这些问题,我写出来,只是让我有一天在碰到同样的问题的时候能从自己的地方找到答案。
NAT 转换的小问题,这些都是特定环境,不能照搬的。
1.1 我们FW上做NAT的时候,做了一个地址池,用户在私网访问别的主机,对方主机上显示的都是NAT address-group 1 地址。
配置贴上:nat address-group 1 200.134.231.13 200.134.231.13 vrrp 1
nat server protocol tcp global 200.134.231.16 www inside 192.168.13.11 www vrrp 1 no-reverse
解决解释:当nat server protocol tcp global 这个语句后面带了no-reverse表示出口IP 就是address-group 200.134.231.13,语句后面没有no-reverse表示出口ip 就是global ip 200.134.231.16 。
1.2 在private ip主机上,只能访问本网段以外的public ip。不能访问本网段做了NAT 的public ip 地址。
解决解释:这种问题是FW上permit trust 到untrust NAT 访问,deny trust到trust NAT 访问。需要做域内NAT.
附上语句:【】firewall zone trust
【 】nat outbound ACL_number address-group 1
