Question

关于cisco交换机端口映射问题

公司有一CISCO3750做核心交换机，使用网段192.168.0.0 接上层有一网关接外网，下层局域网网段是192.168.5.0内有一PC想做端口映射到外网，本人对CISCO 配置还不是很熟悉，请各位指点指点。
本人在3750交换机上尝试做ip nat 端口映射，提示非法，不认此命令。看资料介绍说，交换机不具备此命令。然后直接在网关路由器上设置虚拟服务器端口设置。设置时设好了，但经过检测，端口映射不成功。
请问，是否需要在3750上设置什么？想实现这个情况应该怎么做？谢谢

Answer 1

三层交换机上一般不提供nat功能，要在路由器，一般就是对外的网关路由、防火墙、流量平衡等设备上实现。nat设置与核心配置没有太大关系，但要保证核心到nat设备的网络（路由）是通的。通常先要在nat设备上进行动态地址映射的配置，就是要让内部终端可以对外访问。但该模式无法让外部对内访问，就是说外部没有确定地址可对内访问。解决方法有两个：

1. 静态地址映射。首先要有多余的地址，就是接入商提供了至少两个公网地址。只要用类似ip nat  inside或outside来说明一个公网地址和一个内部地址的对应关系即可。专用nat设备一般还提供了web界面，配置过程更为简单。

2. 静态端口映射。当只有一个公网地址时采用。也是用类似上边的命令建立公网地址、对外端口与内网地址、服务端口的对应关系即可。通常命令中要加入tcp参数，以说明是端口映射。比如你有一个web服务器需要被外部访问，服务器地址为192.168.1.5，服务端口为80。而你的公网地址为1.1.1.1，就可将1.1.1.1 80与192.168.1.5 80进行映射绑定。此时公网用户只要在浏览器地址栏输入http://1.1.1.1 即可访问你的服务器（默认端口80）。当然你也可以用1.1.1.1 222来映射192.168.1.5 80，那么外网用户就要用http://1.1.1.1:222  来访问你的服务。

追问

没有完全回答我的问题，现在在网关路由器上已经设置好了端口映射，但依然不能实现映射到网内PC上，是否需要在CISCO3750上设置，具体需要设置哪些内容？ip nat在3750是无法使用的！请根据我的实际情况回答，如果不清楚，我会及时补充！网内PC能正常访问外网。

追答

说啦，如果你内网的其它机器能够通过出口网关路由上互联网，则核心3750就不存在设置问题，除非：

1. 你的这台PC和其他机器分属不同网段，而这台PC所属网段没有被3750路由到出口网关。

2. 3750上设置了acl，禁止非内网ip地址访问这台PC。

 

其实应该先不考虑端口映射，而是让这台PC能够和其他终端一样能够通过动态NAT上互联网（由内向外的映射），然后再考虑由外向内的映射问题。

 

另外，请说明这台PC为什么需要做端口映射，是准备向外提供web或ftp服务或是其他服务？不是提供服务则映射没有意义。如果接入商提供的是动态地址，则映射的意义也不大。

Answer 2

据我所知交换机是做不了NAT的，所以你的交换机不要做任何设置，NAT在路由中设置。检查核心的ACL是不是设置了禁止，如果没有那么检查防火墙是不是有相关设置。

追问

已经在外网的路由器上设置了映射，并设置好了该PC子网的路由，还是不能映射，用PC去PING CISCO3750的外网出口192.168.0.1，是不通的，感觉是这个3750没设置好，但不知道具体哪里设置！看看3750的配置，也没看到禁止列表之类的。如果去掉3750，路由器后面直接接上PC，这样映射是成功的！各位，帮帮忙

追答

路由器的IP是什么啊，如果是192.168.0.1那么需要有一个默认路由出去，如
ip rout 0.0.0.0 0.0.0.0 192.168.0.1，当然了，你的交换机一定要先开启三层模式命令：ip rout。
当然，如果192.168.0.1是你的vlan地址，那么你需要制定对路由。ping不通可能是路由写的有问题。

Answer 3

你可以升级交换机的内核，以获取更高级的特性