Tôi đã tạo một đường hầm IPsec giữa CSR 1000v (AWS) của chúng tôi và bộ định tuyến của nhà cung cấp dịch vụ LTE (ASR) và tôi có thể ping cả hai bên của Đường hầm với cấu trúc sau:
|<---> internet <---> máy chủ web 134.231.4.100
CSR 1000v: |GigabitEthernet1 12.21.0.134 (được ánh xạ tới IP đàn hồi 54.154.54.AAA)
|GigabitEthernet2 12.21.4.50 (mạng con riêng tư)
|
|
ASR: 10.0.16.1 (được ánh xạ tới IP đàn hồi 54.229.30.BBB)
|
Thiết bị trường 10.0.16.100
Chúng tôi cần truy cập máy chủ web của mình bằng IP công khai 134.231.4.100
và bằng cách đặt NAT, tôi có thể truy cập nó (hoặc bất kỳ địa chỉ IP công cộng nào) từ miền bên trong 12.21.0.0/16
phạm vi, trong đó danh sách truy cập NAT được đặt là:
CSR1000#hiển thị danh sách truy cập
Danh sách truy cập IP tiêu chuẩn GS_NAT_ACL
10 giấy phép 192.168.35.0, bit ký tự đại diện 0.0.0.255
Danh sách truy cập IP mở rộng NAT-LAN
10 cho phép ip 12.21.4.0 0.0.0.255 bất kỳ
Tôi cũng cần tạo lưu lượng giữa các nút phía sau đường hầm IPsec (10.0.16/22), vì vậy tôi đã mở rộng danh sách truy cập NAT-LAN thành:
CSR1000#hiển thị danh sách truy cập NAT-LAN
Danh sách truy cập IP mở rộng NAT-LAN
10 cho phép ip 12.21.4.0 0.0.0.255 bất kỳ
20 cho phép ip 10.0.16.0 0.0.0.255 bất kỳ
nhưng tôi không thể ping máy chủ web từ thiết bị hiện trường 10.0.16.100 (hoặc các nút phía sau đường hầm IPsec).
Bạn có thể vui lòng cho tôi biết nếu tôi cần thêm/sửa đổi cấu hình để cấp quyền truy cập internet cho các thiết bị trong trường (hoặc chuyển tiếp lưu lượng truy cập từ các nút IPSec sang internet) không?