重启后 Cisco IOS nat 内部无法正常工作

网络工程 思科-ios
2021-07-07 14:58:53

我有一个奇怪的问题 - 重新启动运行 IOS 15.5 的 Cisco 867 路由器后,所有内部 NAT 转换都不起作用,直到我在外部接口上删除并重新建立访问组。我确定重新启动时存在排序问题,但我不知道为什么。我的配置列出:

  ip inspect name Internet-out icmp router-traffic
  ip inspect name Internet-out tcp router-traffic
  ip inspect name Internet-out udp router-traffic

外部接口配置:

interface GigabitEthernet2
ip address dhcp
ip access-group Internet in
no ip unreachables
ip inspect Internet-out out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable

导致问题的访问组:

ip access-list extended Internet
permit udp any any eq domain log
permit tcp any any eq domain log
permit tcp any any eq www log
permit tcp any any eq 443 log 
deny ip any any log

重新启动后 - 我必须手动执行以下操作,否则没有内部 NAT 转换工作 - “show ip nat translations”在表中不显示任何内容。

interface GigabitEthernet2
no ip access-group Internet in
ip access-group Internet in

就像魔法一样,一切都开始起作用了。我已经检查了 running-config 顺序,并且在我发出命令后它重新启动时完全相同。我很难过,无法弄清楚这一点。

1个回答

将 IOS 从 15.5 升级到 15.5.3 后,我终于可以使用 ZBF 代替 CBAC。由于该版本中的错误,您无法创建策略。然后我能够删除检查规则并将它们替换为策略并删除访问列表。进行这些更改后,重启问题和路由器挂起问题(是的,外部接口会在 4-5 小时后挂起)完全消失了。

对于较新的 IOS 版本,CBAC 中似乎存在一些严重的错误,思科不会根据他们自己的文档修复它们。我的建议是放弃 CBAC 并在所有较新的 IOS 版本中使用基于区域的防火墙。

其它你可能感兴趣的问题
上一篇思科站点到站点 VPN 配置 下一篇BGP 可以从多个站点向同一个 ISP 通告相同的 IP 范围吗