URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12546
[ Назад ]

Исходное сообщение
"2811 проблеммы с NAT или ACL "

Отправлено AlexRes , 22-Янв-07 17:10 
Добрый день,
столкнулся с ситуацией,которая с моей точки зрения  не может быть  но при этом существует
Есть маршрутизатор с2811,
на нем включены ADSL пользователи, при включении первого пользователя столкнулся со следующим:
У пользователя не работает ДНС (на яндекс по http по имени не попадают,по  IP адресу попадают)
при этом в sh ip nat translation  я вижу обращения с этого адреса на адрес ДНС сервера
С днс все впорядке (как со своими так проверял и через фришные)
начал искать прблемму на циске и столкнулся с тем,что все начинает работать если в ACL который висит на абонентском интерфейсе добавить слово log  все работает. Если ACL  с интерфейса убрать, то ДНС так же не работает.

Конфиги:

interface FastEthernet0/0
no ip address
no ip proxy-arp
no ip mroute-cache
duplex auto
speed auto
service-policy input bbone-in
!
interface FastEthernet0/0.4
description ### ADSL  USER DATA - HUAWEI 53000 ###
encapsulation dot1Q 4
ip address 10.0.14.1 255.255.255.0
ip access-group 103 in
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly
no ip mroute-cache
no cdp enable

interface FastEthernet0/1
no ip address
no ip proxy-arp
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/1.333
encapsulation dot1Q 333
description ### UP ###
ip address xxx.xxx.xxx.250 255.255.255.252
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip mroute-cache
ip ospf message-digest-key 1 md5 xxxxxxxxxxxxx
ip ospf network point-to-point
ip ospf hello-interval 1
ip ospf dead-interval 3
service-policy output SET_PREC_VOIP

ip nat translation timeout 1200
ip nat translation tcp-timeout 5400
ip nat translation syn-timeout 30
ip nat inside source list 14 interface FastEthernet0/1.333 overload


access-list 14 permit 10.0.14.0 0.0.0.255

access-list 103 deny   tcp any any range 137 139
access-list 103 deny   tcp any any eq 135
access-list 103 deny   tcp any any eq 445
access-list 103 permit icmp host 10.0.14.1 any
access-list 103 permit ip host 10.0.14.10 any
access-list 103 permit ip host 10.0.14.11 any log
access-list 103 permit ip host 10.0.14.12 any log
access-list 103 permit ip host 10.0.14.13 any
access-list 103 permit ip host 10.0.14.14 any
access-list 103 permit ip host 10.0.14.15 any log
access-list 103 deny   ip any any log


#sh ver
Load for five secs: 3%/2%; one minute: 2%; five minutes: 1%
Time source is NTP, 16:59:42.134 MSK Mon Jan 22 2007
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(8a), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 19-Jul-06 23:21 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)

R1 uptime is 3 days, 4 hours, 41 minutes
System returned to ROM by reload at 12:16:32 MSK Fri Jan 19 2007
System restarted at 12:17:40 MSK Fri Jan 19 2007
System image file is "flash:c2800nm-adventerprisek9-mz.124-8a.bin"
.....
Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
Processor board ID FCZ094071K4
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102


Содержание

Сообщения в этом обсуждении
"2811 проблеммы с NAT или ACL "
Отправлено Anonimys , 25-Янв-07 16:59 
>Добрый день,
>столкнулся с ситуацией,которая с моей точки зрения  не может быть  
>но при этом существует
>Есть маршрутизатор с2811,
>на нем включены ADSL пользователи, при включении первого пользователя столкнулся со следующим:
>
>У пользователя не работает ДНС (на яндекс по http по имени не
>попадают,по  IP адресу попадают)
>при этом в sh ip nat translation  я вижу обращения с
>этого адреса на адрес ДНС сервера
>С днс все впорядке (как со своими так проверял и через фришные)
>
>начал искать прблемму на циске и столкнулся с тем,что все начинает работать
>если в ACL который висит на абонентском интерфейсе добавить слово log
> все работает. Если ACL  с интерфейса убрать, то ДНС
>так же не работает.
>
>Конфиги:
>
>interface FastEthernet0/0
> no ip address
> no ip proxy-arp
> no ip mroute-cache
> duplex auto
> speed auto
> service-policy input bbone-in
>!
>interface FastEthernet0/0.4
> description ### ADSL  USER DATA - HUAWEI 53000 ###
> encapsulation dot1Q 4
> ip address 10.0.14.1 255.255.255.0
> ip access-group 103 in
> no ip proxy-arp
> ip accounting output-packets
> ip nat inside
> ip virtual-reassembly
> no ip mroute-cache
> no cdp enable
>
>interface FastEthernet0/1
> no ip address
> no ip proxy-arp
> no ip mroute-cache
> duplex auto
> speed auto
>!
>interface FastEthernet0/1.333
> encapsulation dot1Q 333
> description ### UP ###
> ip address xxx.xxx.xxx.250 255.255.255.252
> no ip proxy-arp
> ip nat outside
> ip virtual-reassembly
> no ip mroute-cache
> ip ospf message-digest-key 1 md5 xxxxxxxxxxxxx
> ip ospf network point-to-point
> ip ospf hello-interval 1
> ip ospf dead-interval 3
> service-policy output SET_PREC_VOIP
>
>
>
>ip nat translation timeout 1200
>ip nat translation tcp-timeout 5400
>ip nat translation syn-timeout 30
>ip nat inside source list 14 interface FastEthernet0/1.333 overload
>
>
>access-list 14 permit 10.0.14.0 0.0.0.255
>
>access-list 103 deny   tcp any any range 137 139
>access-list 103 deny   tcp any any eq 135
>access-list 103 deny   tcp any any eq 445
>access-list 103 permit icmp host 10.0.14.1 any
>access-list 103 permit ip host 10.0.14.10 any
>access-list 103 permit ip host 10.0.14.11 any log
>access-list 103 permit ip host 10.0.14.12 any log
>access-list 103 permit ip host 10.0.14.13 any
>access-list 103 permit ip host 10.0.14.14 any
>access-list 103 permit ip host 10.0.14.15 any log
>access-list 103 deny   ip any any log
>
>
>#sh ver
>Load for five secs: 3%/2%; one minute: 2%; five minutes: 1%
>Time source is NTP, 16:59:42.134 MSK Mon Jan 22 2007
>Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(8a), RELEASE SOFTWARE (fc2)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2006 by Cisco Systems, Inc.
>Compiled Wed 19-Jul-06 23:21 by prod_rel_team
>
>ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
>
>R1 uptime is 3 days, 4 hours, 41 minutes
>System returned to ROM by reload at 12:16:32 MSK Fri Jan 19
>2007
>System restarted at 12:17:40 MSK Fri Jan 19 2007
>System image file is "flash:c2800nm-adventerprisek9-mz.124-8a.bin"
>.....
>Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
>Processor board ID FCZ094071K4
>2 FastEthernet interfaces
>1 Virtual Private Network (VPN) Module
>DRAM configuration is 64 bits wide with parity enabled.
>239K bytes of non-volatile configuration memory.
>62720K bytes of ATA CompactFlash (Read/Write)
>
>Configuration register is 0x2102


Столкнулся с токой же бедой!

Ксатите есть еще один вариант прописать на сабах счетчик Ingress тогда тоже будет работать!


"2811 проблеммы с NAT или ACL "
Отправлено sable , 01-Мрт-07 16:28 
Набрел на похожие грабли:
Cisco 2821 (revision 53.51) with 249856K/12288K bytes of memory.
Вкратце, на мой взгляд, проблема заключается в том, что для ряда протоколов (dns, ftp) nat не выполнял трансляцию приватного адреса - это было видно по сниферу на хосте во внешнем мире, куда пытаешься установить сессию.
Проблема решилась установкой:
c2800nm-advipservicesk9-mz.124-11.T1.bin
Для advipservicesk9 ранние релизы (пробовал c2800nm-advipservicesk9-mz.124-4.T.bin, c2800nm-advipservicesk9-mz.124-6.T.bin) имели эту ошибку, про другие - не знаю.