问题描述

思科关于NAT网络地址转换问题！

Building configuration...

Current configuration : 1422 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
!
ip dhcp pool cisco
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
ip dhcp pool cisco1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
!
ip cef
no ipv6 cef
!
!
!
username cisco secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
license udi pid CISCO2911/K9 sn FTX15245DY7
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address 172.16.10.1 255.255.0.0
ip access-group test1 out
ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.2.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0
network 172.16.0.0 0.0.255.255 area 0
network 192.168.2.0 0.0.0.255 area 0
!
ip nat pool wan 172.16.10.1 172.16.10.1 netmask 255.255.0.0
ip nat inside source list test1 interface GigabitEthernet0/0 overload
ip classless
!
ip flow-export version 9
!
!
ip access-list extended test1
permit ip 192.168.2.0 0.0.0.255 any
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login local
!
!
!
end

这是我简单的一个实验环境，为什么当我在G0/0口应用了“ ip access-group test1 out”后，我的192.168.2.0网段也不能访问外部服务器了呢！

解决方案

回答的人好少，虽然我不知道为什么应用成outside接口的out会出现这种情况，但是我自己处理，将acl应用到离源最近的G0/1接口使用in就能满足实际业务需求，如果有大神知道为什么应用到G0/0接口的OUT的问题，请不吝赐教。

解决方案二：

今天太累了，明天一早回答你，不要急

解决方案三：

本人初学。
G0/0是链接外部网络的吧，G0/1-2都是内部网络接口。ip nat 在内部网络接口inside，在外部网络接口outside，这都没错。
你用的是PAT，地址池中就只有一个可用地址172.16.10.1，就是外部端口的地址，所以在你设置inside的接口会把所以进来的地址都换成这个。
之后你在G0/0端口设置了一个ACL，只允许192.168.2.0网段通过，这不就是相当于把另两个端口关闭了吗？就算从G0/1-2进来的是192.168.2.0网段的地址也会被转换成172.16.10.1的地址的。
我个人就理解到这种程度，有错误指出来。