Subnets.ru

Есть конфигурация интерфейсов:

Код: Выделить всё: interface FastEthernet0/0.10 description --==INTERNAL==-- encapsulation dot1Q 10 ip address 192.168.2.1 255.255.255.0 ip nat inside no cdp enable

Код: Выделить всё: interface FastEthernet0/0.130 description --==EXTERNAL==-- encapsulation dot1Q 130 ip address 10.10.10.1 255.255.255.0 ip nat outside no cdp enable

Код: Выделить всё: access-list 1 permit 192.168.2.0 0.0.0.255 ip nat inside source list 1 interface FastEthernet0/0.130 overload

Проблема - не работает!

После того как поднимаю ip nat outside на другом физическом интерфейсе например interface FastEthernet0/1.200 - Все начинает работать. Как я понимаю затык в том что нат запускается на одном и том же интерфейсе в разных вланах... Как сделать?

М.б. попробовать воспользоваться loopback'ом? Пример не совсем точный, но мысль доносит

Пробовал.

Код: Выделить всё: interface Loopback0 description --==NAT==-- ip address 10.10.10.1 255.255.255.255 ip nat outside ip virtual-reassembly

Код: Выделить всё: interface FastEthernet0/0.10 description --==INTERNALNETWORK==-- encapsulation dot1Q 10 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly no cdp enable

Код: Выделить всё: ip nat inside source list 101 interface Loopback0 overload access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Не работает. Хотя с роутера от имени лупбека все ходит.

а что показывает при этом

Код: Выделить всё: show ip nat translation

Код: Выделить всё: show ip nat statistics

?

По нулям... Пока отказался от этой затеи нужно было срочно сделать чтобы работало... аутсайд сделал на другом физическом интерфейсе все завелось и пока работает.

Чуть позже отпишусь о рабочем конфиге подобной схемы.

Ок. Буду благодарен.

Итого, все прекрасно натится и без лупбэков:

Код: Выделить всё: interface FastEthernet0/0.333 description ===Ext_link=== encapsulation dot1Q 333 ip address 172.16.103.2 255.255.255.252 ip nat outside ! interface FastEthernet0/0.444 description ===Int_link=== encapsulation dot1Q 444 ip address 172.16.203.2 255.255.255.252 ip nat inside ip policy route-map Nat ! ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30 ip nat inside source list 10 pool external overload ! access-list 10 permit 172.16.203.0 0.0.0.3 access-list 102 permit ip 172.16.203.0 0.0.0.3 any route-map Nat permit 10 match ip address 102 set ip next-hop 172.16.103.1

Производился пинг с адреса 172.16.203.1 адреса 172.16.5.99.
Дебаг:

Код: Выделить всё: 7206#sh deb Generic IP: IP NAT debugging is on IP NAT detailed debugging is on IP NAT Static routes debugging is on IP NAT PORT debugging is on 01:08:18: NAT: address not stolen for 172.16.203.1, proto 1 port 6151 01:08:18: NAT: installing alias for address 172.16.103.2 01:08:18: NAT: alias insert failed for 172.16.103.2 01:08:18: NAT: creating portlist proto 1 globaladdr 172.16.103.2 01:08:18: NAT: Allocated Port for 172.16.203.1 -> 172.16.103.2: wanted 6151 got 6151 01:08:18: add_hash: hash 172.16.203.1 172.16.5.99 6151 6151, local 6291 01:08:18: add_hash: hash 172.16.103.2 172.16.5.99 6151 6151, global 13459 01:08:18: NAT: i: icmp (172.16.203.1, 6151) -> (172.16.5.99, 6151) [3594] 01:08:18: NAT: s=172.16.203.1->172.16.103.2, d=172.16.5.99 [3594] 01:08:18: NAT*: o: icmp (172.16.5.99, 6151) -> (172.16.103.2, 6151) [61086] 01:08:18: NAT*: s=172.16.5.99, d=172.16.103.2->172.16.203.1 [61086]

Трасса:

Код: Выделить всё: traceroute to 172.16.5.99 (172.16.5.99) from 172.16.203.1, 64 hops max, 60 byte packets 1 172.16.203.2 (172.16.203.2) 0.642 ms 0.936 ms 0.942 ms 2 172.16.103.1 (172.16.103.1) 1.872 ms 1.902 ms 1.944 ms 3 172.16.5.99 (172.16.5.99) 2.937 ms 2.885 ms 2.946 ms

Более подробно можно расписать нижеинтересующее? Желательно построчно... пожалуйста, особенно касательно Wildcard

Код: Выделить всё: ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30 ip nat inside source list 10 pool external overload ! access-list 10 permit 172.16.203.0 0.0.0.3 access-list 102 permit ip 172.16.203.0 0.0.0.3 any route-map Nat permit 10 match ip address 102 set ip next-hop 172.16.103.1

plastilin писал(а):Более подробно можно расписать нижеинтересующее? Желательно построчно... пожалуйста, особенно касательно Wildcard

Код: Выделить всё: ip nat pool external 172.16.103.2 172.16.103.2 prefix-length 30 ip nat inside source list 10 pool external overload

Пакеты, попадающие под акссес-лист 10 должны быть транслированы в адрес из пула под названием external

Код: Выделить всё: access-list 10 permit 172.16.203.0 0.0.0.3 access-list 102 permit ip 172.16.203.0 0.0.0.3 any

Это два акссес-листа (обычный и расширенный

)
10 - используется для ната, 102 - для роут-мапы.

Код: Выделить всё: route-map Nat permit 10 match ip address 102 set ip next-hop 172.16.103.1

А это роут-мапа, кот. меняет некст-хоп (т.е., по сути, тут мы юзаем PBR - Policy Based Routing).

Вот и все

P.S. М.б. пригодится ссылка с cisco.com

Subnets.ru

NAT на одном интерфейсе в CISCO с использованием Vlan

NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan

Re: NAT на одном интерфейсе в CISCO с использованием Vlan