CISCO 2800 企业光纤接入的NAT问题

gaodb

--------联通光纤--------C2811----------三层交换机----------服务器
ip nat pool mail x.x.x.4 x.x.x..4 netmask 255.255.255.248
ip nat inside source list 2 pool mail
ip nat inside source static tcp 10.1.1.9 80 x.x.x.4 80 extendable
access-list 2 permit 10.1.1.6

以上虽然实现了一个公网IP可以反向NAT到多台服务器的不同端口（10.1.1.6未使用的端口），但10.1.1.6却被全映射出去了，很不安全。
问题：如何配置才能让10.1.1.6不被全映射，只是出站使用X.X.X.4，且X.X.X.4可以反向NAT到多个内肉IP的不同端口？

guojiayuto

你ACL就配错了应该是扩展ACL好不好。。。。

123qwerpk

只要不是静态映射貌似就不会把所有端口都映射成外网端口吧。也就是说，你这样做应该只是把内网的80端口映射到X.X.X.4的80端口。  本人也是菜鸟，个人观点，不对的话希望大神教育。

maotoo

看起来怪怪的 你不就是只有一个对外端口么？  你用PAT不能解决问题？

gaodb

（一）、ip nat inside source list 2 pool mail
access-list 2 permit 10.1.1.6

（二）、ip nat inside source static 10.1.1.6 x.x.x.4

以上（一）、（二）效果是一样的
换个说法吧，除了全映射，如何实现一个内网IP出站使用某一个公网IP ？

gaodb

guojiayuto 发表于 2012-12-27 14:04
你ACL就配错了应该是扩展ACL好不好。。。。

标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等
这里只需要对源IP进行控制。

gaodb

真是奇怪了，思科的设备怎么会跟变魔术一样。
昨天发的贴，具体配置在1楼，昨天10.1.1.6开着的端口21、443、3389……被映射出去了，即在外网都能TELNET通。
今天配置没变，再测试，10.1.1.6开着的端口，在外网全部都TELNET不通。

gaodb

gaodb 发表于 2012-12-27 15:06
（一）、ip nat inside source list 2 pool mail
access-list 2 permit 10.1.1.6

是我理解错了，（一）（二）真的不一样，谢谢各位！