URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19315
[ Назад ]
Исходное сообщение
"не пингуется интерфейс cisco"
Отправлено Vladimir , 22-Июл-09 15:35 
Здравствуйте!
Существует cisco 2851, одним интерфейсом смотрит в локальную сеть другой в инет, поднят nat.
Проблема заключается в том, что внешний интерфейс cisco перестается пинговаться, через некоторое время (около суток), из вне и сама циска перестает пинговать свой интерфейс и свой gatewat (91.41.150.217) вот что показывае
show ip nat translations icmp (при пинге цисковского интерфейса с самой циске)
icmp 91.41.150.218:41     100.50.58.105:41     91.41.150.218:41     91.41.150.218:41

100.50.58.105 откуда этот ип не понятно, на циске его нет.

Конфиг циски

interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 91.41.150.218 255.255.255.248
ip nat outside
ip virtual-reassembly
no snmp trap link-status

ip route 0.0.0.0 0.0.0.0 91.41.150.217

ip nat inside source list nat interface GigabitEthernet0/0.100 overload

ip access-list extended nat
deny   ip host 91.41.150.218 any
permit ip any any

С локальной сети интерфейс(91.41.150.218) и инет доступен.
В чем проблема ?
Заранее спасибо!

Содержание
Сообщения в этом обсуждении
"не пингуется интерфейс cisco"
Отправлено shadow_alone , 22-Июл-09 15:47 
а зачем вам вот это:

ip access-list extended nat
deny   ip host 91.41.150.218 any
permit ip any any

конкретно вот это - deny   ip host 91.41.150.218 any

"не пингуется интерфейс cisco"
Отправлено Vladimir , 23-Июл-09 06:00 

>конкретно вот это - deny   ip host 91.41.150.218 any

Для того что бы на циску можно было зайти с внешней сети(internet).

"не пингуется интерфейс cisco"
Отправлено GolDi , 23-Июл-09 09:22 
>
>>конкретно вот это - deny   ip host 91.41.150.218 any
>
>Для того что бы на циску можно было зайти с внешней сети(internet).
>

Бред какой-то, для того чтобы закрыть доступ на cisco защищать надо
line vti
а так вы сами себе создали проблему и спрашиваете почему так.

"не пингуется интерфейс cisco"
Отправлено shadow_alone , 23-Июл-09 10:48 
>
>>конкретно вот это - deny   ip host 91.41.150.218 any
>
>Для того что бы на циску можно было зайти с внешней сети(internet).
>

действительно БРЕД.

"не пингуется интерфейс cisco"
Отправлено Vladimir , 11-Сен-09 07:32 
Здравствуйте! Спасибо всем за ответы. Убрал данную строчку (deny   ip host 91.41.150.218 any), сделал clear ip nat translation *, все заработало. Но счастье длилось не долго, на следующее утро ситуация повторилась, интерфейс cisco  не пингуется, инет работает, кто подскажет в чем проблема?  
"не пингуется интерфейс cisco"
Отправлено GolDi , 11-Сен-09 12:06 
>Здравствуйте! Спасибо всем за ответы. Убрал данную строчку (deny   ip
>host 91.41.150.218 any), сделал clear ip nat translation *, все заработало.
>Но счастье длилось не долго, на следующее утро ситуация повторилась, интерфейс
>cisco  не пингуется, инет работает, кто подскажет в чем проблема?
>

Конфиг и версия IOS?

"не пингуется интерфейс cisco"
Отправлено Vladimir , 11-Сен-09 14:19 
IOS- c2800nm-advsecurityk9-mz.124-3i.bin

interface GigabitEthernet0/0
no ip address
duplex auto
speed auto

interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 91.41.150.218 255.255.255.248
ip nat outside
ip virtual-reassembly
no snmp trap link-status

interface GigabitEthernet0/1
ip address 192.168.25.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto

ip route 0.0.0.0 0.0.0.0 91.41.150.217

ip nat inside source list nat interface GigabitEthernet0/0.100 overload

ip access-list extended nat
permit ip any any

"не пингуется интерфейс cisco"
Отправлено vikiking13 , 12-Сен-09 00:07 
>[оверквотинг удален]
> ip virtual-reassembly
> duplex auto
> speed auto
>
>ip route 0.0.0.0 0.0.0.0 91.41.150.217
>
>ip nat inside source list nat interface GigabitEthernet0/0.100 overload
>
>ip access-list extended nat
>permit ip any any

укажи заместо:>ip route 0.0.0.0 0.0.0.0 91.41.150.217
ip route 0.0.0.0 0.0.0.0 91.41.150.218, а еще лучше
ip route 0.0.0.0 0.0.0.0 interface GigabitEthernet0/0.100 и главное ты не поверишь у меня было  как-то как раз из-за этого :)))

"не пингуется интерфейс cisco"
Отправлено Vladimir , 15-Сен-09 06:05 
Поробовал применить данные настройки, шлюз пингуется 91.41.150.217, все что за шлюзом нет.

"не пингуется интерфейс cisco"
Отправлено oleg_matroskin , 15-Сен-09 07:39 
>Поробовал применить данные настройки, шлюз пингуется 91.41.150.217, все что за шлюзом нет.
>

ip access-list extended nat
permit ip any any

вы аксес лист напишите нормально! пропишите из какой сети и куда осуществлять нат а не пермит эни в эни!

"не пингуется интерфейс cisco"
Отправлено .snake , 17-Сен-09 08:01 
ip access-list standart NAT
permit ip 192.168.25.0 0.0.0.255

"не пингуется интерфейс cisco"
Отправлено Vladimir , 21-Сен-09 11:05 
Применил данные настройки, все работает уже неделю!
ip access-list extended nat
permit ip 192.168.25.0 0.0.255.255 any
deny   ip any any
Всем Спасибо!
"не пингуется интерфейс cisco"
Отправлено oleg_matroskin , 21-Сен-09 11:09 
>Применил данные настройки, все работает уже неделю!
>ip access-list extended nat
> permit ip 192.168.25.0 0.0.255.255 any
> deny   ip any any
>Всем Спасибо!

deny   ip any any
можно было и не писать! оно по умолчанию!

"не пингуется интерфейс cisco"
Отправлено oleg_matroskin , 21-Сен-09 11:10 
>Применил данные настройки, все работает уже неделю!
>ip access-list extended nat
> permit ip 192.168.25.0 0.0.255.255 any
> deny   ip any any
>Всем Спасибо!

deny   ip any any
можно было и не писать! оно по умолчанию!