URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17608
[ Назад ]

Исходное сообщение
"cisco 2821 и NAT на несколько интерфейсов"
Отправлено youric , 18-Ноя-08 09:18

Маршрутизатор cisco2821
Транслирую 20,21,23 порты сервера с айпи 1.1.3.1  на 2 внешних айпи 1.1.1.1 и 1.1.2.1.
По портам 21 и 23 все работает правильно.
А вот с 20 портом непонятки:
Клиентам Fa1/1 - 1.1.2.0 255.255.255.0 приходят пакеты с "неправильным" source адресом - 1.1.1.1.
клиентам Fa1/0 - 1.1.1.0 255.255.255.0 приходят пакеты с "правильным" source адресом - 1.1.1.1.
т.е. source адрес всегда подставляется один и тот же ... 1.1.1.1 (Внутренний глобальный всегда один и тот же)
Вопрос:
Как с этим бороться????
Схема:
Sever(1.1.3.1) - GI0/1 (router cisco2821) Fa1/0 - 1.1.1.0 255.255.255.0
                          Fa1/1 - 1.1.2.0 255.255.255.0
interface FastEthernet1/0
switchport access vlan 110
interface FastEthernet1/1
switchport access vlan 111
interface Vlan110
ip address 1.1.1.1 255.255.255.0
ip access-group Vlan110_in in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
interface Vlan111
ip address 1.1.2.1 255.255.255.192
ip access-group Vlan111_in in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.1.1 21 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.1.1 23 extendable
ip nat inside source static tcp 1.1.3.1 20 1.1.2.1 20 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.2.1 21 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.2.1 23 extendable
sh ip nat tr
Pro Inside global         Inside local          Outside local         Outside global
tcp 1.1.1.1:20            1.1.1.3:20          ---                   ---
tcp 1.1.1.1:20            1.1.1.3:20            1.1.2.13:xxxx         1.1.2.13:xxxx -!!!!!!!! вот и сама проблема!!!!!!!
tcp 1.1.1.1:21            1.1.1.3:21            ---                   ---
tcp 1.1.1.1:23             1.1.1.3:23            ---                   ---
tcp 1.1.2.1:21            1.1.1.3:21            1.1.2.13:xxxx         1.1.2.13:xxxx
tcp 1.1.2.1:20           1.1.1.3:20            ---                   ---
tcp 1.1.2.1:21           1.1.1.3:21            ---                   ---
tcp 1.1.2.1:23           1.1.1.3:23            ---                   ---

Содержание

cisco 2821 и NAT на несколько интерфейсов,Ajaxx, 12:35 , 18-Ноя-08
- cisco 2821 и NAT на несколько интерфейсов,youric, 01:41 , 19-Ноя-08
cisco 2821 и NAT на несколько интерфейсов,weris, 09:07 , 19-Ноя-08
- cisco 2821 и NAT на несколько интерфейсов,youric, 02:27 , 20-Ноя-08
  - cisco 2821 и NAT на несколько интерфейсов,youric, 07:34 , 28-Ноя-08
  - cisco 2821 и NAT на несколько интерфейсов,youric, 07:34 , 28-Ноя-08

Сообщения в этом обсуждении

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено Ajaxx , 18-Ноя-08 12:35

>[оверквотинг удален]
>
>   ---
>tcp 1.1.2.1:21        1.1.1.3:21
>      ---
>
>   ---
>tcp 1.1.2.1:23        1.1.1.3:23
>      ---
>
>   ---
если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена и source и destination..такое только пиксы умеют..

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено youric , 19-Ноя-08 01:41

>если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена
>и source и destination..такое только пиксы умеют..
Нет ... мне нада чтобы в поле source была правильная подмена. Пакет выходит через интерфейс 1,1,2,1 а маршрутизатор в соурс подставляет 1,1,1,1 ....

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено weris , 19-Ноя-08 09:07

>[оверквотинг удален]
>
>   ---
>tcp 1.1.2.1:21        1.1.1.3:21
>      ---
>
>   ---
>tcp 1.1.2.1:23        1.1.1.3:23
>      ---
>
>   ---
через роут-мап с match interface ...

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено youric , 20-Ноя-08 02:27

>через роут-мап с match interface ...
Пробывал ... не получается ....
Конфигурация плюс к тому что было
ip nat inside source route-map RMAP_2_NAT interface Vlan111 overload
ip access-list extended ACL_2_NAT
permit tcp host 1.1.3.1 eq ftp-data 1.1.2.0 0.0.0.255 eq ftp-data log
route-map RMAP_2_NAT permit 1
match ip address ACL_2_NAT
match interface Vlan111
и так
ip access-list extended ACL_2_NAT
permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 log
То же самое получется
Читал про работу FTP:
В моем случае получается:
Клиент из вне обращается к Внутреннему глобальному аресу NAT 1.1.2.1 на порт 21, затем маршрутизатор делает подмену дестинеэшен 1.1.2.1 на 1.1.3.1, куда пакет затем и направляется. Далее пакет идет обратно и меняется поле соурс с 1.1.3.1 на 1.1.2.1. Это работает - некие системные ФТПшные команды. Затем при передаче самих данных FTP сервер (1.1.3.1) инициирует соединение на клиента по 20 порту, а клиент в это время начинает "слушать" 20 порт. Пакет от сервера приходит в маршрутизатор и !!!начинается проблемка!!! подменяет ай пи (1.1.3.1)в поле соурс на 1.1.1.1 (а это другой интерфейс). Причем пакет доходит до клиента, но на клиенте (фтп клиент) в логах ошибка на подмену адреса - типа ждал от одного- пришло от другого. И еще ... 1.1.1.1 подставляется всегда ... как будто тупо берет первым из списка (NAT таблицы). Когда был НАТ тока через один интерфейс проблем не было.При появлении второго в соурс подставляется все тот же адрес первого интерфейса.

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено youric , 28-Ноя-08 07:34

ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1
ip access-list exstended test_acl
permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 log
route-map rmap_1
match address test_acl

Тоже работает неправильно .....

"cisco 2821 и NAT на несколько интерфейсов"
Отправлено youric , 28-Ноя-08 07:34

ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1
ip access-list exstended test_acl
permit tcp host 1.1.3.1 1.1.1.0 0.0.0.255 log
route-map rmap_1
match address test_acl

Тоже работает неправильно .....