Уважаемые коллеги, вот уже второй день борюсь с NAT. Конфигурация -
следующая:!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router02sa
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
multilink bundle-name authenticated
!
!
voice-card 0
!
!
username Prikol privilege 15 secret 5 -----------------
archive
log config
hidekeys
!
!
interface Loopback0
ip address 192.168.140.1 255.255.255.252
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.X.X.1 255.255.255.0 secondary
ip address 89.X.X.26 255.255.255.240
ip nat outside
ip virtual-reassembly
ip policy route-map NAT
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 89.X.X.17
!
!
no ip http server
no ip http secure-server
ip nat pool ONE 89.X.X.26 89.X.X.26 netmask 255.255.255.240
ip nat inside source list 1 pool ONE overload
!
access-list 1 permit 10.X.X.0 0.0.0.255
access-list 101 permit ip 10.X.X.0 0.0.0.255 any
!
!
!
route-map NAT permit 10
match ip address 101
set interface Loopback0
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000!
webvpn cefЛокальные хосты из сети 10.X.X.0 не натит, однако ping на внешний IP с
адреса 10.X.X.1 проходит с добавлением соответствующего translation.При попытке пигна с рабочей станции 10.X.X.20 получаем следующее:
router02sa#sh ip nat tr
Pro Inside global Inside local Outside local Outside global
icmp 89.X.X.26:512 10.X.X.1:512 10.X.X.20:512 10.X.X.20:512мне кажется, не совсем то....
Если пингать с раутера, то всё ok:
router02sa#ping 195.128.128.1 source 10.X.X.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 195.128.128.1, timeout is 2 seconds:
Packet sent with a source address of 10.X.X.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
router02sa#sh ip nat tr
Pro Inside global Inside local Outside local Outside global
icmp 89.X.X.26:15 10.X.X.1:15 195.128.128.1:15 195.128.128.1:15Подскажите, в чём может быть косяк...
Может кто-то по-другому сделал?Спасибо.
>[оверквотинг удален]
>Pro Inside global Inside local
> Outside local
>Outside global
>icmp 89.X.X.26:15 10.X.X.1:15 195.128.128.1:15
>195.128.128.1:15
>
>Подскажите, в чём может быть косяк...
>Может кто-то по-другому сделал?
>
>Спасибо.а для чего Вам делать нат на loopback-интерфейсе, который к роутингу практически не имеет отношения?
>а для чего Вам делать нат на loopback-интерфейсе, который к роутингу практически
>не имеет отношения?f0/0 использовать нельзя, он понадобится в дальнейшем. Коммутатора с VLAN - тоже нет.
>ip nat inside source list 1 pool ONE overloadможет имеет смысл указать интерфейс loopback0
>>ip nat inside source list 1 pool ONE overload
>
>может имеет смысл указать интерфейс loopback0Переделал всё согласно официальной док-ции Cisco:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...Не работает!
Поменял местами ip nat outside <-> inside:
version 12.4
!
--------------------
!
interface Loopback0
ip address 192.168.140.1 255.255.255.252
ip accounting output-packets
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
interface FastEthernet0/1
ip address 89.X.X.26 255.255.255.240 secondary
ip address 10.X.X.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
ip policy route-map NAT
no ip mroute-cache
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 89.X.X.17
!
!
no ip http server
no ip http secure-server
ip nat pool ONE 89.X.X.26 89.X.X.26 netmask 255.255.255.240
ip nat inside source list 1 pool ONE overload
!
access-list 1 permit 10.X.X.0 0.0.0.255
access-list 101 permit ip 10.X.X.0 0.0.0.255 any
access-list 177 permit icmp any any
!
!
!
route-map NAT permit 10
match ip address 101
set interface Loopback0
!Включил
debug ip packet 177 detail
debug ip Nat
debug ip policyНе сходится вывод:
*Sep 27 10:53:07.371: IP: tableid=0, s=10.X.X.20 (FastEthernet0/1), d=195.128.
128.1 (FastEthernet0/1), routed via FIB
*Sep 27 10:53:07.371: IP: s=10.X.X.20 (FastEthernet0/1), d=195.128.128.1, len
60, policy match
*Sep 27 10:53:07.371: ICMP type=8, code=0
*Sep 27 10:53:07.375: IP: route map NAT, item 10, permit
*Sep 27 10:53:07.375: IP: s=10.X.X.20 (FastEthernet0/1), d=195.128.128.1 (Fast
Ethernet0/1), len 60, policy rejected -- normal forwarding
*Sep 27 10:53:07.375: ICMP type=8, code=0
*Sep 27 10:53:07.375: IP: s=10.X.X.20 (FastEthernet0/1), d=195.128.128.1 (Fast
Ethernet0/1), g=89.X.X.17, len 60, forward
*Sep 27 10:53:07.375: ICMP type=8, code=0Все идёт мимо Loopback!
попробуйте всеже указать конкретно интерфейс...inside - "то что нужно транслировать - источник"
outside - "то во что надо транслировать"ip nat inside ===list== interface loopback0 overload
просто странно получается, пакеты еще до маршрутизации будут с помощью prb перебросанны на loopback0 - это должно быть...
>попробуйте всеже указать конкретно интерфейс...
>
>inside - "то что нужно транслировать - источник"
>outside - "то во что надо транслировать"
>
>ip nat inside ===list== interface loopback0 overload
>
>просто странно получается, пакеты еще до маршрутизации будут с помощью prb перебросанны
>на loopback0 - это должно быть...и еще%
Sep 27 10:53:07.371: IP: tableid=0, s=10.X.X.20 (FastEthernet0/1), d=195.128.
128.1 (FastEthernet0/1), routed via FIB
проверьте таблицу маршрутизации...
Заработало!
В первом варианте.Была проблема с глючным IOS
Господа, не ставьте 12.4.15. Он глючный. QoS неправильно считает и этот баг
ещё...
>[оверквотинг удален]
>
>
>Заработало!
>В первом варианте.
>
>Была проблема с глючным IOS
>
>Господа, не ставьте 12.4.15. Он глючный. QoS неправильно считает и этот баг
>
>ещё...12.4 только камикадзе используют.