URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 189
[ Назад ]

Исходное сообщение
"помогите разобраться с NAT!"

Отправлено Tolic , 09-Окт-12 18:01 
Возникла просьба помочь по ситуации приведенной в конфигурации ниже:
Просьба обратить внимание на трансляцию (NAT) хоста 192.168.22.50, которая в принципе не должна быть. Для решения данной проблемы переделывал ACL для NAT, а также менял иос. В самом низу видна версия иос-ов хранящихся на flash-е, которые я использовал, но безрезультатно.  Вообщем думаю это какой-то "баг" иос-ов.

interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.17.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto

interface Vlan100
description <<< WAN to Fil 1 and Fil 2>>>
ip address 192.168.14.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map exim

ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
ip nat inside source list NAT pool POOL
ip access-list extended NAT
deny   ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 <<Fil 1>>
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255  <<Fil 2>>

ip route 192.168.8.0 255.255.255.0 192.168.14.5
ip route 192.168.24.0 255.255.255.0 192.168.14.5

Router#sh ip nat tr | i 192.168.22.50
tcp 192.168.235.18:4072   192.168.22.50:4072   192.168.8.68:8225     192.168.8.68:8225
tcp 192.168.235.18:4081   192.168.22.50:4081   192.168.8.68:8225     192.168.8.68:8225
tcp 192.168.235.28:4085   192.168.22.27:4085   192.168.24.100:8213   192.168.24.100:8213

Router#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(24)T7, RELEASE SOFTWARE (fc2)

Card_Dep_N_Of#sh fla
-#- --length-- -----date/time------ path
1     34393424 Sep 06 2012 05:23:06 c1841-advsecurityk9-mz.124-24.T7.bin
2         2746 Apr 08 2008 23:24:52 sdmconfig-18xx.cfg
3       931840 Apr 08 2008 23:25:12 es.tar
4      1505280 Apr 08 2008 23:25:38 common.tar
5         1038 Apr 08 2008 23:26:00 home.shtml
6       112640 Apr 08 2008 23:26:20 home.tar
7       527849 Apr 08 2008 23:26:40 128MB.sdf
8          720 Feb 10 2009 07:44:10 vlan.dat
9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin


Содержание

Сообщения в этом обсуждении
"помогите разобраться с NAT!"
Отправлено Merridius , 09-Окт-12 21:16 
>[оверквотинг удален]
> 4      1505280 Apr 08 2008 23:25:38 common.tar
> 5         1038 Apr 08
> 2008 23:26:00 home.shtml
> 6       112640 Apr 08 2008 23:26:20
> home.tar
> 7       527849 Apr 08 2008 23:26:40
> 128MB.sdf
> 8          720 Feb
> 10 2009 07:44:10 vlan.dat
> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin

Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.


"помогите разобраться с NAT!"
Отправлено Tolic , 10-Окт-12 11:15 
>[оверквотинг удален]
>> 5         1038 Apr 08
>> 2008 23:26:00 home.shtml
>> 6       112640 Apr 08 2008 23:26:20
>> home.tar
>> 7       527849 Apr 08 2008 23:26:40
>> 128MB.sdf
>> 8          720 Feb
>> 10 2009 07:44:10 vlan.dat
>> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
> Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.

Я тоже думал сделать NAT через route-map, но у меня один и тот же шлюз и один и тот же интерфейс в 2 направления.
Т.е. раньше было по направлению 1 без NAT-a
По направлению 2 через NAT. Но периодически появлялись записи трансляций по направлению 1, то чего не должно быть. Затем я сделал, чтобы и по направлению 1 и 2 все работало через NAT, но появились сети, которые не нужно транслировать у же по направлению 2 и снова начали появляться записи трансляций.
Вообщем как сделать, чтобы все работало по двум направлениям и при этом ACL-ами указывать транслировать сеть или нет по двум направлениям и через один шлюз я не знаю.


"помогите разобраться с NAT!"
Отправлено GolDi , 10-Окт-12 11:27 
>[оверквотинг удален]
>> 5         1038 Apr 08
>> 2008 23:26:00 home.shtml
>> 6       112640 Apr 08 2008 23:26:20
>> home.tar
>> 7       527849 Apr 08 2008 23:26:40
>> 128MB.sdf
>> 8          720 Feb
>> 10 2009 07:44:10 vlan.dat
>> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
> Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.

Что-то pool у вас как-то криво задан
ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
                         ^^^           ^^^


"помогите разобраться с NAT!"
Отправлено McS555 , 10-Окт-12 11:19 
а лог что показывает??

"помогите разобраться с NAT!"
Отправлено McS555 , 10-Окт-12 11:24 
> а лог что показывает??

О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )

Пользуй  Vlan100 overload


"помогите разобраться с NAT!"
Отправлено McS555 , 10-Окт-12 11:25 
>> а лог что показывает??
> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
> Пользуй  Vlan100 overload

Ну и acl куда кому можно так и "рули"

ip nat inside source list NAT interface Vlan100 overload
ip access-list extended NAT
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255


"помогите разобраться с NAT!"
Отправлено Tolic , 10-Окт-12 16:20 
>>> а лог что показывает??
>> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
>> Пользуй  Vlan100 overload
> Ну и acl куда кому можно так и "рули"
> ip nat inside source list NAT interface Vlan100 overload
> ip access-list extended NAT
> permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255

Попробовал сделать через crypto-map-ы, но результат такой же:

ip nat pool POOL_Fil1 192.168.235.0 192.168.235.62 netmask 255.255.255.192
ip nat pool POOL_Fil2 192.168.235.65 192.168.235.126 netmask 255.255.255.192

ip nat inside source route-map Fil1 pool POOL_Fil1
ip nat inside source route-map Fil2 pool POOL_Fil2

ip access-list extended NATFil1
deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255

ip access-list extended NATFil2
permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255

route-map Fil1 permit 10
match ip address NATFil1
set ip next−hop 192.168.14.5

route-map Fil2 permit 10
match ip address NATFil2
set ip next−hop 192.168.14.5


"помогите разобраться с NAT!"
Отправлено Merridius , 10-Окт-12 17:03 
>[оверквотинг удален]
> deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
> permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
> ip access-list extended NATFil2
>  permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
> route-map Fil1 permit 10
> match ip address NATFil1
> set ip next−hop 192.168.14.5
> route-map Fil2 permit 10
> match ip address NATFil2
> set ip next−hop 192.168.14.5

В такой конфигурации вы используете Dynamic NAT, а вам наверное нужно PAT, для этого пишите команду overload в правиле ip nat inside.