GNS3 +asa 802 模拟，NAT转换不成功

surges

PC(192.168.101.2)-----SW--inside----(192.168.101.1/24)ASA(200.100.1.1/24)----outside---Route(200.100.1.2)

1)搭建平台，两个网段能互相Ping通；

2)ASA上写access-list all extended permit ip any any

               access-list all extended permit icmp any any

               access-group all in interface inside

               access-group all in interface outside

测试：两个网段能相互Ping通 同网段，PC 和Route 不能互相Ping通

3）继续写配置：

nat-control

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

测试：两个网段能相互Ping通同网段，PC 和Route 不能互相Ping通。

使用

ciscoasa#show xlate：

0 in use, 0 most used

ciscoasa# show nat inside outside

match ip inside any outside any

    dynamic translation to pool 1 (200.100.1.1 [Interface PAT])

    translate_hits = 0, untranslate_hits = 0

  match ip inside any outside any

    no translation group, implicit deny

    policy_hits = 0

可以看出，NAT已经做了，但是不能通。

4）继续写配置：

static (inside,outside) 200.100.1.1 192.168.101.2 netmask 255.255.255.255

测试：

两个网段能相互Ping通同网段，PC 和Route 不能互相Ping通。

求指教： 是不是模拟器有问题呢，还是配置写少了？？？？？  （！！！已经试过网上能找到几乎所有的802了，但是这个问题一直没得到解决。。。。）

补充： 路由已经做好了，上全部配置：

ciscoasa# show run
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.101.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 200.100.1.1 255.255.255.0
!
interface Ethernet0/2
no nameif
security-level 0
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot config disk0:/.private/startup-config
ftp mode passive
access-list all extended permit ip any any
access-list all extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 200.100.1.1 192.168.101.2 netmask 255.255.255.255
access-group all in interface inside
access-group all in interface outside
route outside 0.0.0.0 0.0.0.0 200.100.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0

在路上

ACL 只需要

               access-list all extended permit icmp any any 一条即可

调用在：

               access-group all in interface outside

不需要调用在内网口。

另外PC要配置网关。

li542182964

哇塞，好难看懂哦！！！

surges

在路上 发表于 2012-4-28 16:54
ACL 只需要
               access-list all extended permit icmp any any 一条即可调用在：          ...

看得出来兄弟是高手！！
所有命令只是为了确保实验的成功率，在实际环境中肯定不这么写的。
网关也配置了，用的是win 2003，网关设置的是192.168.101.1

qq360870025

你网段到底是10.10.10.0/24 呢 还是200.100.1.0/24  呢

surges

qq360870025 发表于 2012-4-28 17:34
你网段到底是10.10.10.0/24 呢 还是200.100.1.0/24  呢

不好意思，描述错误 外网段是200.100.1.0/24

在路上

做通了吗？

surges

在路上 发表于 2012-4-28 19:27
做通了吗？

还没有，期待高手看看配置有木有错误。 如果配置没有问题，难道模拟器真有Bug？

ssq546

surges 发表于 2012-4-30 14:20
还没有，期待高手看看配置有木有错误。 如果配置没有问题，难道模拟器真有Bug？

pc1默认网关为防火墙的内接口

wodezhaoxin123

呵呵是IOS的问题

hoho5000

我也遇到此类问题，配置好了NAT就是 inside ping 不通与outside直连的路由接口，这个到底是什么问题啊，如果不能ping的话如何测试实验是否成功？

hoho5000

我也遇到此类问题，配置好了NAT就是 inside ping 不通与outside直连的路由接口，这个到底是什么问题啊，如果不能ping的话如何测试实验是否成功？

Romy_Schneider

请问楼主，外部Router 上需要些，静态路由，指向内网吗

liuctd

路由器上有回程路由么?

麦斯威尔

楼主，求个802的IOS，谢谢