Добрый, коллеги!Какую-то странную индусскую порнографию поймал я тут, может быть кто сталкивался...
Есть Cisco ASR 9010 с карточкой A9K-ISM-100, на которую наверчена лицензия CGN - carrier-grade NAT.
Значащий конфиг привожу, описание проблемы после.
...
vrf Inside
address-family ipv4 unicast
!
!
vrf Outside
address-family ipv4 unicast
!
!
...
hw-module service cgn location 0/4/CPU0
service-cgv6-ha location 0/4/CPU0 datapath-test
service-cgv6-ha location 0/4/CPU0 puntpath-test
...
interface TenGigE0/0/0/0
cdp
mtu 4096
carrier-delay up 0 down 0
load-interval 60
!
interface TenGigE0/0/0/0.71
description ***UPLINK_NAT-Outside***
vrf Outside
ipv4 address xx.xx.xx.34 255.255.255.252
encapsulation dot1q 71
!
...
interface TenGigE0/1/0/0
cdp
mtu 4096
carrier-delay up 0 down 0
load-interval 60
!
interface TenGigE0/1/0/0.301
description ***LAN_NAT-Inside***
vrf Inside
ipv4 address 172.28.64.1 255.255.255.0
encapsulation dot1q 301
!
...
interface ServiceApp1
vrf Inside
ipv4 address 2.1.1.1 255.255.255.252
service cgn cgn1 service-type nat44
!
interface ServiceApp2
vrf Outside
ipv4 address 3.1.1.1 255.255.255.252
service cgn cgn1 service-type nat44
!
interface ServiceInfra1
ipv4 address 1.1.1.1 255.255.255.252
service-location 0/4/CPU0
!
router static
...
vrf Inside
address-family ipv4 unicast
0.0.0.0/0 ServiceApp1
!
!
vrf Outside
address-family ipv4 unicast
0.0.0.0/0 xx.xx.xx.33
xx.xx.xx.36/30 ServiceApp2
!
!
!
service cgn cgn1
service-location preferred-active 0/4/CPU0
service-type nat44 nat1
inside-vrf Inside
map outside-vrf Outside address-pool xx.xx.xx.36/30
...
!
!
!
!
endАдреса xx.xx.xx.yy - глобальные.
Со стороны оператора прописан маршрут xx.xx.xx.36/30 xx.xx.xx.34Проблема - не работает дефолт в vrf Outside. Но не работает как-то избирательно.
Если делать с ASRа ping vrf Outside <что угодно в интернете> - всё работает.
Если делать ping с ноута стоящего за NATом, за Inside-ом, в сети 172.28.64.0/24, наблюдается такая картина - пингуется только то, что явно объявлено в маршрутизации дополнительной строкой с маской размерности как максимум /8 (меньшими масками пока не пробовал).
То есть, по-русски: при текущем приведённом конфиге с ноута в сети 172.28.64.0/24 не будет пинговаться 8.8.8.8, а если я в текущий конфиг добавлю хотя бы маршрут 8.0.0.0/8 xx.xx.xx.33 (или 8.8.0.0/16, или 8.8.8.0/24, или даже 8.8.8.8/32)- будет.Вот зе фак, никто не в курсе?
>[оверквотинг удален]
> всё работает.
> Если делать ping с ноута стоящего за NATом, за Inside-ом, в сети
> 172.28.64.0/24, наблюдается такая картина - пингуется только то, что явно объявлено
> в маршрутизации дополнительной строкой с маской размерности как максимум /8 (меньшими
> масками пока не пробовал).
> То есть, по-русски: при текущем приведённом конфиге с ноута в сети 172.28.64.0/24
> не будет пинговаться 8.8.8.8, а если я в текущий конфиг добавлю
> хотя бы маршрут 8.0.0.0/8 xx.xx.xx.33 (или 8.8.0.0/16, или 8.8.8.0/24, или даже
> 8.8.8.8/32)- будет.
> Вот зе фак, никто не в курсе?Дык добавте 2 маршрута 0.0.0.0/1 и 128.0.0.0/1 и живите спокойно...
>>[оверквотинг удален]
> Дык добавте 2 маршрута 0.0.0.0/1 и 128.0.0.0/1 и живите спокойно...0.0.0.0/1 не жрётся IOS XRом.
Пока сделал порнуху в виде
1.0.0.0/8 xx.xx.xx.33
2.0.0.0/7 xx.xx.xx.33
4.0.0.0/6 xx.xx.xx.33
8.0.0.0/5 xx.xx.xx.33
16.0.0.0/4 xx.xx.xx.33
32.0.0.0/3 xx.xx.xx.33
64.0.0.0/2 xx.xx.xx.33
128.0.0.0/1 xx.xx.xx.33Так-то работает, конечно. Но похоже, что этот какой-то баг...
CSCus08193Known Affected Releases: (4)
5.1.3.BASE
5.1.3.FWDG
5.1.3.MPLS
5.1.3.ROUTKnown Fixed Releases: (1)
5.3.1.12i.BASE