Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета, работающих как свич. В одну дырку e1 вставлен провод провайдера, е2 идет во внутреннюю сеть. Сеть провайдера скажем 81.1.1.0/30. На моем роутере стоит адрес 81.1.1.1, 81.1.1.2 на стороне провайдера. Внутренняя сеть скажем 10.0.0.0/30 (нужен реально только один адрес). На циске стоит адрес 10.0.0.1, на компе 10.0.0.2. Как включить нат, если учесть, что 4 езернета работают как свич и можно прописать адрес только на e0? Курение мануалов привело к варианту построения нача через лупбэк. Сейчас домутил до конфига, который почему то не пашет. С хоста пингую оба интерфейса циски, с нее пингую инетовские адреса. Зато с хоста не проходят пакеты в инет. Текущий конфиг ниже, где грабли?
interface Loopback0
description Internal LAN
ip address 10.0.1.1 255.255.255.252
ip nat inside
no ip route-cache
no ip mroute-cache
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.252 secondary
ip address 81.1.1.1 255.255.255.248
ip nat outside
no ip route-cache
ip policy route-map test
no ip mroute-cache
hold-queue 100 out
!
ip default-gateway 81.1.1.2
ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
ip nat inside source list 1 pool one overload
ip classless
ip route 0.0.0.0 0.0.0.0 81.1.1.2
ip http server
no ip http secure-server
!
!
access-list 1 permit 10.0.0.0 0.0.0.255
route-map test permit 10
match ip address 1
set interface Loopback0
>[оверквотинг удален]
>!
>interface Ethernet0
> ip address 10.0.0.1 255.255.255.252 secondary
> ip address 81.1.1.1 255.255.255.248
> ip nat outside
> no ip route-cache
> ip policy route-map test
> no ip mroute-cache
> hold-queue 100 out
>!я для чистоты эксперемента убрал бы ip address 10.0.0.1 255.255.255.252 secondary
и ip policy route-map test>ip default-gateway 81.1.1.2
>ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248так же для чистоты эксперемента убрал бы и ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
>ip nat inside source list 1 pool one overloadвместо этого написал бы ip nat inside source list 1 interface Ethernet0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 81.1.1.2
>ip http server
>no ip http secure-server
>!
>!
>access-list 1 permit 10.0.0.0 0.0.0.255вместо access-list 1 permit 10.0.0.0 0.0.0.255 вписал бы access-list 1 permit 10.0.1.0 0.0.0.255
все что ниже вообще бы выкинул
>route-map test permit 10
> match ip address 1
> set interface Loopback0ну и конечно же? обязательно debug ip nat
при такой конфигурации ми получим чистый НАТ без всяких излишиств.
если заработает начинаем усложнять по надобности.
да, забыл
>Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета,
>работающих как свич. В одну дырку e1 вставлен провод провайдера, е2
>идет во внутреннюю сеть.на е2 наверное нужно повесить ИП локалки
в зависимости от этого выставлять ИП на хосте
а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0и еще
в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска 252
>на е2 наверное нужно повесить ИП локалкиЯ бы с удовольствием, но физические порты fe1-fe4 работают как свич 2-го уровня и адрес на них не устанавливается.
Filial106(config)#int faste1
Filial106(config-if)#ip addr 10.2.2.2 255.255.255.0% IP addresses may not be configured on L2 links.
Адрес "10.2.2.2" был взят просто для эксперимента.Для выставления адресов есть один виртуальный интерфейс e0. Чтобы циска была видна со стороны модема и из локалки на одном интерфейсе и приходится ставить оба адреса. Т.к. на порту можно установить только "inside" или "outside", то приходится начинать изврат. Есть варианты ната через интерфейс vlan, через loopback или сабинтерфейсы. На попытку создания вилана пишет:
Filial106(config)#int vlan1
^
% Invalid input detected at '^' marker.Filial106(config)#int ?
ATM ATM interface
Async Async interface
BVI Bridge-Group Virtual Interface
CDMA-Ix CDMA Ix interface
CTunnel CTunnel interface
Dialer Dialer interface
Ethernet IEEE 802.3
FastEthernet FastEthernet IEEE 802.3
Group-Async Async Group interface
Lex Lex interface
Loopback Loopback interface
MFR Multilink Frame Relay bundle interface
Multilink Multilink-group interface
Null Null interface
Tunnel Tunnel interface
Vif PGM Multicast Host interface
Virtual-PPP Virtual PPP interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
range interface range command
Судя по всему данный иос не держит вилан.Начинаем пробовать сабинтерфейсы:
Filial106(config)#int e0.1
Filial106(config-subif)#e?
exitFilial106(config-subif)#?
Interface configuration commands:
arp Set arp type (arpa, probe, snap) or timeout
backup Modify backup parameters
bandwidth Set bandwidth informational parameter
bgp-policy Apply policy propogated by bgp community string
bridge-group Transparent bridging interface parameters
cdp CDP interface subcommands
crypto Encryption/Decryption commands
default Set a command to its defaults
delay Specify interface throughput delay
description Interface specific description
exit Exit from interface configuration mode
flow-sampler Attach flow sampler to the interface
glbp Gateway Load Balancing Protocol interface commands
ip Interface Internet Protocol config commands
keepalive Enable keepalive
llc2 LLC2 Interface Subcommands
logging Configure logging for interface
mtu Set the interface Maximum Transmission Unit (MTU)
netbios Use a defined NETBIOS access list or enable name-caching
no Negate a command or set its defaults
pppoe pppoe interface subcommands
rate-limit Rate Limit
service-policy Configure QoS Service Policy
shutdown Shutdown the selected interface
snapshot Configure snapshot support on the interface
timeout Define timeout values for this interface
vrrp VRRP Interface configuration commands
Насколько я понимаю на сабинтерфейсах "encapsulation dot1Q" прописать не получится. Нашел в разных доках и конференциях единственный оставшийся вариант - оба реальных адреса прописать на одном интерфейсе и натить через лупбэк. На этом сайте и форуме полно примеров проброса ната через лупбэк.>в зависимости от этого выставлять ИП на хосте
>а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0Одна реальная сеть для соединения с циской, вторая взята с потолка для прописывания на лупбэке. Во всех найденных примерах так было написано.
>и еще
>в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска
>252Разницы никакой, т.к. этим вилдкардом охватываются все резаные подсети, в число которых и входит 10.0.0.0 255.255.255.252
>[оверквотинг удален]
>ip classless
>ip route 0.0.0.0 0.0.0.0 81.1.1.2
>ip http server
>no ip http secure-server
>!
>!
>access-list 1 permit 10.0.0.0 0.0.0.255
>route-map test permit 10
> match ip address 1
> set interface Loopback0эээээ...
ip nat inside source static 1.1.1.1 interface e1
access-list 1 permit 10.0.0.0 0.0.0.255
>ip nat inside source static 1.1.1.1 interface e1
>access-list 1 permit 10.0.0.0 0.0.0.255Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0. Если можно, то поправьте мой конфиг вместо малопонятных высказываний.
>>ip nat inside source static 1.1.1.1 interface e1
>>access-list 1 permit 10.0.0.0 0.0.0.255
>
>Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые
>работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0.
>Если можно, то поправьте мой конфиг вместо малопонятных высказываний.Неужели никто не читал "Network Address Translation on a Stick"?