Описание проблемы
После настройки NAT на коммутаторе, пользователь локальной сети сообщил, что у него нет доступа
на внешний HTTP сервер.
На коммутаторе не появляются сообщения о непропущеных nat пакетах.
Введем команду display nat outbound и проверим настройку nat.
[SPU] display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------------------------
Interface Acl Address-group/IP Type
--------------------------------------------------------------------------------------------
XGigabitEthernet2/0/2.100 3180 1 pat
--------------------------------------------------------------------------------------------
Total : 1
Как видим на внешнем интерфейсе XGigabitEthernet2/0/2.100 настроен pat, применен ACL список 3180, а также настроен пул адресов.
Введем команду display nat address-group чтобы увидеть пул адресов применяемый к NAT.
[SPU] display nat address-group 1
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 202.1.1.10 202.1.1.100
--------------------------------------
Total : 1
С пулом все нормально, далее введем команду display acl 3180 чтобы увидеть какие правила настроены в этом ACL списке.
[SPU]display acl 3180
Advanced ACL 3180, 1 rule
Acl's step is 5
rule 5 permit tcp source 1.1.1.100 0 (0 times matched)
Как видим, при настройке была допущена ошибка и был указан неправильный ip адрес.
Перейдем к устранению этой проблемы.
1. Введем команду acl 3180 в режиме конфигурирования чтобы отредактировать этот ACL список.
2. Введем команду undo rule 5 чтобы удалить это правило и зачтем введем команду rule permit ip source 192.168.1.100 0 чтобы разрешить траффик от хоста A.
После применения конфигурации хост A получил доступ на внешний HTTP server. Проблема устранена.
При настройке NAT, обращайте внимание на корректность конфигурации ACL. Типичные ошибки с ACL правилами заключаются в неправильной настройке IP адресов, типов протоколов, или номеров портов. При неправильной настройке, пакеты из внутренней сети не будут проходить во внешнюю сеть и наоборот.