您的访问列表将使用VRF路由表，则需要在路由地图配置下添加“set vrf Customer1-port转发”命令，以便使用theVRF路由表。

1. 通过设置下一跳，使您的路线图更加具体。

1. 使用“sh转换”命令验证NATing

利用这些URL

NAT超过VRF

VRF上的路线图

Answer 3

我知道这篇文章很旧，但我想跟进这篇文章，以防你有这个问题。

只是好奇您正在尝试此NAT的IP地址，在全局之外，是否与客户端在同一个VRF上。如果是这样，您可能想尝试:匹配的vrf。

ip nat inside source static tcp 10.1.10.201 22 x.x.x.x 22 vrf Customer1-vrf route-map Customer1-portforwarding match-in-vrf

我还会尝试另外两种方法: 1.)修改您的ACL路径图，使其具有与您想要NAT它们的IP相同的源。如果我们从左到右阅读NAT规则，它可能不会分析这一点，直到翻译发生。2.)尝试ip nat外部源静态tcp..。我不确定哪一个可以工作，但最好能看到下面这样的调试：

access-list 99 permit host 10.1.10.201
access-list 99 permit host x.x.x.x
!
debug ip nat 99
!
terminal length 0
!
show log