Level: Profi
In komplexen Netzarchitekturen muß der Admin gelegentlich in die Trickkiste greifen um sein Ziel zu erreichen. NAT ist mittlerweile hinlänglich bekannt. Policy NAT ist eher unbekannt.
Eines vorneweg: Policy NAT wird leider von den wenigsten Layer 3 Swiches unterstützt. Auf Cisco 650X mit SUP720 kein Problem.
Die Quelladressen in Vlan 2 sollen nur beim Zugriff auf Vlan 3 auf einen Pool im zu VLAN3 gehörenden Adressbereich geNATtet werden. Alle anderen Verbindungen werden nicht geNATtet:
ip nat pool pool-2 192.168.2.20 192.168.2.25 prefix-length 24
ip nat inside source route-map MAP-2 pool pool-2
interface Vlan 2
ip nat inside
...
interface Vlan 3
ip nat outside
...
ip access-list extended MGMT-ACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
deny ip any any
route-map MAP-2 permit 10
match ip address MGMT-ACL