[Info] У локального хоста нет доступа на внешний HTTP сервер

Описание проблемы

После настройки NAT на коммутаторе, пользователь локальной сети сообщил, что у него нет доступа на внешний HTTP сервер.

Анализ проблемы

На коммутаторе не появляются сообщения о непропущеных nat пакетах.

Введем команду display nat outbound и проверим настройку nat.

Как видим на внешнем интерфейсе XGigabitEthernet2/0/2.100 настроен pat, применен ACL список 3180, а также настроен пул адресов.

Введем команду display nat address-group чтобы увидеть пул адресов применяемый к NAT.

С пулом все нормально, далее введем команду display acl 3180 чтобы увидеть какие правила настроены в этом ACL списке.

Как видим, при настройке была допущена ошибка и был указан неправильный ip адрес.

Перейдем к устранению этой проблемы.

1.      Введем команду acl 3180 в режиме конфигурирования чтобы отредактировать этот ACL список.

2.      Введем команду undo rule 5 чтобы удалить это правило и зачтем введем команду rule permit ip source 192.168.1.100 0 чтобы разрешить траффик от хоста A.

После применения конфигурации хост A получил доступ на внешний HTTP server. Проблема устранена.

При настройке NAT, обращайте внимание на корректность конфигурации ACL. Типичные ошибки с ACL правилами заключаются в неправильной настройке IP адресов, типов протоколов, или номеров портов. При неправильной настройке, пакеты из внутренней сети не будут проходить во внешнюю сеть и наоборот.