URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15336
[ Назад ]

Исходное сообщение
"Странный Cisco NAT w/overload"
Отправлено dkuz , 24-Янв-08 07:07

Есть маршрутизатор, на нем интерфейс провайдера и локальная сеть. Есть блок белых адресов.
Между локалкой и провайдером настроен NAT с overload'ом.
ip nat inside source list LOCAL pool GLOBAL overload
Создан acl LOCAL, local pool GLOBAL.
Наблюдается такая картина:
Подавляющее большенство серых адресов транслируется в первый белый адрес из пула (причем видно по show ip nat trans, что это именно PAT, меняется source port), а вот остальные белые адреса распределяются как будто бы без PAT (source port не транслируется) и один белый адрес отдается эксклюзивно одному серому.
show ip nat trans показвает следующее:
--- WW.WW.WW.WW GG.GG.GG.GG --- ---
где WW - второй и далее белые адреса из пула
GG - серые адреса локалки
Я ожидал увидеть трансляцию source port серых адресов на всех белых адресах из пула, но вижу это только для первого белого адреса, может я в чем-то ошибаюсь?
IOS 12.4(4)XD9

Содержание

Странный Cisco NAT w/overload,CrAzOiD, 08:27 , 24-Янв-08
- Странный Cisco NAT w/overload,dkuz, 08:58 , 24-Янв-08
  - Странный Cisco NAT w/overload,CrAzOiD, 09:10 , 24-Янв-08
    - Странный Cisco NAT w/overload,dkuz, 09:32 , 24-Янв-08
      - Странный Cisco NAT w/overload,CrAzOiD, 12:59 , 24-Янв-08
        
        Странный Cisco NAT w/overload,dkuz, 13:26 , 24-Янв-08
        
        Странный Cisco NAT w/overload,CrAzOiD, 13:48 , 24-Янв-08
        
        Странный Cisco NAT w/overload,dkuz, 14:30 , 24-Янв-08
        
        Странный Cisco NAT w/overload,CrAzOiD, 15:20 , 24-Янв-08
      - Странный Cisco NAT w/overload,Николай, 13:43 , 28-Апр-09

Сообщения в этом обсуждении

"Странный Cisco NAT w/overload"
Отправлено CrAzOiD , 24-Янв-08 08:27

>[оверквотинг удален]
>      ---
>
>где WW - второй и далее белые адреса из пула
>    GG - серые адреса локалки
>
>Я ожидал увидеть трансляцию source port серых адресов на всех белых адресах
>из пула, но вижу это только для первого белого адреса, может
>я в чем-то ошибаюсь?
>
>IOS 12.4(4)XD9
Ошибаетесь. Сколько всего портов может использоваться для трансляций?  Правильно, много. И пока они не закончатся следующий адрес из пула использваться не будет.
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_a...

"Странный Cisco NAT w/overload"
Отправлено dkuz , 24-Янв-08 08:58

>Ошибаетесь. Сколько всего портов может использоваться для трансляций? Правильно, много. И
>пока они не закончатся следующий адрес из пула использваться не будет.
В том-то и дело, что если первый адрес из пула забит полностью, следующие белые адреса отдаются без PAT (я описывал) и счетчик misses увеличивается.
Немного понятнее стало бы, если на отличных от первого белого адреса висели бы трансляции с нескольких серых, а то ведь с одного серого идет трансляция в один белый и никак иначе.
В выводе sh ip nat tran строчки типа "--- WW.WW.WW.WW GG.GG.GG.GG" говорят как раз о том, что трансляция вроде как статическая. Откуда она взялась - ума не приложу.

"Странный Cisco NAT w/overload"
Отправлено CrAzOiD , 24-Янв-08 09:10

>[оверквотинг удален]
>следующие белые адреса отдаются без PAT (я описывал) и счетчик misses
>увеличивается.
>
>Немного понятнее стало бы, если на отличных от первого белого адреса висели
>бы трансляции с нескольких серых, а то ведь с одного серого
>идет трансляция в один белый и никак иначе.
>
>В выводе sh ip nat tran строчки типа "--- WW.WW.WW.WW GG.GG.GG.GG"
>говорят как раз о том, что трансляция вроде как статическая. Откуда
>она взялась - ума не приложу.
покажи конфиг

"Странный Cisco NAT w/overload"
Отправлено dkuz , 24-Янв-08 09:32

>>В выводе sh ip nat tran строчки типа "--- WW.WW.WW.WW GG.GG.GG.GG"
>>говорят как раз о том, что трансляция вроде как статическая. Откуда
>>она взялась - ума не приложу.
>
>покажи конфиг
флудить не буду, если что-то упустил, скажи - добавлю
interface GigabitEthernet0/2.99
encapsulation dot1Q 99
ip address <...>
ip access-group FromOutsideAccess in
ip nat outside
no ip virtual-reassembly
no snmp trap link-status
interface GigabitEthernet0/3.57
encapsulation dot1Q 57
ip address <...>
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
ip tcp adjust-mss 1450
no snmp trap link-status
ip nat translation tcp-timeout 3600
ip nat translation max-entries all-host 1000
ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
ip nat inside source list LOCAL pool GLOBAL overload

"Странный Cisco NAT w/overload"
Отправлено CrAzOiD , 24-Янв-08 12:59

>[оверквотинг удален]
> ip flow egress
> ip nat inside
> no ip virtual-reassembly
> ip tcp adjust-mss 1450
> no snmp trap link-status
>
>ip nat translation tcp-timeout 3600
>ip nat translation max-entries all-host 1000
>ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
>ip nat inside source list LOCAL pool GLOBAL overload
и больше ничего относительно nat?
sh run | in nat покажи

"Странный Cisco NAT w/overload"
Отправлено dkuz , 24-Янв-08 13:26

>>ip nat translation tcp-timeout 3600
>>ip nat translation max-entries all-host 1000
>>ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
>>ip nat inside source list LOCAL pool GLOBAL overload
>
>и больше ничего относительно nat?
>sh run | in nat покажи
ip nat outside
ip nat inside
ip nat translation tcp-timeout 3600
ip nat translation max-entries all-host 1000
ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
ip nat inside source list LOCAL pool GLOBAL overload

"Странный Cisco NAT w/overload"
Отправлено CrAzOiD , 24-Янв-08 13:48

>[оверквотинг удален]
>>
>>и больше ничего относительно nat?
>>sh run | in nat покажи
>
> ip nat outside
> ip nat inside
>ip nat translation tcp-timeout 3600
>ip nat translation max-entries all-host 1000
>ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
>ip nat inside source list LOCAL pool GLOBAL overload
мда...
хорошо,а адрес WW.WW.WW.254 не на интерфейсе еще случайно?

"Странный Cisco NAT w/overload"
Отправлено dkuz , 24-Янв-08 14:30

>> ip nat outside
>> ip nat inside
>>ip nat translation tcp-timeout 3600
>>ip nat translation max-entries all-host 1000
>>ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
>>ip nat inside source list LOCAL pool GLOBAL overload
>
>мда...
>хорошо,а адрес WW.WW.WW.254 не на интерфейсе еще случайно?
нет, нету таких интерфейсов.
Ладно, тогда вопрос другого плана.
Можете указать версию IOS для NPE-G2, на котором _точно_ работает PAT (причем полноценно для всех белых адресов пула)?

"Странный Cisco NAT w/overload"
Отправлено CrAzOiD , 24-Янв-08 15:20

>Ладно, тогда вопрос другого плана.
>Можете указать версию IOS для NPE-G2, на котором _точно_ работает PAT (причем
>полноценно для всех белых адресов пула)?
неа... нет такой железки в наличии

"Странный Cisco NAT w/overload"
Отправлено Николай , 28-Апр-09 13:43

>[оверквотинг удален]
> ip flow egress
> ip nat inside
> no ip virtual-reassembly
> ip tcp adjust-mss 1450
> no snmp trap link-status
>
>ip nat translation tcp-timeout 3600
>ip nat translation max-entries all-host 1000
>ip nat pool GLOBAL WW.WW.WW.1 WW.WW.WW.254 netmask 255.255.255.0
>ip nat inside source list LOCAL pool GLOBAL overload
Так и не разобрался откуда берутся эти static nat трансляции? Ибо такая же ерунда :(