du skal have fortalt routeren, hvad der er inderside og yderside for nat. conf t int e0 (hvis det er din inderside) ip nat inside int e1 (hvis det er din yderside) ip nat outside
ip nat inside source list 1 interface E1 overload access-list 1 permit ip 192.168.0.0 0.0.0.255 (hvis 192.168.0.0/24 er dit net på indersiden) ip nat inside source static tcp 192.168.0.80 80 interface e1 80 (for at sende www videre til 192.168.0.80)
access-list 1 permit ip 192.168.0.0 0.0.0.255 (hvis 192.168.0.0/24 er dit net på indersiden) Jeg har brugt: access-list 1 permit ip 10.1.1.0 0.0.0.255, men så skriver den: Translating "ip"...domain server (255.255.255.255) ^ % Invalid input detected at '^' marker.
Pap: "write erase" (jeg tror måske den moderne version er "copy /erase startup-config") "reload"
Forklaring: I IOS har du en startup-config og en running-config. "write erase" sletter startup-config'en. Når routeren derefter bliver reloadet (med kommandoen "reload" eller en sluk/tænd, er der ikke nogen startup-config. Så kan du starte helt forfra.
Mens routeren er oppe kan du skrive "show running-config" eller "show startup-config" for at se de to configs.
Hvordan har vlan 1 forbindelse til resten af nettet? Er det gennem en trunk på et fysisk interface? Har du specificeret, at dette interface skal være en trunk og at vlan 1 må køre igennem? Tog du en kopi af konfigurationen før du slettede den, så du kan sammenligne med den nuværende?
Jeg kan ikke komme ind udefra, jeg har kørt; ip nat inside source static tcp 10.1.1.2 80 interface vlan1 80 (for at sende www videre til 192.168.0.80) men kan ikke komme igenem.
Router#show ip nat transla tcp Pro Inside global Inside local Outside local Outside global tcp 10.1.1.1:3389 10.1.1.2:3389 --- --- tcp 10.1.1.1:80 10.1.1.2:80 --- ---
Du behøver ikke at bruge routerens eksterne adresse, hvis du har flere eksterne adresser at gøre godt med. I stedet kan du skrive ip nat inside source static tcp 10.1.1.2 80 <extern ip> 80 Inderside ip'en kan være på et hvilket som helst vlan, så længe routeren bare kan sende pakken videre til det vlan.
Tilsvarende med nat, der kommer indefra, "ip nat inside source list 100 int fe0 overload" kan erstattes med "ip nat inside source list 100 <extern ip> overload" access-list 100 kan erstattes med en anden access-liste, så de forskellige vlans kommer ud med forskellige eksterne ip'er, hvis det ønskes.
Ok, men hvad hvis jeg har flere IPer på ydresiden, for så at føre dem ind til andre ting, Fx. ip1 til en mail server, ip2 til en web server, ip3 til VPN, osv. Kan man det?
Du behøver ikke at "ofre" en hel ip adresse på hver server, så længe de ikke kører på samme porte: ip nat inside source static tcp <intern ip1> 25 <ekstern ip> 25 ip nat inside source static tcp <intern ip2> 80 <ekstern ip> 80 Ovenstående er helt ok, så længe de forskellige services kan entydigt specificeres på tcp/udp port. Hvis du alligevel gerne vil have en specifik ekstern ip adresse pr. interne server er syntaksen: ip nat inside source static <intern ip1> <ekstern ip1> ip nat inside source static <intern ip2> <ekstern ip2> ip nat inside source static <intern ip3> <ekstern ip3>
Vær opmærksom på, at med sidstnævnte syntaks bliver ALT dirigeret ind til serverne. Du er derfor nødt til at have endnu bedre styr på firewall-regler eller access-listerne på routerne.
Tak, jeg tror jeg har lang vej, men syntes ikke at jeg kan være bekendt at blive ved med at få hjælp. Rykker du ud og laver noget (for penge, naturligvis)?
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
