Добрый день, коллеги!
Посоветуйте, пожалуйста, кто знает.Описание: пытаюсь мигрировать с 3845 на 7606. Поднят NAT.
Специфика сети в том, что много inside nat интерфейсов и много outside nat. И они друг в друга ходят по-разному - из одного инсайда если надо в интернет, то в один аутсайд, если надо в некоторую другую сеть, то в другой аутсайд, и т.п. Регулируется всё роут-мапами.
IOSы 15е на обоих.Значащий конфиг одинаковый. Только, понятно дело, разные номера интерфейсов (gi0/0 и gi 0/1 на 38й, gi5/2 и te1/1 на 76й). И ещё: на 3845 всё поднято на саб-ифах, на 7606 на интерфейс вланах.
Конфиг по 38й:
interface GigabitEthernet0/1.300
description LAN_MAIN
ip address 172.28.x.x 255.255.0.0
ip nat inside
!
interface GigabitEthernet0/0.508
description LAN_SIDE
ip address 192.168.208.x 255.255.255.0
ip nat inside
!interface GigabitEthernet0/0.505
description WAN_NET1
ip address 10.144.y.y 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/0.713
description WAN_NET2
ip address 192.168.34.z 255.255.255.0
ip nat outside
!
interface GigabitEthernet0/0.1503
description WAN_INTERNET
ip address a.b.c.d 255.255.255.224
!ip nat inside source route-map Internet interface GigabitEthernet0/0.1503 overload
ip nat inside source route-map NET2 interface GigabitEthernet0/0.713 overload
ip nat inside source route-map NET1 interface GigabitEthernet0/0.505 overloadroute-map Internet permit 10
match ip address Office_to_Internet
match interface GigabitEthernet0/0.1503
!
route-map NET1 permit 10
match ip address Office_to_NET1
match interface GigabitEthernet0/0.505
!
route-map NET2 permit 10
match ip address Office_to_NET2
match interface GigabitEthernet0/0.713
!ip access-list extended Office_to_Internet
permit ip 172.28.0.0 0.0.255.255 any
!
ip access-list extended Office_to_NET1
permit ip 172.28.1.0 0.0.0.255 10.144.y.y 0.255.255.255
permit ip 172.28.2.0 0.0.0.255 any
!
ip access-list extended Office_to_NET2
permit ip 172.28.1.0 0.0.0.255 192.168.34.z 0.0.255.255
permit ip 192.168.208.0 0.0.0.255 any
permit ip 172.28.2.0 0.0.0.255 any
!Соль проблемы: один и тот же конфиг на 3845 работает как надо, на 7606, похоже, трафик валится в первое же совпадение, не проверяя, через какой интерфейс виден destination. То есть, например, трафик, который должен был бы пойти в сеть 192.168.34.0 по роут мапу NET2 и его аксесс-листу Office_to_NET2, валится в интернет, потому что встречает раньше роут мап Internet и его аксесс-лист Office_to_Internet.
Пока мыслю:
1) поменять на 76й интерфейс вланы на саб-ифы, как на 38й. Мало ли...
2) В роут-мапах, поменять местами правила (сначала match interface сделать, потом match ip address <acl>).
3) Делать более специфические аксесс-листы, permit ip <source> <destination> без any. Any только для интернета.Но почему же тогда на 38й всё работает на таком конфиге?
Если есть у кого мысли, буду рад помощи.
Спасибо.
В приведенном тобой примере полиси роутинга НЕТ.
правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они работают уже "по факту", когда решение о маршрутизации системой принято.
> В приведенном тобой примере полиси роутинга НЕТ.
> правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они
> работают уже "по факту", когда решение о маршрутизации системой принято.И тем не менее конфиг именно такой и работает уже лет 5.
Есть интерфейсы инсайды и аутсайды, есть статик роуты в эти инсайды и аутсайды, есть правила ip nat inside source route-map <ABC> interface gi0/0.<xyz> overload, есть роут-мапы с match ip address <acl> и match interface, и есть acl-и.
>> В приведенном тобой примере полиси роутинга НЕТ.
>> правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они
>> работают уже "по факту", когда решение о маршрутизации системой принято.
> И тем не менее конфиг именно такой и работает уже лет 5.
> Есть интерфейсы инсайды и аутсайды, есть статик роуты в эти инсайды и
> аутсайды, есть правила ip nat inside source route-map <ABC> interface gi0/0.<xyz>
> overload, есть роут-мапы с match ip address <acl> и match interface,
> и есть acl-и.У одного или нескольких операторов отсутствует проверка source IP. Потому и "работает". Обратный траффик возвращается через правильного оператора.
Для проверки на интерфейсах с ip nat outside повесь out аксес листы, разрешающие соурсом только адрес интерфейса. Будешь удивлен.
Либо таблица маршрутизации отличается на железках.
Других вариантов нет. НАТ не принимает решения о маршрутизации.
NAT with overload на 7600 делает софтово.
PBR на 7600 делается аппаратно тоже не весь.Про ограничения платформы читайте на сайте производителя.
Вы поменяли софтроутер на свич, через это имеете проблему.
Вопросы дизайна надо решать до выбора железки, а не после.
> NAT with overload на 7600 делает софтово.
> PBR на 7600 делается аппаратно тоже не весь.
> Про ограничения платформы читайте на сайте производителя.
> Вы поменяли софтроутер на свич, через это имеете проблему.
> Вопросы дизайна надо решать до выбора железки, а не после.Да дело не в том, что он не делает NAT или CPU грузит. Он его прекрасно делает, только заворачивает не туда, не в то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот про логику и спрашиваю.
>> NAT with overload на 7600 делает софтово.
>> PBR на 7600 делается аппаратно тоже не весь.
>> Про ограничения платформы читайте на сайте производителя.
>> Вы поменяли софтроутер на свич, через это имеете проблему.
>> Вопросы дизайна надо решать до выбора железки, а не после.
> Да дело не в том, что он не делает NAT или CPU
> грузит. Он его прекрасно делает, только заворачивает не туда, не в
> то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот
> про логику и спрашиваю.А заворачивает он не в то правило скорее всего потому, что у вас в ACL нет deny на соответсвующие подсети.
Вот как раз правило> ip access-list extended Office_to_Internet
> permit ip 172.28.0.0 0.0.255.255 anyсрабатывает первым и не дает пройти 172.18.1.0/24 до ip access-list extended Office_to_NET1
Описывайте ACL более точно. Примерно так:ip access-list extended Office_to_Internet
10 deny ip 172.28.1.0 0.0.0.255 any
20 deny ip 172.28.2.0 0.0.0.255 any
30 permit ip 172.28.0.0 0.0.255.255 anyИ с остальными ACL в вашем случае аналогично. Все что не должно проходить через ACL для NAT - запрещайте явно.
> А заворачивает он не в то правило скорее всего потому, что у
> вас в ACL нет deny на соответсвующие подсети.
> Вот как раз правилотам кроме аксес-листа матчится еще и интерфей, только смысла не имеет, потому что роутится внитуда.
>[оверквотинг удален]
>> ip access-list extended Office_to_Internet
>> permit ip 172.28.0.0 0.0.255.255 any
> срабатывает первым и не дает пройти 172.18.1.0/24 до ip access-list extended Office_to_NET1
> Описывайте ACL более точно. Примерно так:
> ip access-list extended Office_to_Internet
> 10 deny ip 172.28.1.0 0.0.0.255 any
> 20 deny ip 172.28.2.0 0.0.0.255 any
> 30 permit ip 172.28.0.0 0.0.255.255 any
> И с остальными ACL в вашем случае аналогично. Все что не должно
> проходить через ACL для NAT - запрещайте явно.В общем, да. Посоветовавшись ещё со старшими товарищами, понял, что иначе никак. Буду специфицировать ACLи. Спасибо.
> Да дело не в том, что он не делает NAT или CPU
> грузит. Он его прекрасно делает, только заворачивает не туда, не в
> то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот
> про логику и спрашиваю.Как скажете.
Я стараюсь избегать решений список ограничений которых в экран не помещается.
> PBR на 7600 делается аппаратно тоже не весь.его там и нет :)
>> PBR на 7600 делается аппаратно тоже не весь.
> его там и нет :)В железке есть, в конфиге может не быть :)