Здравствуйте уважаемые.Столкнулся с непонятным поведением NAT-а в cisco.
Исходые данные:
Cisco 2951
IOS c2951-universalk9_npe-mz.SPA.152-4.M5.bin2 провайдера X и Y, X – основной, резервирование на Y не нужно. От каждого провайдера имею: сеть точка-точка для организации подключения, и по 1 блоку реальных адресов /29, расположенных в локалке. Так же в локалке бегает 192.168.1.0/24. В сторону Y маршрутизируется какое-то число сетей провайдера Y и сети 172.0.0.0/8.
Требуется:
в направлении X выпускать без трансляции X.X.141.208/29 и натировать 192.168.1.0/24.
в направлении Y выпускать без трансляции Y.Y.16.64/29, натировать X.X.141.208/29 и 192.168.1.0/24.Конфигурация cisco:
G0/0 подключен транком к catalys-у, тут все работает.
На G0/2 висит несколько адресаций, так и должно быть.
interface GigabitEthernet0/0.10
description "Link to X"
encapsulation dot1Q 10
ip address X.X.151.138 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/0.11
description "Link to Y"
encapsulation dot1Q 11
ip address Y.Y.95.42 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/2
ip address 192.168.1.1 255.255.255.0 secondary
ip address Y.Y.16.70 255.255.255.248 secondary
ip address X.X.141.209 255.255.255.248
ip accounting output-packets
ip nat inside
!
ip nat inside source list 10 interface GigabitEthernet0/0.10 overload
ip nat inside source list 11 interface GigabitEthernet0/0.11 overload
ip route 0.0.0.0 0.0.0.0 X.X.151.137
ip route 0.0.0.0 0.0.0.0 Null0 255
ip route 172.0.0.0 255.0.0.0 Y.Y.95.41
ip route Y.Y.65.0 255.255.248.0 Y.Y.95.41
!
access-list 10 permit 192.168.1.0 0.0.0.254
access-list 11 permit 192.168.1.0 0.0.0.254
access-list 11 permit X.X.141.208 0.0.0.7С cisco прекрасно видно и внешний мир через X и сети провайдера Y, включая 172.0.0.0/8
Теперь описание проблемы.
При включении на GigabitEthernet0/2 «ip nat inside» с адресов X.X.141.208/29 внешний мир через X пропадает, но зато есть доступность к сетям Y. И при этом в ACL 10 должно стоять «permit any», что совсем нехорошо, но иначе 192.168.1.0/24 вообще никуда не ходит.
Пробовал ставить ACL с 100 номера — бесполезно.
Пробовал назначать пулы адресов — та же самая картина.
Может еще какой параметр надо включить? Гугление выдает практически одно и то же, на cisco.com описана такая-же конфигурация, только без secondary на локальном интерфейсе.
З.Ы.: похожая конфигурация, только с одной трансляцией в сторону Y работает на cisco 2811 с ios 12.x – никаких проблем нет.
Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. После этого разбирайтесь с NAT.
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.К делу отношения не имеет.
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.Неправильно это, не должно быть так сложно.
>> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
>> После этого разбирайтесь с NAT.
> Неправильно это, не должно быть так сложно.Неправильно засовывать в один сегмент машины пользователей и серверы с реальными IP.
> Здравствуйте уважаемые.
> Столкнулся с непонятным поведением NAT-а в cisco.
> Исходые данные:Использовать ip nat inside route-map ..
в роутмапах кроме аксес листов матчить еще исходящий интерфейс
> Использовать ip nat inside route-map ..
> в роутмапах кроме аксес листов матчить еще исходящий интерфейсДа уж, больше ничего не остается. Только странно: cisco мощная шелезяка, но не справиться с простым NAT-ом - очень странно...
>> Использовать ip nat inside route-map ..
>> в роутмапах кроме аксес листов матчить еще исходящий интерфейс
> Да уж, больше ничего не остается. Только странно: cisco мощная
> шелезяка, но не справиться с простым NAT-ом - очень странно...Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.Вот тут-то и вопрос: что неправильно настроено?
>> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
> Вот тут-то и вопрос: что неправильно настроено?Когда "наружу" два и более выходов, нужно использовать не "ip nat inside source list ..."
а "ip nat inside source route-map ...". Внутри route-map матчить тот самый лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять странно, но уж как есть.
> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
> source list ..."
> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
> странно, но уж как есть.Спасибо за подсказку.
>> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
>> source list ..."
>> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
>> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
>> странно, но уж как есть.
> Спасибо за подсказку.Получилось?