URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17415
[ Назад ]

Исходное сообщение
"NAT и некоторые сложности"

Отправлено momo , 21-Окт-08 20:57 
Как быть  вот в такой ситуации?
Есть два канала в интернет. Есть циска 2801.Один канал настроена на резервирование с плавающей метрикой ip route 0.0.0.0 0.0.0.0 1.1.1.1 10. Если все гуд,то все пользователи выходя через основной канал. Также создана для подсети 192.168.11.0/24 нат таблица котрая разрешает всем врутренним пользователям натиться по все портам наружу. Все работает. Значит,цель такого.......когда отваливается основной канал,поднимается автоматом канал с более высокой метрикой,но......( кстати,для этого канала также имеется нат для все подсети 192.168.11.0/24) ничего приэтом не работает. Получается имеется два ната для одной и той же подсети , только натиться эта внутренняя подсети на разные внешние айпи адреса. Т.е кагда поднимается второй канал, то часть пакетов по первому нату уходят вникуда (т.е первый канал не работает) и другая часть пакетов уходит по второму каналу . Итог - ничего приэтом не работает. Вопрос??? Может ли сущестововать в принципе для одной и тоже сети две нат таблицы только с разными реальными айпи адресами?

пример моего конфига


ip nat pool Comstar 1.1.1.1 1.1.1.1 netmask 255.255.255.252
ip nat pool Comstar_2 2.2.2.2 2.2.2.2 netmask 255.255.255.240
ip nat inside source list blah_nat pool Comstar overload
ip nat inside source list blah_nat_2 pool Comstar_2 overload


ip access-list extended blah_nat
permit ip 192.168.11.0 0.0.0.0.255 any

ip access-list extended blah_nat_2
permit ip 192.168.11.0 0.0.0.0.255 any



Содержание

Сообщения в этом обсуждении
"NAT и некоторые сложности"
Отправлено Санько , 22-Окт-08 09:02 
>Как быть  вот в такой ситуации?

примерно так:

ip nat pool Comstar 1.1.1.1 1.1.1.1 netmask 255.255.255.252
ip nat pool Comstar_2 2 2.2.2.2 2.2.2.2 netmask 255.255.255.240

ip nat inside route-map isp1 pool Comstar overload
ip nat inside route-map isp2 pool Comstar_2 overload

ip access-list extended blah_nat
permit ip 192.168.11.0 0.0.0.0.255 any

route-map isp1 permit 10
match ip address blah_nat
match interface Ethernet0/1

route-map isp2 permit 10
match ip address blah_nat
match interface Ethernet0/2

ip sla 10
icmp-echo a.b.c.d source-interface Ethernet0/1
timeout 2000
ip sla schedule 10 life forever start-time now
ip sla 20
icmp-echo a.b.c.d source-interface Ethernet0/2
timeout 2000
ip sla schedule 20 life forever start-time now

ip route 0.0.0.0 0.0.0.0 a.b.c.d track 1
ip route 0.0.0.0 0.0.0.0 a.b.c.d 50 track 2


"NAT и некоторые сложности"
Отправлено CrAzOiD , 22-Окт-08 09:43 
>[оверквотинг удален]
> icmp-echo a.b.c.d source-interface Ethernet0/1
> timeout 2000
>ip sla schedule 10 life forever start-time now
>ip sla 20
> icmp-echo a.b.c.d source-interface Ethernet0/2
> timeout 2000
>ip sla schedule 20 life forever start-time now
>
>ip route 0.0.0.0 0.0.0.0 a.b.c.d track 1
>ip route 0.0.0.0 0.0.0.0 a.b.c.d 50 track 2

Я бы еще что-то типа этого добавил:
event manager applet ISP_SWITCH_10
event track 10
action 1.0 cli command "enable"
action 2.0 cli command "clear ip nat trans forced"
event manager applet ISP_SWITCH_20
event track 20
action 1.0 cli command "enable"
action 2.0 cli command "clear ip nat trans forced"


"NAT и некоторые сложности"
Отправлено GolDi , 22-Окт-08 10:27 
>[оверквотинг удален]
>
>Я бы еще что-то типа этого добавил:
>event manager applet ISP_SWITCH_10
>event track 10
>action 1.0 cli command "enable"
>action 2.0 cli command "clear ip nat trans forced"
>event manager applet ISP_SWITCH_20
>event track 20
>action 1.0 cli command "enable"
>action 2.0 cli command "clear ip nat trans forced"

       Нет такого Event track


"NAT и некоторые сложности"
Отправлено CrAzOiD , 22-Окт-08 10:41 
>[оверквотинг удален]
>>event manager applet ISP_SWITCH_10
>>event track 10
>>action 1.0 cli command "enable"
>>action 2.0 cli command "clear ip nat trans forced"
>>event manager applet ISP_SWITCH_20
>>event track 20
>>action 1.0 cli command "enable"
>>action 2.0 cli command "clear ip nat trans forced"
>
>       Нет такого Event track

где нет?


"NAT и некоторые сложности"
Отправлено GolDi , 22-Окт-08 10:49 
>[оверквотинг удален]
>>>action 1.0 cli command "enable"
>>>action 2.0 cli command "clear ip nat trans forced"
>>>event manager applet ISP_SWITCH_20
>>>event track 20
>>>action 1.0 cli command "enable"
>>>action 2.0 cli command "clear ip nat trans forced"
>>
>>       Нет такого Event track
>
>где нет?

  В описалове


"NAT и некоторые сложности"
Отправлено CrAzOiD , 22-Окт-08 13:18 
>[оверквотинг удален]
>>>>event manager applet ISP_SWITCH_20
>>>>event track 20
>>>>action 1.0 cli command "enable"
>>>>action 2.0 cli command "clear ip nat trans forced"
>>>
>>>       Нет такого Event track
>>
>>где нет?
>
>  В описалове

в описалове чего?
В IOS нет такой команды что-ли? "Ничего не понимаю" (с)


"NAT и некоторые сложности"
Отправлено GolDi , 22-Окт-08 15:01 
>[оверквотинг удален]
>>>>>action 2.0 cli command "clear ip nat trans forced"
>>>>
>>>>       Нет такого Event track
>>>
>>>где нет?
>>
>>  В описалове
>
>в описалове чего?
>В IOS нет такой команды что-ли? "Ничего не понимаю" (с)

  В описалове EEM не такого event-a как track.


"NAT и некоторые сложности"
Отправлено CrAzOiD , 22-Окт-08 16:05 
>[оверквотинг удален]
>>>>>       Нет такого Event track
>>>>
>>>>где нет?
>>>
>>>  В описалове
>>
>>в описалове чего?
>>В IOS нет такой команды что-ли? "Ничего не понимаю" (с)
>
>  В описалове EEM не такого event-a как track.

http://www.cisco.com/en/US/docs/ios/netmgmt/command/referenc...


"NAT и некоторые сложности"
Отправлено GolDi , 22-Окт-08 16:09 
>[оверквотинг удален]
>>>>>где нет?
>>>>
>>>>  В описалове
>>>
>>>в описалове чего?
>>>В IOS нет такой команды что-ли? "Ничего не понимаю" (с)
>>
>>  В описалове EEM не такого event-a как track.
>
>http://www.cisco.com/en/US/docs/ios/netmgmt/command/referenc...

  Ok.


"NAT и некоторые сложности"
Отправлено momo , 22-Окт-08 17:53 
>[оверквотинг удален]
>>>>>  В описалове
>>>>
>>>>в описалове чего?
>>>>В IOS нет такой команды что-ли? "Ничего не понимаю" (с)
>>>
>>>  В описалове EEM не такого event-a как track.
>>
>>http://www.cisco.com/en/US/docs/ios/netmgmt/command/referenc...
>
>  Ok.

Всем спаибо,буду пробовать....отпишусь


"NAT и некоторые сложности"
Отправлено Jetkins , 22-Окт-08 18:39 
Всем привет, помогите!!! Надо заказчику сделать видимым комп из подсети 10.8.0.77 через порт 8080 например, внешний 193.138.245.50. Вот конфиг, вроде прописал как умею, но не работает.

urrent configuration : 4357 bytes
!
! Last configuration change at 10:22:23 UTC Wed Oct 22 2008 by admin
! NVRAM config last updated at 11:11:00 UTC Tue Oct 21 2008 by admin
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Kh-c2620XM
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$UwPd$g8CONFn03ZopccFmI7JG81
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
ip dhcp excluded-address 10.8.0.1 10.8.0.50
!
ip dhcp pool Kharkiv
   network 10.8.0.0 255.255.255.0
   dns-server 192.168.2.10 193.138.244.36
   default-router 10.8.0.1
   domain-name softline.main
   netbios-name-server 192.168.2.10
   option 150 ip 192.168.2.181
!
ip domain name kharkiv.softline.main
ip audit po max-events 100
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host admin 10.3.0.127 root enable
ip rcmd remote-host differ 10.3.0.127 differ enable
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
username cisco secret 5 $1$ZsLe$6Fj/Zej/C0F3i5fsGLh3T0
username admin privilege 15 password 7 0822455D0A16
username konst privilege 15 secret 5 $1$ZMe1$CeaKUwX.F3Th7JaGNaKg7/
!
!
!
!
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key ufjhbfgjofgjbfgbfgjbffig address 195.245.253.2
!
!
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set avalanche esp-des esp-md5-hmac
!
crypto map Kiev 10 ipsec-isakmp
set peer 195.245.253.2
set security-association lifetime seconds 86400
set transform-set avalanche
set pfs group2
match address Kiev_VPN
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
description Internet
encapsulation dot1Q 10
ip address 193.138.245.50 255.255.255.248
ip access-group Incoming in
ip nat outside
no snmp trap link-status
crypto map Kiev
!
interface FastEthernet0/0.2
description Local Lan
encapsulation dot1Q 1 native
ip address 10.8.0.1 255.255.255.0
ip accounting output-packets
ip nat inside
no snmp trap link-status
!
interface FastEthernet0/0.7
!
interface FastEthernet0/0.9
!
ip nat inside source list ZZZ interface FastEthernet0/0.1 overload
ip nat inside source static tcp 10.8.0.63 8080 194.187.155.73 8080 extendable
ip nat inside source static tcp 10.8.0.19 25 194.187.155.73 25 extendable
ip nat inside source static tcp 10.8.0.60 3389 194.187.155.73 3389 extendable
ip nat inside source static tcp 10.8.0.77 8080 193.138.245.50 8080 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 193.138.245.49
ip route 193.138.244.0 255.255.252.0 193.138.245.52
!
no ip http server
no ip http secure-server
!
ip access-list standard ssh_access
permit 10.1.8.13
permit 10.3.0.127
permit 195.245.253.111
permit 10.1.8.248
permit 10.8.0.0 0.0.0.255
permit 10.1.0.0 0.0.255.255
ip access-list standard telnet_access
permit 10.3.0.127
!
ip access-list extended Incoming
permit tcp any any established
permit udp any any
permit icmp any any
permit gre any any
permit ip 195.245.253.0 0.0.0.255 194.187.155.64 0.0.0.15
permit ip 10.0.0.0 0.3.255.255 10.8.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.255.255 10.8.0.0 0.0.0.255
permit tcp any host 194.187.155.73 eq smtp
permit ip 195.245.253.0 0.0.0.255 193.138.245.48 0.0.0.7
permit ip 10.8.0.0 0.7.255.255 any
ip access-list extended Kiev_VPN
permit ip 10.8.0.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.8.0.0 0.0.0.255 10.0.0.0 0.7.255.255
permit ip 10.8.0.0 0.0.0.255 10.8.0.0 0.7.255.255
permit ip 10.8.0.0 0.0.0.255 195.245.253.0 0.0.0.7
ip access-list extended ZZZ
deny   ip 10.8.0.0 0.0.0.255 10.0.0.0 0.7.255.255
deny   ip 10.8.0.0 0.0.0.255 10.8.0.0 0.7.255.255
deny   ip 10.8.0.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip any any
!
access-list 10 deny   10.0.0.0 0.7.255.255
access-list 10 deny   192.168.0.0 0.0.255.255
access-list 10 permit any
access-list 110 deny   ip host 193.138.245.50 host 195.245.253.2
access-list 110 permit ip any any
!
!
snmp-server community cisco-SNMP-pass RO
snmp-server enable traps tty
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
access-class ssh_access in
login local
transport input ssh
line vty 5 7
access-class telnet_access in
login
transport input telnet
!
ntp clock-period 17180216
ntp server 62.149.2.1
!
end



"NAT и некоторые сложности"
Отправлено CrAzOiD , 22-Окт-08 20:57 
ip nat inside source static tcp 10.8.0.77 8080 193.138.245.50 8080 extendable no-alias
кажется так

но тему я бы вынес в отдельную