форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Проблема с NAT на 2951"	+/–
Сообщение от install on 13-Авг-14, 06:45
Здравствуйте уважаемые.   Столкнулся с непонятным поведением NAT-а в cisco.   Исходые данные: Cisco 2951 IOS c2951-universalk9_npe-mz.SPA.152-4.M5.bin   2 провайдера X и Y, X – основной, резервирование на Y не нужно. От каждого провайдера имею: сеть точка-точка для организации подключения, и по 1 блоку реальных адресов /29, расположенных в локалке. Так же в локалке бегает 192.168.1.0/24. В сторону Y маршрутизируется какое-то число сетей провайдера Y и сети 172.0.0.0/8. Требуется: в направлении X выпускать без трансляции X.X.141.208/29 и натировать 192.168.1.0/24. в направлении Y выпускать без трансляции Y.Y.16.64/29, натировать X.X.141.208/29 и 192.168.1.0/24. Конфигурация cisco:   G0/0 подключен транком к catalys-у, тут все работает.   На G0/2 висит несколько адресаций, так и должно быть. interface GigabitEthernet0/0.10 description "Link to X" encapsulation dot1Q 10 ip address X.X.151.138 255.255.255.252 ip accounting output-packets ip nat outside ! interface GigabitEthernet0/0.11 description "Link to Y" encapsulation dot1Q 11 ip address Y.Y.95.42 255.255.255.252 ip accounting output-packets ip nat outside ! interface GigabitEthernet0/2 ip address 192.168.1.1 255.255.255.0  secondary ip address Y.Y.16.70 255.255.255.248 secondary ip address X.X.141.209 255.255.255.248 ip accounting output-packets ip nat inside ! ip nat inside source list 10 interface GigabitEthernet0/0.10 overload ip nat inside source list 11 interface GigabitEthernet0/0.11 overload ip route 0.0.0.0 0.0.0.0 X.X.151.137 ip route 0.0.0.0 0.0.0.0 Null0 255 ip route 172.0.0.0 255.0.0.0 Y.Y.95.41 ip route Y.Y.65.0 255.255.248.0 Y.Y.95.41 ! access-list 10 permit 192.168.1.0 0.0.0.254 access-list 11 permit 192.168.1.0 0.0.0.254 access-list 11 permit X.X.141.208 0.0.0.7   С cisco прекрасно видно и внешний мир через X и сети провайдера Y, включая 172.0.0.0/8   Теперь описание проблемы.   При включении  на GigabitEthernet0/2  «ip nat inside» с адресов X.X.141.208/29 внешний мир через X пропадает, но зато есть доступность к сетям Y. И при этом в ACL 10 должно стоять «permit any», что совсем нехорошо, но иначе 192.168.1.0/24 вообще никуда не ходит.   Пробовал ставить ACL с 100 номера — бесполезно.   Пробовал назначать пулы адресов — та же самая картина.   Может еще какой параметр надо включить? Гугление выдает практически одно и то же, на cisco.com описана такая-же конфигурация, только без secondary на локальном интерфейсе. З.Ы.: похожая конфигурация, только с одной трансляцией в сторону Y работает на cisco 2811 с ios 12.x – никаких проблем нет.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с NAT на 2951"	+/–
Сообщение от Andrey (??) on 13-Авг-14, 14:57
Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. После этого разбирайтесь с NAT.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Проблема с NAT на 2951"	+/–
	Сообщение от ShyLion (ok) on 13-Авг-14, 15:44
	> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. > После этого разбирайтесь с NAT. К делу отношения не имеет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Проблема с NAT на 2951"	+/–
	Сообщение от install on 14-Авг-14, 02:44
	> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. > После этого разбирайтесь с NAT.   Неправильно это, не должно быть так сложно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Проблема с NAT на 2951"	+/–
	Сообщение от ShyLion (ok) on 14-Авг-14, 07:08
	>> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. >> После этого разбирайтесь с NAT. >   Неправильно это, не должно быть так сложно. Неправильно засовывать в один сегмент машины пользователей и серверы с реальными IP.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Проблема с NAT на 2951"	+/–
Сообщение от ShyLion (ok) on 13-Авг-14, 15:43
>   Здравствуйте уважаемые. >   Столкнулся с непонятным поведением NAT-а в cisco. >   Исходые данные: Использовать ip nat inside route-map .. в роутмапах кроме аксес листов матчить еще исходящий интерфейс
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Проблема с NAT на 2951"	+/–
	Сообщение от install on 14-Авг-14, 02:43
	> Использовать ip nat inside route-map .. > в роутмапах кроме аксес листов матчить еще исходящий интерфейс   Да уж, больше ничего не остается. Только странно: cisco мощная шелезяка, но не справиться с простым NAT-ом - очень странно...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Проблема с NAT на 2951"	+/–
	Сообщение от ShyLion (ok) on 14-Авг-14, 07:06
	>> Использовать ip nat inside route-map .. >> в роутмапах кроме аксес листов матчить еще исходящий интерфейс >   Да уж, больше ничего не остается. Только странно: cisco мощная > шелезяка, но не справиться с простым NAT-ом - очень странно... Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Проблема с NAT на 2951"	+/–
	Сообщение от install on 14-Авг-14, 08:25
	> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено. Вот тут-то и вопрос: что неправильно настроено?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Проблема с NAT на 2951"	+/–
	Сообщение от ShyLion (ok) on 14-Авг-14, 08:31
	>> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено. > Вот тут-то и вопрос: что неправильно настроено? Когда "наружу" два и более выходов, нужно использовать не "ip nat inside source list ..." а "ip nat inside source route-map ...". Внутри route-map матчить тот самый лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять странно, но уж как есть.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Проблема с NAT на 2951"	+/–
	Сообщение от install on 14-Авг-14, 10:19
	> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside > source list ..." > а "ip nat inside source route-map ...". Внутри route-map матчить тот самый > лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять > странно, но уж как есть.   Спасибо за подсказку.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Проблема с NAT на 2951"	+/–
	Сообщение от ShyLion (ok) on 14-Авг-14, 11:42
	>> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside >> source list ..." >> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый >> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять >> странно, но уж как есть. >   Спасибо за подсказку. Получилось?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема