关于NAT的问题请教！

killmer

我在做一个关于NAT的实验，是一个两个方向的NAT，一个方向是NAT出去互联网，另一个方向是去集团总部。内网IP：172.16.16.0/24-172.16.20.0/24
需求，1.内网所有终端都需要访问互联网；2.内网172.16.16.0/24-172.16.17.0/24这两个网段需要访问集团总部；3.由于前期集团对分公司网络规划不规范，导致不能使用连接集团的端口IP作为outside地址，需要使用192.168.100.3-9/24作为outside地址。
对此需求，我的配置是对出去互联网就直接使用与ISP对接接口IP使用overload；对于去往集团总部的网段首先建立NAT POOL，再使用NAT。但是遇到一个问题，我用ACL抓取路由时，如果是以下配置就可以成功：
ip nat pool test 192.168.100.3 192.168.100.9 netmask 255.255.255.0
ip nat inside source list 10 pool test overload
ip nat inside source list 20 interface Ethernet0/2 overload

access-list 10 permit 172.16.16.0 255.255.255.0
access-list 10 permit 172.16.16.0 255.255.255.0
access-list 20 permit any



但是如果是以下配置就不能成功NAT去往集团，而且去往集团亦转换成去往互联网的IP地址
ip nat pool test 192.168.100.3 192.168.100.9 netmask 255.255.255.0
ip nat inside source list 20 pool test overload
ip nat inside source list 10 interface Ethernet0/2 overload

access-list 10 permit any
access-list 20 permit 172.16.16.0 255.255.255.0
access-list 20 permit 172.16.16.0 255.255.255.0
我觉得问题就出在ACL上，但ACL的序号不只是一个名称而已，但为什么好像亦影响了执行顺序，请大大们解释一下。

wxf_8131

个人觉得：
楼主的配置存在一个问题：针对现实情况来看的话，如果内网只存在16和17网段的话，两个ACL的效果是一样的，这种情况下极容易出现outside global 地址出现意外的地址。即需要访问集团地址的确转换成了外网地址。

建议使用扩展的ACL来获取nat的原地址，比如：

访问集团网络：
access-list 100 per 172.16.16.0 0.0.1.255 集团内网段地址
访问internet：
access-list 110 deny 172.16.16.0 0.0.1.255集团内网段地址
access-list 110 per 本单位内网段地址 any

通过有访问目的的方式来获取需要nat的原地址

不知道试一试会效果怎样

w3033254

vb vb vb