Топология сети LAN - Cisco2821 - WAN. В маршрутизаторе установлен HWIC-4ESW. Список интерфейсов содержит следующее:
1. GEth0/0
2. GEth0/1
3. FaEth0/0/0
4. FaEth0/0/1
5. FaEth0/0/2
6. FaEth0/0/3
7. Vlan1.

Как лучше организовать выход в  Internet?

• Как создать Wan соединение на Cisco2821,CrAzOiD, 18:57 , 23-Сен-08
  • Как создать Wan соединение на Cisco2821,GrAnd, 21:06 , 23-Сен-08
    • Как создать Wan соединение на Cisco2821,CrAzOiD, 23:58 , 23-Сен-08
      • Как создать Wan соединение на Cisco2821,GrAnd, 02:10 , 24-Сен-08
        • Как создать Wan соединение на Cisco2821,CrAzOiD, 09:23 , 24-Сен-08
          • Как создать Wan соединение на Cisco2821,GrAnd, 11:41 , 24-Сен-08
            • Как создать Wan соединение на Cisco2821,CrAzOiD, 12:10 , 24-Сен-08
              • Как создать Wan соединение на Cisco2821,GrAnd, 13:02 , 24-Сен-08
      • Как создать Wan соединение на Cisco2821,GrAnd, 02:26 , 24-Сен-08
• Как создать Wan соединение на Cisco2821,uone, 19:36 , 23-Сен-08
• Как создать Wan соединение на Cisco2821,GrAnd, 21:27 , 23-Сен-08
  • Как создать Wan соединение на Cisco2821,GolDi, 09:05 , 24-Сен-08
    • Как создать Wan соединение на Cisco2821,GrAnd, 11:45 , 24-Сен-08
      • Как создать Wan соединение на Cisco2821,GolDi, 14:35 , 24-Сен-08
        • Как создать Wan соединение на Cisco2821,GrAnd, 16:49 , 24-Сен-08
          • Как создать Wan соединение на Cisco2821,CrAzOiD, 22:19 , 24-Сен-08
            • Как создать Wan соединение на Cisco2821,GrAnd, 23:00 , 24-Сен-08

>[оверквотинг удален]
>интерфейсов содержит следующее:
>1. GEth0/0
>2. GEth0/1
>3. FaEth0/0/0
>4. FaEth0/0/1
>5. FaEth0/0/2
>6. FaEth0/0/3
>7. Vlan1.
>
>Как лучше организовать выход в  Internet?

расшифруйте понятие "лучше"

>[оверквотинг удален]
>>2. GEth0/1
>>3. FaEth0/0/0
>>4. FaEth0/0/1
>>5. FaEth0/0/2
>>6. FaEth0/0/3
>>7. Vlan1.
>>
>>Как лучше организовать выход в  Internet?
>
>расшифруйте понятие "лучше"

Вобщем-то мы из начинающих, поэтому просьба отнестись снисходительно.
На данный момент пытаемся решить вопрос конфигурирования роутера принципиально.
К Cisco2821 на порт LAN_GEth0/0 с адресом 200.200.200.1/30 зацеплен комп с адресом 200.200.200.2/30. К порту WAN_GEth0/1 с адресом 170.10.10.2/26 для имитации маршрутизатора провайдера подключили межсетевой экран ZyWall P1, поддерживающий функции роутера и NAT. Дали ему адрес 170.10.10.1/26 в сторону циски, а с другой стороны - 192.168.167.1/24. За межсетевым экраном поставили еще один хост, экран назначает ему адрес динамически, но gateway ему прописали явно.
Схема собрана для имитации канала с реальным провайдером. Конфигурируем Cisco при помощи SDM.
На маршрутизаторе настроили маршрут: поставили галку default rout, forwarding 170.10.10.1, метрика 1. Также создали NAT. Рулей пока не создавали.
Вопрос в том, что хост LANa не пингуется ни с ZyWall P1, ни с подключенным к нему WAN хостом. Хотя пинг проходит от WAN хоста до GEth0/0, но опять же до хоста внутренней сети никак.
Подскажите где косяк.
И еще, можно ли гиговый порт использовать для WAN соединения? А то у нас сомнение...

version 12.4
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ***********
!
boot-start-marker
boot system flash:c2800nm-ipbase-mz.124-3i.bin
boot system flash
boot system rom
boot-end-marker
!
no logging buffered
enable secret *************************
enable password **********
!
no aaa new-model
resource policy
!
ip subnet-zero
no ip routing
!
!
no ip cef
!
!
!
!
!
!
interface GigabitEthernet0/0
description *******
ip address 200.200.200.1 255.255.255.252
ip nat inside
no ip route-cache
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description *********
ip address 170.10.10.2 255.255.255.192
ip nat outside
no ip route-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
switchport trunk native vlan 2
switchport mode trunk
no cdp enable
no mop enabled
!
interface FastEthernet0/0/1
shutdown
no cdp enable
!
interface FastEthernet0/0/2
no cdp enable
!
interface FastEthernet0/0/3
no cdp enabl
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan2
description ***
ip address 170.20.20.2 255.255.255.192
vlan-id dot1q 2
  description i-lan
  bridge-group 1
  exit-vlan-config
!
!
interface Vlan3
ip address 170.30.30.2 255.255.255.192
!
ip classless
ip route 0.0.0.0 0.0.0.0 170.10.10.1
!
ip http server
ip nat pool STTK-OTN 170.10.10.3 170.10.10.62 netmask 255.255.255.192
ip nat inside source list 2 pool ******** overload
--More—
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 200.200.200.0 0.0.0.3
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 200.200.200.0 0.0.0.3
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password *********
login
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
!
end

>На данный момент пытаемся решить вопрос конфигурирования роутера принципиально.
>К Cisco2821 на порт LAN_GEth0/0 с адресом 200.200.200.1/30 зацеплен комп с адресом
>200.200.200.2/30. К порту WAN_GEth0/1 с адресом 170.10.10.2/26 для имитации

DG у хоста прописан? Какой?

маршрутизатора провайдера
>подключили межсетевой экран ZyWall P1, поддерживающий функции роутера и NAT. Дали
>ему адрес 170.10.10.1/26 в сторону циски, а с другой стороны -
>192.168.167.1/24. За межсетевым экраном поставили еще один хост, экран назначает ему
>адрес динамически, но gateway ему прописали явно.

КАкой  DG?

>Схема собрана для имитации канала с реальным провайдером. Конфигурируем Cisco при помощи
>SDM.
>На маршрутизаторе настроили маршрут: поставили галку default rout, forwarding 170.10.10.1, метрика 1.
>Также создали NAT. Рулей пока не создавали.

В смысле рулей? ACL?

>Вопрос в том, что хост LANa не пингуется ни с ZyWall P1,
>ни с подключенным к нему WAN хостом. Хотя пинг проходит от
>WAN хоста до GEth0/0, но опять же до хоста внутренней сети
>никак.
>Подскажите где косяк.

ммм... совершенно не понятно что и как у вас фунциклиреует на ZyWall
Давайте показывайте

с циски:
1. sh ip route
2. sh ip nat t

с хостов:
3. route print
4. трейсы

5. Ну и поясните как чсе же настроен ZyWall? Потому как вы про НАТ на нем упомянули. А еще он есть на циске.

>И еще, можно ли гиговый порт использовать для WAN соединения? А то
>у нас сомнение...

Можно, без проблем. Это routed интерфейсы.
Вот интерфейсы свича non-routed, так что их можно использовать с некоторыми ограничениями.

Опишите задачу которую вы планируете решать при помощи циски.
Доступ в интернет из локальной сети в глобальную при помощи NAT?

У LAN-хоста 200.200.200.1 - IP адрес GEth0/0
у WAN-хоста 192.168.167.1 - IP адрес ZyWall, который и имитирует маршрутизатор провайдера.
Задача, в принципе, стандартная - организовать сеть с выходом в инет, с использованием пакетной фильтрации и NATа. Доступ в Интернет через провайдера, но вот он пока время тянет, а мы соответственно упражняемся.

1. Default gateway is 170.10.10.1

Host  Gateway Last Use    Total Uses  Interface
ICMP redirect cache is empty

2. Вот здесь нам не понятно...

*******# show ip nat t ?
  esp      Show ESP entries
  global   Display entries in Global/Dest Table - NVI
  icmp     Show ICMP entries
  pptp     Show PPTP entries
  tcp      Show TCP entries
  udp      Show UDP entries
  verbose  Show extra information
  vrf      Display entries of VRF instance
  |        Output modifiers
  <cr>

3. WAN-хост
-------------------------------------------------------------------------------

C:\Documents and Settings\Администратор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 14 a5 55 77 43 ...... ╤хЄхтющ рфряЄхЁ Broadcom 802.11g - ╠шэшяюЁЄ яырэ
шЁют∙шър яръхЄют
0x10004 ...00 40 ca dd 82 d9 ...... VIA Compatable Fast Ethernet рфряЄхЁ - ╠шэшя
юЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.167.1  192.168.167.33       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.167.0    255.255.255.0   192.168.167.33  192.168.167.33       20
   192.168.167.33  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.167.255  255.255.255.255   192.168.167.33  192.168.167.33       20
        224.0.0.0        240.0.0.0   192.168.167.33  192.168.167.33       20
  255.255.255.255  255.255.255.255   192.168.167.33  192.168.167.33       1
  255.255.255.255  255.255.255.255   192.168.167.33               2       1
Основной шлюз:       192.168.167.1
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Documents and Settings\Администратор>tracert -h 5 200.200.200.2

Трассировка маршрута к 200.200.200.2 с максимальным числом прыжков 5

  1    <1 мс    <1 мс    <1 мс  192.168.167.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
-------------------------------------------------------------------------------

4. LAN-хост
-------------------------------------------------------------------------------

C:\Documents and Settings\Администратор>rote print
"rote" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

C:\Documents and Settings\Администратор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 c0 a8 c8 45 a0 ...... Atheros AR5005G Wireless Network Adapter - ╠шэшя
юЁЄ яырэшЁют∙шър яръхЄют
0x10004 ...00 03 0d 53 6d fc ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
- ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    200.200.200.1   200.200.200.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    200.200.200.0  255.255.255.252    200.200.200.2   200.200.200.2       20
    200.200.200.2  255.255.255.255        127.0.0.1       127.0.0.1       20
  200.200.200.255  255.255.255.255    200.200.200.2   200.200.200.2       20
        224.0.0.0        240.0.0.0    200.200.200.2   200.200.200.2       20
  255.255.255.255  255.255.255.255    200.200.200.2               2       1
  255.255.255.255  255.255.255.255    200.200.200.2   200.200.200.2       1
Основной шлюз:       200.200.200.1
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Documents and Settings\Администратор>tracert -h 5 192.168.167.33

Трассировка маршрута к 192.168.167.33 с максимальным числом прыжков 5

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
------------------------------------------------------------------------------

5. ZyWall P1 - сетевой экран, с функциями DHCP, NAT, Firewall и маршрутизации.
Наша задумка состоит в том, чтобы его использовать как имитатор роутера со стороны, которую мы условно назвали WAN. На самом деле это выглядит как два хоста разных сетей через маршрутизаторы пытаются соединиться. WAN-хост динамически получает от ZyWall IP адрес, но т.к. адреса между экраном и Cisco другие, то мы и используем NAT.

>[оверквотинг удален]
>  icmp     Show ICMP entries
>  pptp     Show PPTP entries
>  tcp      Show TCP entries
>  udp      Show UDP entries
>  verbose  Show extra information
>  vrf      Display entries of VRF
>instance
>  |        Output modifiers
>
>  <cr>

без параметров, как указано

>5. ZyWall P1 - сетевой экран, с функциями DHCP, NAT, Firewall и
>маршрутизации.
>Наша задумка состоит в том, чтобы его использовать как имитатор роутера со
>стороны, которую мы условно назвали WAN. На самом деле это выглядит
>как два хоста разных сетей через маршрутизаторы пытаются соединиться. WAN-хост динамически
>получает от ZyWall IP адрес, но т.к. адреса между экраном и
>Cisco другие, то мы и используем NAT.

ваш провайдер весь интернет тоже для вас NATить будет?
Это вы что-то не то делаете.
Вообщем, как вам уже сказали, вся проблема в NAT

>[оверквотинг удален]
>>  verbose  Show extra information
>>  vrf      Display entries of VRF
>>instance
>>  |        Output modifiers
>>
>>  <cr>
>
>без параметров, как указано
>
>

Без дополнительных параметров Cisco ругается, что введена неполная команда и никаких данных не выдает. Как быть?
Во-вторых, раз подозрения на настройки NAT, то может приведете кусочек рабочего конфига с одного внутреннего IP на несколько внешних.
Еще скажу так, что в сторону ZyWall NAT вроде как функционирует, поскольку когда делали трэйс с WAN-хоста до порта GEth0/0 Cisco, то он прописывал маршрут сначала 170.10.10.1, затем 170.10.10.3, а этот адрес лежит уже в пуле транслируемых Ciscо'ой адресов.

>[оверквотинг удален]
>>>  |        Output modifiers
>>>
>>>  <cr>
>>
>>без параметров, как указано
>>
>>
>
> Без дополнительных параметров Cisco ругается, что введена неполная команда и никаких
>данных не выдает. Как быть?

все работает
покажите что вводите и какой ответ

>Во-вторых, раз подозрения на настройки NAT, то может приведете кусочек рабочего конфига
>с одного внутреннего IP на несколько внешних.

в смысле? почему с одного?
логика простая, вы делаете PAT:
ip nat inside source list 1 pool Pool1 overload
!
access-list 1
permit ip ....
!
ip pool Pool1 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy

либо на out интерфейс:
ip nat inside source list 1 int Gix/x overload

>Еще скажу так, что в сторону ZyWall NAT вроде как функционирует, поскольку
>когда делали трэйс с WAN-хоста до порта GEth0/0 Cisco, то он
>прописывал маршрут сначала 170.10.10.1, затем 170.10.10.3, а этот адрес лежит уже
>в пуле транслируемых Ciscо'ой адресов.

>>Во-вторых, раз подозрения на настройки NAT, то может приведете кусочек рабочего конфига
>>с одного внутреннего IP на несколько внешних.
>
>в смысле? почему с одного?

Потому что перед маршрутизатором ставим биллинговую систему, которая осуществляет полный перечень функций, в том числе и шейперит, только когда через себя пропускает весь трафик.
А несколько внешних берем из соображения - мало ли кого из пользователей забанят и что в таком случае делать остальным?
Из этих соображений и получаем один серый - несколько белых.
Конечно странновато, может выскажите свои соображения...

У LAN-хоста 200.200.200.1 - IP адрес GEth0/0
у WAN-хоста 192.168.167.1 - IP адрес ZyWall, который и имитирует маршрутизатор провайдера.
Задача, в принципе, стандартная - организовать сеть с выходом в инет, с использованием пакетной фильтрации и NATа. Доступ в Интернет через провайдера, но вот он пока время тянет, а мы соответственно упражняемся.
1. Default gateway is 170.10.10.1

Host  Gateway Last Use    Total Uses  Interface
ICMP redirect cache is empty

2. Вот здесь нам не понятно...

*******# show ip nat t ?
  esp      Show ESP entries
  global   Display entries in Global/Dest Table - NVI
  icmp     Show ICMP entries
  pptp     Show PPTP entries
  tcp      Show TCP entries
  udp      Show UDP entries
  verbose  Show extra information
  vrf      Display entries of VRF instance
  |        Output modifiers
  <cr>

3. WAN-хост
-------------------------------------------------------------------------------

C:\Documents and Settings\Администратор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 14 a5 55 77 43 ...... ╤хЄхтющ рфряЄхЁ Broadcom 802.11g - ╠шэшяюЁЄ яырэ
шЁют∙шър яръхЄют
0x10004 ...00 40 ca dd 82 d9 ...... VIA Compatable Fast Ethernet рфряЄхЁ - ╠шэшя
юЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.167.1  192.168.167.33       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.167.0    255.255.255.0   192.168.167.33  192.168.167.33       20
   192.168.167.33  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.167.255  255.255.255.255   192.168.167.33  192.168.167.33       20
        224.0.0.0        240.0.0.0   192.168.167.33  192.168.167.33       20
  255.255.255.255  255.255.255.255   192.168.167.33  192.168.167.33       1
  255.255.255.255  255.255.255.255   192.168.167.33               2       1
Основной шлюз:       192.168.167.1
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Documents and Settings\Администратор>tracert -h 5 200.200.200.2

Трассировка маршрута к 200.200.200.2 с максимальным числом прыжков 5

  1    <1 мс    <1 мс    <1 мс  192.168.167.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
-------------------------------------------------------------------------------

4. LAN-хост
-------------------------------------------------------------------------------

C:\Documents and Settings\Администратор>rote print
"rote" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

C:\Documents and Settings\Администратор>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 c0 a8 c8 45 a0 ...... Atheros AR5005G Wireless Network Adapter - ╠шэшя
юЁЄ яырэшЁют∙шър яръхЄют
0x10004 ...00 03 0d 53 6d fc ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
- ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    200.200.200.1   200.200.200.2       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    200.200.200.0  255.255.255.252    200.200.200.2   200.200.200.2       20
    200.200.200.2  255.255.255.255        127.0.0.1       127.0.0.1       20
  200.200.200.255  255.255.255.255    200.200.200.2   200.200.200.2       20
        224.0.0.0        240.0.0.0    200.200.200.2   200.200.200.2       20
  255.255.255.255  255.255.255.255    200.200.200.2               2       1
  255.255.255.255  255.255.255.255    200.200.200.2   200.200.200.2       1
Основной шлюз:       200.200.200.1
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Documents and Settings\Администратор>tracert -h 5 192.168.167.33

Трассировка маршрута к 192.168.167.33 с максимальным числом прыжков 5

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
------------------------------------------------------------------------------

5. ZyWall P1 - сетевой экран, с функциями DHCP, NAT, Firewall и маршрутизации.
Наша задумка состоит в том, чтобы его использовать как имитатор роутера со стороны, которую мы условно назвали WAN. На самом деле это выглядит как два хоста разных сетей через маршрутизаторы пытаются соединиться. WAN-хост динамически получает от ZyWall IP адрес, но т.к. адреса между экраном и Cisco другие, то мы и используем NAT.

>[оверквотинг удален]
>интерфейсов содержит следующее:
>1. GEth0/0
>2. GEth0/1
>3. FaEth0/0/0
>4. FaEth0/0/1
>5. FaEth0/0/2
>6. FaEth0/0/3
>7. Vlan1.
>
>Как лучше организовать выход в  Internet?

а что у провайдера?

>[оверквотинг удален]
>>2. GEth0/1
>>3. FaEth0/0/0
>>4. FaEth0/0/1
>>5. FaEth0/0/2
>>6. FaEth0/0/3
>>7. Vlan1.
>>
>>Как лучше организовать выход в  Internet?
>
>расшифруйте понятие "лучше"

Вобщем-то мы из начинающих, поэтому просьба отнестись снисходительно.
На данный момент пытаемся решить вопрос конфигурирования роутера принципиально.
К Cisco2821 на порт LAN_GEth0/0 с адресом 200.200.200.1/30 зацеплен комп с адресом 200.200.200.2/30. К порту WAN_GEth0/1 с адресом 170.10.10.2/26 для имитации маршрутизатора провайдера подключили межсетевой экран ZyWall P1, поддерживающий функции роутера и NAT. Дали ему адрес 170.10.10.1/26 в сторону циски, а с другой стороны - 192.168.167.1/24. За межсетевым экраном поставили еще один хост, экран назначает ему адрес динамически, но gateway ему прописали явно.
Схема собрана для имитации канала с реальным провайдером. Конфигурируем Cisco при помощи SDM.
На маршрутизаторе настроили маршрут: поставили галку default rout, forwarding 170.10.10.1, метрика 1. Также создали NAT. Рулей пока не создавали.
Вопрос в том, что хост LANa не пингуется ни с ZyWall P1, ни с подключенным к нему хостом.
Хотя пинг проходит от WAN хоста до GEth0/0, но опять же до хоста внутренней сети никак.
Подскажите где косяк.
И еще, можно ли гиговый порт использовать для WAN соединения? А то у нас сомнение...

version 12.4
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ***********
!
boot-start-marker
boot system flash:c2800nm-ipbase-mz.124-3i.bin
boot system flash
boot system rom
boot-end-marker
!
no logging buffered
enable secret *************************
enable password **********
!
no aaa new-model
resource policy
!
ip subnet-zero
no ip routing
!
!
no ip cef
!
!
!
!
!
!
interface GigabitEthernet0/0
description *******
ip address 200.200.200.1 255.255.255.252
ip nat inside
no ip route-cache
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description *********
ip address 170.10.10.2 255.255.255.192
ip nat outside
no ip route-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
switchport trunk native vlan 2
switchport mode trunk
no cdp enable
no mop enabled
!
interface FastEthernet0/0/1
shutdown
no cdp enable
!
interface FastEthernet0/0/2
no cdp enable
!
interface FastEthernet0/0/3
no cdp enabl
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan2
description ***
ip address 170.20.20.2 255.255.255.192
vlan-id dot1q 2
  description i-lan
  bridge-group 1
  exit-vlan-config
!
!
interface Vlan3
ip address 170.30.30.2 255.255.255.192
!
ip classless
ip route 0.0.0.0 0.0.0.0 170.10.10.1
!
ip http server
ip nat pool STTK-OTN 170.10.10.3 170.10.10.62 netmask 255.255.255.192
ip nat inside source list 2 pool ******** overload
--More—
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 200.200.200.0 0.0.0.3
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 200.200.200.0 0.0.0.3
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password *********
login
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
!
end

>[оверквотинг удален]
>192.168.167.1/24. За межсетевым экраном поставили еще один хост, экран назначает ему
>адрес динамически, но gateway ему прописали явно.
>Схема собрана для имитации канала с реальным провайдером. Конфигурируем Cisco при помощи
>SDM.
>На маршрутизаторе настроили маршрут: поставили галку default rout, forwarding 170.10.10.1, метрика 1.
>Также создали NAT. Рулей пока не создавали.
>Вопрос в том, что хост LANa не пингуется ни с ZyWall P1,
>ни с подключенным к нему хостом.
>Хотя пинг проходит от WAN хоста до GEth0/0, но опять же до
>хоста внутренней сети никак.

  Так и должно быть. У вас так NAT настроен.

>[оверквотинг удален]
>line aux 0
>line vty 0 4
> password *********
> login
>!
>scheduler allocate 20000 1000
>no process cpu extended
>no process cpu autoprofile hog
>!
>end

>[оверквотинг удален]
>>line aux 0
>>line vty 0 4
>> password *********
>> login
>>!
>>scheduler allocate 20000 1000
>>no process cpu extended
>>no process cpu autoprofile hog
>>!
>>end

Может тогда объясните непутевым как нужно? Мы вот подумали, что не может быть загвостка в том, что мы один серый адрес транслируем в 62 белых или роутеру по барабану должно быть?

>[оверквотинг удален]
>>>!
>>>scheduler allocate 20000 1000
>>>no process cpu extended
>>>no process cpu autoprofile hog
>>>!
>>>end
>
>Может тогда объясните непутевым как нужно? Мы вот подумали, что не может
>быть загвостка в том, что мы один серый адрес транслируем в
>62 белых или роутеру по барабану должно быть?

Обычно всё на оборот.

Вот ссылки изучайте:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...

>[оверквотинг удален]
>>
>>Может тогда объясните непутевым как нужно? Мы вот подумали, что не может
>>быть загвостка в том, что мы один серый адрес транслируем в
>>62 белых или роутеру по барабану должно быть?
>
>Обычно всё на оборот.
>
>Вот ссылки изучайте:
>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...

В том то и дело, что обычно наоборот. Но мы располагаем биллинговым ПО,которое исполняет необходимые для нас функции лишь когда установлено на сервер доступа, т.е. пропуская весь трафик через себя. Поскольку это ПК на WinXP, то использовать можно только PAT в купе с ICS. Логично предположить что смысла в пуле белых адресов при таком раскладе нет вовсе, но где-то читали что один внешний адрес не есть гуд, напартачить в сети может любой. Поэтому у провайдера просим пул. Согласен, что схема не традиционная, посоветуйте как разрулить...

>[оверквотинг удален]
>>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
>
>В том то и дело, что обычно наоборот. Но мы располагаем биллинговым
>ПО,которое исполняет необходимые для нас функции лишь когда установлено на сервер
>доступа, т.е. пропуская весь трафик через себя. Поскольку это ПК на
>WinXP, то использовать можно только PAT в купе с ICS. Логично
>предположить что смысла в пуле белых адресов при таком раскладе нет
>вовсе, но где-то читали что один внешний адрес не есть гуд,
>напартачить в сети может любой. Поэтому у провайдера просим пул. Согласен,
>что схема не традиционная, посоветуйте как разрулить...

может быть свитч и port-mirror ?
если я правильно понял как работает софт...

>
>может быть свитч и port-mirror ?
>если я правильно понял как работает софт.

Спешу сообщить - пинг разрулили. Снесли NAT и прописали маршруты к LAN-сети и WAN-сети.
По поводу "...свитч и port-mirror...". Биллинговый сервер стоит как раз между роутером и коммутатором 3-его уровня. Биллинговое ПО - это Трафик Инспектор. Намерены использовать его proxy-сервер. Про зеркало мы думали, но в их мануале ни х.ра и намеков на это нет, а на экспирименты времени мало. Если есть что сказать по этому поводу будем признательны.