关于NAT的问题。

骆驼刺

原帖由 "tjwsj" 发表：
做ACL这个思路比较麻烦哦~~~
楼主两个地方的配置有问题。
ip nat inside soure static 172.18.1.253 202.142.221.6
这句话的解释：来自于172.18.1.253的地址转化为202.142.221.6，而楼主的目的是vlan全部可以上?.........

谢谢tjwsj的转头，那如果不做ACL，采用何种方式如何配置？请详细告诉我吧。

寂寞走荒野

在45上做一条静态路由
IP ROUTE 0.0.0.0 0.0.0.0 防火墙内口IP
在26上做一条NAT
p nat inside soure static 0.0.0.0 202.142.221.6
在26上做一条静态路由
IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).

寂寞走荒野

在45上做一条静态路由
IP ROUTE 0.0.0.0 0.0.0.0 防火墙内口IP
在26上做一条NAT
p nat inside soure static 0.0.0.0 202.142.221.6
在26上做一条静态路由
IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).

寂寞走荒野

在45上做一条静态路由
IP ROUTE 0.0.0.0 0.0.0.0 防火墙内口IP
在26上做一条NAT
p nat inside soure static 0.0.0.0 202.142.221.6
在26上做一条静态路由
IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).

tjwsj

IP ROUTE 172.0.0.0 255.0.0.0 防火墙内口(用接口,不用IP).
这句是BUG。26上虽然支持用接口作为静态路由转发的目的地，但是，并不是下一跳的接口，而是本地路由器上的接口。还有一点，这条语句会造成IOS的Bug。可以show arp的时候看到NNNNN多的莫名表象。这个在Cisco官方网站已经被证实了。所以还是建议使用下一跳的的地址，而不是本地接口。

tjwsj

ip nat inside soure static 172.18.1.253 202.142.221.6
改为
ip nat inside soure static 172.18.0.0 202.142.221.6 overload
其中overload是过载，支持PAT。
不要使用0.0.0.0作为Nat的内部地址，会被一些不必要的数据流量造成麻烦的。所以
ip nat inside soure static 0.0.0.0 202.142.221.6
最好不要用。

寂寞走荒野

不好意思,忘了防火墙是桥模式了,应该都是路由器,如果下一跳指向本地接口有问题,可以在45上配置路由接口,CISCO设备支持这一功能,如果3COM设备需要建立一个独立的用于路由的VLAN.
另外,,本地接口做路由下一跳,我曾经用过,没发现有什么问题,如果真有上述现象,我想还是小心为妙,以后我是不会这么配置了.