Маршрутизатор cisco2821
Транслирую 20,21,23 порты сервера с айпи 1.1.3.1 на 2 внешних айпи 1.1.1.1 и 1.1.2.1.
По портам 21 и 23 все работает правильно.
А вот с 20 портом непонятки:
Клиентам Fa1/1 - 1.1.2.0 255.255.255.0 приходят пакеты с "неправильным" source адресом - 1.1.1.1.
клиентам Fa1/0 - 1.1.1.0 255.255.255.0 приходят пакеты с "правильным" source адресом - 1.1.1.1.т.е. source адрес всегда подставляется один и тот же ... 1.1.1.1 (Внутренний глобальный всегда один и тот же)
Вопрос:
Как с этим бороться????Схема:
Sever(1.1.3.1) - GI0/1 (router cisco2821) Fa1/0 - 1.1.1.0 255.255.255.0
Fa1/1 - 1.1.2.0 255.255.255.0interface FastEthernet1/0
switchport access vlan 110interface FastEthernet1/1
switchport access vlan 111interface Vlan110
ip address 1.1.1.1 255.255.255.0
ip access-group Vlan110_in in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassemblyinterface Vlan111
ip address 1.1.2.1 255.255.255.192
ip access-group Vlan111_in in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassemblyip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.1.1 21 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.1.1 23 extendable
ip nat inside source static tcp 1.1.3.1 20 1.1.2.1 20 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.2.1 21 extendable
ip nat inside source static tcp 1.1.3.1 21 1.1.2.1 23 extendablesh ip nat tr
Pro Inside global Inside local Outside local Outside global
tcp 1.1.1.1:20 1.1.1.3:20 --- ---
tcp 1.1.1.1:20 1.1.1.3:20 1.1.2.13:xxxx 1.1.2.13:xxxx -!!!!!!!! вот и сама проблема!!!!!!!
tcp 1.1.1.1:21 1.1.1.3:21 --- ---
tcp 1.1.1.1:23 1.1.1.3:23 --- ---
tcp 1.1.2.1:21 1.1.1.3:21 1.1.2.13:xxxx 1.1.2.13:xxxx
tcp 1.1.2.1:20 1.1.1.3:20 --- ---
tcp 1.1.2.1:21 1.1.1.3:21 --- ---
tcp 1.1.2.1:23 1.1.1.3:23 --- ---
>[оверквотинг удален]
>
> ---
>tcp 1.1.2.1:21 1.1.1.3:21
> ---
>
> ---
>tcp 1.1.2.1:23 1.1.1.3:23
> ---
>
> ---если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена и source и destination..такое только пиксы умеют..
>если я правильно понял вопрос, то вам нужен двойной нат, т.е. подмена
>и source и destination..такое только пиксы умеют..Нет ... мне нада чтобы в поле source была правильная подмена. Пакет выходит через интерфейс 1,1,2,1 а маршрутизатор в соурс подставляет 1,1,1,1 ....
>[оверквотинг удален]
>
> ---
>tcp 1.1.2.1:21 1.1.1.3:21
> ---
>
> ---
>tcp 1.1.2.1:23 1.1.1.3:23
> ---
>
> ---через роут-мап с match interface ...
>через роут-мап с match interface ...Пробывал ... не получается ....
Конфигурация плюс к тому что было
ip nat inside source route-map RMAP_2_NAT interface Vlan111 overloadip access-list extended ACL_2_NAT
permit tcp host 1.1.3.1 eq ftp-data 1.1.2.0 0.0.0.255 eq ftp-data logroute-map RMAP_2_NAT permit 1
match ip address ACL_2_NAT
match interface Vlan111и так
ip access-list extended ACL_2_NAT
permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 log
То же самое получетсяЧитал про работу FTP:
В моем случае получается:
Клиент из вне обращается к Внутреннему глобальному аресу NAT 1.1.2.1 на порт 21, затем маршрутизатор делает подмену дестинеэшен 1.1.2.1 на 1.1.3.1, куда пакет затем и направляется. Далее пакет идет обратно и меняется поле соурс с 1.1.3.1 на 1.1.2.1. Это работает - некие системные ФТПшные команды. Затем при передаче самих данных FTP сервер (1.1.3.1) инициирует соединение на клиента по 20 порту, а клиент в это время начинает "слушать" 20 порт. Пакет от сервера приходит в маршрутизатор и !!!начинается проблемка!!! подменяет ай пи (1.1.3.1)в поле соурс на 1.1.1.1 (а это другой интерфейс). Причем пакет доходит до клиента, но на клиенте (фтп клиент) в логах ошибка на подмену адреса - типа ждал от одного- пришло от другого. И еще ... 1.1.1.1 подставляется всегда ... как будто тупо берет первым из списка (NAT таблицы). Когда был НАТ тока через один интерфейс проблем не было.При появлении второго в соурс подставляется все тот же адрес первого интерфейса.
ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1ip access-list exstended test_acl
permit tcp host 1.1.3.1 1.1.2.0 0.0.0.255 logroute-map rmap_1
match address test_acl
Тоже работает неправильно .....
ip nat inside source static tcp 1.1.3.1 20 1.1.1.1 20 extendable route-map rmap_1ip access-list exstended test_acl
permit tcp host 1.1.3.1 1.1.1.0 0.0.0.255 logroute-map rmap_1
match address test_acl
Тоже работает неправильно .....