Subnets.ru

[plastilin]

Есть конфигурация интерфейсов:

Код: Выделить всё

interface FastEthernet0/0.10
 description --==INTERNAL==--
 encapsulation dot1Q 10
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 no cdp enable

Код: Выделить всё

interface FastEthernet0/0.130
 description --==EXTERNAL==--
 encapsulation dot1Q 130
 ip address 10.10.10.1 255.255.255.0
 ip nat outside
 no cdp enable

Код: Выделить всё

access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet0/0.130 overload

Проблема - не работает!

После того как поднимаю ip nat outside на другом физическом интерфейсе например interface FastEthernet0/1.200 - Все начинает работать. Как я понимаю затык в том что нат запускается на одном и том же интерфейсе в разных вланах... Как сделать?

[lehisnoe]

М.б. попробовать воспользоваться loopback'ом? Пример не совсем точный, но мысль доносит

[plastilin]

Пробовал.

Код: Выделить всё

interface Loopback0
 description --==NAT==--
 ip address 10.10.10.1 255.255.255.255
 ip nat outside
 ip virtual-reassembly

Код: Выделить всё

interface FastEthernet0/0.10
 description --==INTERNALNETWORK==--
 encapsulation dot1Q 10
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no cdp enable

Код: Выделить всё

ip nat inside source list 101 interface Loopback0 overload
access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Не работает. Хотя с роутера от имени лупбека все ходит.

[root]

а что показывает при этом

Код: Выделить всё

show ip nat translation

Код: Выделить всё

show ip nat statistics

?

[plastilin]

По нулям... Пока отказался от этой затеи нужно было срочно сделать чтобы работало... аутсайд сделал на другом физическом интерфейсе все завелось и пока работает.

[lehisnoe]

Чуть позже отпишусь о рабочем конфиге подобной схемы.

[plastilin]

Ок. Буду благодарен.

[lehisnoe]

Итого, все прекрасно натится и без лупбэков:

Код: Выделить всё

interface FastEthernet0/0.333
 description ===Ext_link===
 encapsulation dot1Q 333
 ip address 172.16.103.2 255.255.255.252
 ip nat outside
!
interface FastEthernet0/0.444
 description ===Int_link===
 encapsulation dot1Q 444
 ip address 172.16.203.2 255.255.255.252
 ip nat inside
 ip policy route-map Nat
!
ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30
ip nat inside source list 10 pool external overload
!
access-list 10 permit 172.16.203.0 0.0.0.3
access-list 102 permit ip 172.16.203.0 0.0.0.3 any
route-map Nat permit 10
 match ip address 102
 set ip next-hop 172.16.103.1


Производился пинг с адреса 172.16.203.1 адреса 172.16.5.99.
Дебаг:

Код: Выделить всё

7206#sh deb
Generic IP:
  IP NAT debugging is on
  IP NAT detailed debugging is on
  IP NAT Static routes debugging is on
  IP NAT PORT debugging is on

01:08:18: NAT: address not stolen for 172.16.203.1, proto 1 port 6151
01:08:18: NAT: installing alias for address 172.16.103.2
01:08:18: NAT: alias insert failed for 172.16.103.2
01:08:18: NAT: creating portlist proto 1 globaladdr 172.16.103.2
01:08:18: NAT: Allocated Port for 172.16.203.1 -> 172.16.103.2: wanted 6151 got 6151
01:08:18: add_hash: hash 172.16.203.1 172.16.5.99 6151 6151, local 6291
01:08:18: add_hash: hash 172.16.103.2 172.16.5.99 6151 6151, global 13459
01:08:18: NAT: i: icmp (172.16.203.1, 6151) -> (172.16.5.99, 6151) [3594]
01:08:18: NAT: s=172.16.203.1->172.16.103.2, d=172.16.5.99 [3594]
01:08:18: NAT*: o: icmp (172.16.5.99, 6151) -> (172.16.103.2, 6151) [61086]
01:08:18: NAT*: s=172.16.5.99, d=172.16.103.2->172.16.203.1 [61086]


Трасса:

Код: Выделить всё

traceroute to 172.16.5.99 (172.16.5.99) from 172.16.203.1, 64 hops max, 60 byte packets
 1  172.16.203.2 (172.16.203.2)  0.642 ms  0.936 ms  0.942 ms
 2  172.16.103.1 (172.16.103.1)  1.872 ms  1.902 ms  1.944 ms
 3  172.16.5.99 (172.16.5.99)  2.937 ms  2.885 ms  2.946 ms


[plastilin]

Более подробно можно расписать нижеинтересующее? Желательно построчно... пожалуйста, особенно касательно Wildcard

Код: Выделить всё

ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30
ip nat inside source list 10 pool external overload
!
access-list 10 permit 172.16.203.0 0.0.0.3
access-list 102 permit ip 172.16.203.0 0.0.0.3 any
route-map Nat permit 10
match ip address 102
set ip next-hop 172.16.103.1


[lehisnoe]

Более подробно можно расписать нижеинтересующее? Желательно построчно... пожалуйста, особенно касательно Wildcard

Код: Выделить всё

ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30
ip nat inside source list 10 pool external overload


Пакеты, попадающие под акссес-лист 10 должны быть транслированы в адрес из пула под названием external

Код: Выделить всё

access-list 10 permit 172.16.203.0 0.0.0.3
access-list 102 permit ip 172.16.203.0 0.0.0.3 any


Это два акссес-листа (обычный и расширенный )
10 - используется для ната, 102 - для роут-мапы.

Код: Выделить всё

route-map Nat permit 10
match ip address 102
set ip next-hop 172.16.103.1


А это роут-мапа, кот. меняет некст-хоп (т.е., по сути, тут мы юзаем PBR - Policy Based Routing).

Вот и все

P.S. М.б. пригодится ссылка с cisco.com