URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1436
[ Назад ]

Исходное сообщение
"Проблема с NAT на 2951"

Отправлено install , 13-Авг-14 06:45 
  Здравствуйте уважаемые.

  Столкнулся с непонятным поведением NAT-а в cisco.

  Исходые данные:

Cisco 2951
IOS c2951-universalk9_npe-mz.SPA.152-4.M5.bin

  2 провайдера X и Y, X – основной, резервирование на Y не нужно. От каждого провайдера имею: сеть точка-точка для организации подключения, и по 1 блоку реальных адресов /29, расположенных в локалке. Так же в локалке бегает 192.168.1.0/24. В сторону Y маршрутизируется какое-то число сетей провайдера Y и сети 172.0.0.0/8.

Требуется:
в направлении X выпускать без трансляции X.X.141.208/29 и натировать 192.168.1.0/24.
в направлении Y выпускать без трансляции Y.Y.16.64/29, натировать X.X.141.208/29 и 192.168.1.0/24.

Конфигурация cisco:

  G0/0 подключен транком к catalys-у, тут все работает.

  На G0/2 висит несколько адресаций, так и должно быть.

interface GigabitEthernet0/0.10
description "Link to X"
encapsulation dot1Q 10
ip address X.X.151.138 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/0.11
description "Link to Y"
encapsulation dot1Q 11
ip address Y.Y.95.42 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/2
ip address 192.168.1.1 255.255.255.0  secondary
ip address Y.Y.16.70 255.255.255.248 secondary
ip address X.X.141.209 255.255.255.248
ip accounting output-packets
ip nat inside
!
ip nat inside source list 10 interface GigabitEthernet0/0.10 overload
ip nat inside source list 11 interface GigabitEthernet0/0.11 overload
ip route 0.0.0.0 0.0.0.0 X.X.151.137
ip route 0.0.0.0 0.0.0.0 Null0 255
ip route 172.0.0.0 255.0.0.0 Y.Y.95.41
ip route Y.Y.65.0 255.255.248.0 Y.Y.95.41
!
access-list 10 permit 192.168.1.0 0.0.0.254
access-list 11 permit 192.168.1.0 0.0.0.254
access-list 11 permit X.X.141.208 0.0.0.7

  С cisco прекрасно видно и внешний мир через X и сети провайдера Y, включая 172.0.0.0/8

  Теперь описание проблемы.

  При включении  на GigabitEthernet0/2  «ip nat inside» с адресов X.X.141.208/29 внешний мир через X пропадает, но зато есть доступность к сетям Y. И при этом в ACL 10 должно стоять «permit any», что совсем нехорошо, но иначе 192.168.1.0/24 вообще никуда не ходит.

  Пробовал ставить ACL с 100 номера — бесполезно.

  Пробовал назначать пулы адресов — та же самая картина.

  Может еще какой параметр надо включить? Гугление выдает практически одно и то же, на cisco.com описана такая-же конфигурация, только без secondary на локальном интерфейсе.

З.Ы.: похожая конфигурация, только с одной трансляцией в сторону Y работает на cisco 2811 с ios 12.x – никаких проблем нет.


Содержание

Сообщения в этом обсуждении
"Проблема с NAT на 2951"
Отправлено Andrey , 13-Авг-14 14:57 
Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. После этого разбирайтесь с NAT.

"Проблема с NAT на 2951"
Отправлено ShyLion , 13-Авг-14 15:44 
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.

К делу отношения не имеет.


"Проблема с NAT на 2951"
Отправлено install , 14-Авг-14 02:44 
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.

  Неправильно это, не должно быть так сложно.


"Проблема с NAT на 2951"
Отправлено ShyLion , 14-Авг-14 07:08 
>> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
>> После этого разбирайтесь с NAT.
>   Неправильно это, не должно быть так сложно.

Неправильно засовывать в один сегмент машины пользователей и серверы с реальными IP.


"Проблема с NAT на 2951"
Отправлено ShyLion , 13-Авг-14 15:43 
>   Здравствуйте уважаемые.
>   Столкнулся с непонятным поведением NAT-а в cisco.
>   Исходые данные:

Использовать ip nat inside route-map ..
в роутмапах кроме аксес листов матчить еще исходящий интерфейс


"Проблема с NAT на 2951"
Отправлено install , 14-Авг-14 02:43 
> Использовать ip nat inside route-map ..
> в роутмапах кроме аксес листов матчить еще исходящий интерфейс

  Да уж, больше ничего не остается. Только странно: cisco мощная шелезяка, но не справиться с простым NAT-ом - очень странно...


"Проблема с NAT на 2951"
Отправлено ShyLion , 14-Авг-14 07:06 
>> Использовать ip nat inside route-map ..
>> в роутмапах кроме аксес листов матчить еще исходящий интерфейс
>   Да уж, больше ничего не остается. Только странно: cisco мощная
> шелезяка, но не справиться с простым NAT-ом - очень странно...

Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.


"Проблема с NAT на 2951"
Отправлено install , 14-Авг-14 08:25 
> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.

Вот тут-то и вопрос: что неправильно настроено?


"Проблема с NAT на 2951"
Отправлено ShyLion , 14-Авг-14 08:31 
>> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
> Вот тут-то и вопрос: что неправильно настроено?

Когда "наружу" два и более выходов, нужно использовать не "ip nat inside source list ..."
а "ip nat inside source route-map ...". Внутри route-map матчить тот самый лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять странно, но уж как есть.


"Проблема с NAT на 2951"
Отправлено install , 14-Авг-14 10:19 
> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
> source list ..."
> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
> странно, но уж как есть.

  Спасибо за подсказку.


"Проблема с NAT на 2951"
Отправлено ShyLion , 14-Авг-14 11:42 
>> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
>> source list ..."
>> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
>> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
>> странно, но уж как есть.
>   Спасибо за подсказку.

Получилось?