CISCO思科路由端口映射,NAT回流的坑

最后更新时间:2023年10月17日  

公司使用的cisco的1921路由,没有web界面,因负责网络的同事不熟悉命令模式操作,加上自己的项目需要在路由器上做个端口映射,所有只能自己上马搞定它。
先是在cisco中文网站上有介绍可以刷web控制界面固件,考虑到后续操作方便,就惯性地按这个思路去做。结果找了一圈,没找到可以下载的固件,白费时间学了刷固件方法。
没办法,还是要用讨厌的大厂脾气的私有专用命令行。
首先先备份原有配置,用show run后复制有用的部分文本即可。
根据网络环境(静态IP+VPN+单地址段局域网,wan口g0/0 lan口g0/1),先用静态NAT来解决。花点时间,还是能找到下面的命令的

routeid(config)#access-list 88 permit 192.168.70.0 255.255.255.0 
routeid(config)#int g0/0
routeid(config-if)#ip nat outside
routeid(config-if)#int g0/1
routeid(config-if)#ip nat inside
routeid(config-if)#exit
routeid(config-if)#ip nat inside source static tcp SEVERIP 80 WANIP 88  extendable

最后一行的“extendable”视情况加 “access-list 88” 中的“88”建议100以上,不要和已有配置冲突

上面的内容综合多各网页介绍尝试出来的,花了不少时间。本来是可以缩短一些时间,只因刚开始测试时ip和SEVERIP同一网段,测试死活没有成功。测试中不小时拿起手机(移动流量非wifi)来访问看看,结果成功了。两者一对比才发现,手机处于“外网”,可以成功,测试机为内网,不成功,所谓的“NAT回流”。“NAT回流”不是我说的,我也是网络上查到的,cisco还有一贴,也没有贴出解决方法。链接为:思科路由器NAT回流问题

根据思科论坛中提到的几种方法,经过评估比较合适的有
1、DNS解释,内网访问WANIP绑定的域名时,有路由器直接解释到SEVERIP,但弊端是一是要绑定域名;二是端口要保持一致,备选;
2、NAT更改为NVI。查了一下,路由器还好支持的。

有开始查资料,比较一下,发现一篇比较好的https://blog.csdn.net/delicioustian/article/details/49203979
按步骤操作,结果还是不行。用百度搜索“cisco NAT回流”,匹配度最高的结果打不开(简称“最佳文章”最佳文章),郁闷。继续查查查:

关于防火墙映射回流的一些见解 https://www.lotro.cc/archives/824
思科路由器PPOEclient+NAT解决地址回流问题测试 https://dude6.com/article/41118.html
由TCP三次握手原理来分析NAT回流故障> https://jingyan.baidu.com/article/f3ad7d0ffac01009c3345b8a.html
Cisco路由交换-NAT详解三(区域无关NAT) https://mp.weixin.qq.com/s/EfyJTgt8v55CiseRGj_TZA
...

routeid(config)#access-l 102 permit tcp any host WANIP eq 88
routeid(config)#int g0/0
routeid(config-if)#ip nat enable
routeid(config-if)#int g0/1
routeid(config-if)#ip nat enable
routeid(config-if)#exit
routeid(config)#ip nat source static tcp SEVERIP 80 WANIP 88 extendable 
routeid(config)#ip nat source list 102 int g 0/1 overload
routeid(config)#exit
routeid#show ip nat nvi tra

上面命令输入后,内网用户还是无法通过公网地址访问内网服务器的原因是要关闭端口的重定向功能(已测试wan口是否关闭无影响)

routeid(config)#int g0/0   
routeid(config-if)#no ip redirects
routeid(config-if)#int g0/1
routeid(config-if)#no ip redirects

最后记得保存.

copy running-config startup-config

大功告成,喝口茶压压惊,随后刷新浏览器,“最佳文章”打开了。

无法获得访客IP,显示得是网关ip,无论内网外网

console USB驱动Cisco_usbconsole_driver_3_1.zip
连接说明:https://www.cisco.com/c/zh_cn/td/docs/security/firepower/1100/hw/guide/hw-install-1100/console.html?dtid=osscdc000283

声明:Alber.F|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - CISCO思科路由端口映射,NAT回流的坑

医疗器械质量和注册管理的信息化的尝试者