Возникла просьба помочь по ситуации приведенной в конфигурации ниже:
Просьба обратить внимание на трансляцию (NAT) хоста 192.168.22.50, которая в принципе не должна быть. Для решения данной проблемы переделывал ACL для NAT, а также менял иос. В самом низу видна версия иос-ов хранящихся на flash-е, которые я использовал, но безрезультатно. Вообщем думаю это какой-то "баг" иос-ов.
interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.17.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed autointerface Vlan100
description <<< WAN to Fil 1 and Fil 2>>>
ip address 192.168.14.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map eximip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
ip nat inside source list NAT pool POOL
ip access-list extended NAT
deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 <<Fil 1>>
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255 <<Fil 2>>ip route 192.168.8.0 255.255.255.0 192.168.14.5
ip route 192.168.24.0 255.255.255.0 192.168.14.5Router#sh ip nat tr | i 192.168.22.50
tcp 192.168.235.18:4072 192.168.22.50:4072 192.168.8.68:8225 192.168.8.68:8225
tcp 192.168.235.18:4081 192.168.22.50:4081 192.168.8.68:8225 192.168.8.68:8225
tcp 192.168.235.28:4085 192.168.22.27:4085 192.168.24.100:8213 192.168.24.100:8213Router#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(24)T7, RELEASE SOFTWARE (fc2)Card_Dep_N_Of#sh fla
-#- --length-- -----date/time------ path
1 34393424 Sep 06 2012 05:23:06 c1841-advsecurityk9-mz.124-24.T7.bin
2 2746 Apr 08 2008 23:24:52 sdmconfig-18xx.cfg
3 931840 Apr 08 2008 23:25:12 es.tar
4 1505280 Apr 08 2008 23:25:38 common.tar
5 1038 Apr 08 2008 23:26:00 home.shtml
6 112640 Apr 08 2008 23:26:20 home.tar
7 527849 Apr 08 2008 23:26:40 128MB.sdf
8 720 Feb 10 2009 07:44:10 vlan.dat
9 21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
>[оверквотинг удален]
> 4 1505280 Apr 08 2008 23:25:38 common.tar
> 5 1038 Apr 08
> 2008 23:26:00 home.shtml
> 6 112640 Apr 08 2008 23:26:20
> home.tar
> 7 527849 Apr 08 2008 23:26:40
> 128MB.sdf
> 8 720 Feb
> 10 2009 07:44:10 vlan.dat
> 9 21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.binВстречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.
>[оверквотинг удален]
>> 5 1038 Apr 08
>> 2008 23:26:00 home.shtml
>> 6 112640 Apr 08 2008 23:26:20
>> home.tar
>> 7 527849 Apr 08 2008 23:26:40
>> 128MB.sdf
>> 8 720 Feb
>> 10 2009 07:44:10 vlan.dat
>> 9 21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
> Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.Я тоже думал сделать NAT через route-map, но у меня один и тот же шлюз и один и тот же интерфейс в 2 направления.
Т.е. раньше было по направлению 1 без NAT-a
По направлению 2 через NAT. Но периодически появлялись записи трансляций по направлению 1, то чего не должно быть. Затем я сделал, чтобы и по направлению 1 и 2 все работало через NAT, но появились сети, которые не нужно транслировать у же по направлению 2 и снова начали появляться записи трансляций.
Вообщем как сделать, чтобы все работало по двум направлениям и при этом ACL-ами указывать транслировать сеть или нет по двум направлениям и через один шлюз я не знаю.
>[оверквотинг удален]
>> 5 1038 Apr 08
>> 2008 23:26:00 home.shtml
>> 6 112640 Apr 08 2008 23:26:20
>> home.tar
>> 7 527849 Apr 08 2008 23:26:40
>> 128MB.sdf
>> 8 720 Feb
>> 10 2009 07:44:10 vlan.dat
>> 9 21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
> Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.Что-то pool у вас как-то криво задан
ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
^^^ ^^^
а лог что показывает??
> а лог что показывает??О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
Пользуй Vlan100 overload
>> а лог что показывает??
> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
> Пользуй Vlan100 overloadНу и acl куда кому можно так и "рули"
ip nat inside source list NAT interface Vlan100 overload
ip access-list extended NAT
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
>>> а лог что показывает??
>> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
>> Пользуй Vlan100 overload
> Ну и acl куда кому можно так и "рули"
> ip nat inside source list NAT interface Vlan100 overload
> ip access-list extended NAT
> permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255Попробовал сделать через crypto-map-ы, но результат такой же:
ip nat pool POOL_Fil1 192.168.235.0 192.168.235.62 netmask 255.255.255.192
ip nat pool POOL_Fil2 192.168.235.65 192.168.235.126 netmask 255.255.255.192ip nat inside source route-map Fil1 pool POOL_Fil1
ip nat inside source route-map Fil2 pool POOL_Fil2ip access-list extended NATFil1
deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
ip access-list extended NATFil2
permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
route-map Fil1 permit 10
match ip address NATFil1
set ip next−hop 192.168.14.5route-map Fil2 permit 10
match ip address NATFil2
set ip next−hop 192.168.14.5
>[оверквотинг удален]
> deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
> permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
> ip access-list extended NATFil2
> permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
> route-map Fil1 permit 10
> match ip address NATFil1
> set ip next−hop 192.168.14.5
> route-map Fil2 permit 10
> match ip address NATFil2
> set ip next−hop 192.168.14.5В такой конфигурации вы используете Dynamic NAT, а вам наверное нужно PAT, для этого пишите команду overload в правиле ip nat inside.