Подскажите пожалуйста, Уважаемые!
Может кто сталкивался с такой проблеммой?! На cisco 2811 сделн nat, с использованием route-map (планируется отказоустойчивость с помощью SLA). Все работает, для тех кому разрешен доступ, но за внешним интерефейсом видны пакеты источником которых является внутренняя сеть!!!! Конечно можно прикрыть с помощью ACL, но интересна причина.
!
interface GigabitEthernet0/0.12
description ISP_1
encapsulation dot1Q 12
ip address xxx.xxx.xxx.218 255.255.255.252
ip nat outside
ip virtual-reassembly
!!
interface GigabitEthernet0/1.21
description LAN_192_168_35
encapsulation dot1Q 21
ip address 192.168.35.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.217!
ip nat inside source route-map Test-NAT interface GigabitEthernet0/0.12 overload
!
ip access-list extended NAT_FOR_ALL_PERMIT
<определенные правила>
deny ip any any!
route-map Test-NAT permit 10
match ip address NAT_FOR_ALL_PERMIT
match interface GigabitEthernet0/0.12
!
Ну видимо это пакеты, которые не попадають под NAT?
>Ну видимо это пакеты, которые не попадають под NAT?Именно, но разве они имеют право на жизнь за перделами ip nat outside интерфейса?
>>Ну видимо это пакеты, которые не попадають под NAT?
>
>Именно, но разве они имеют право на жизнь за перделами ip nat
>outside интерфейса?Конечно имеют. А почему нет?
>>>Ну видимо это пакеты, которые не попадають под NAT?
>>
>>Именно, но разве они имеют право на жизнь за перделами ip nat
>>outside интерфейса?
>>Конечно имеют. А почему нет?Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но не подпадающий под действие правил трансляции (в ACL последняя строчка deny ip any any)попросту маршрутизируется??? Я правильно Вас понял?
>[оверквотинг удален]
>>>
>>>Именно, но разве они имеют право на жизнь за перделами ip nat
>>>outside интерфейса?
>>>Конечно имеют. А почему нет?
>
>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
>
>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
>ip any any)попросту маршрутизируется??? Я правильно Вас понял?Угу...
>[оверквотинг удален]
>>>>outside интерфейса?
>>>>Конечно имеют. А почему нет?
>>
>>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
>>
>>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
>>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
>>ip any any)попросту маршрутизируется??? Я правильно Вас понял?
>
>Угу...Большое спасибо за разъяснение!
>[оверквотинг удален]
>>>
>>>Именно, но разве они имеют право на жизнь за перделами ip nat
>>>outside интерфейса?
>>>Конечно имеют. А почему нет?
>
>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
>
>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
>ip any any)попросту маршрутизируется??? Я правильно Вас понял?Интересно что за пакеты улетают за outside после deny ip any any - пакеты канального уровня?
>[оверквотинг удален]
>>>>Конечно имеют. А почему нет?
>>
>>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
>>
>>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
>>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
>>ip any any)попросту маршрутизируется??? Я правильно Вас понял?
>
>Интересно что за пакеты улетают за outside после deny ip any any
>- пакеты канального уровня?Просто фильтры на исходящие пакеты не стоят, а нат ставится обычно на дефолтовый рутер
вот и летят пакеты из локальных адресов к провайдеру