привет Всем !!!
удачного всем дня, работы, отдыха ! И между всеми этими славными делами
хочу задать вопрос по динамическому NAT на интерфейсе :)
1. есть Cisco 2821 flash:c2800nm-adventerprisek9_ivs-mz.124-19.bin
2. поставил в неё модуль Product (FRU) Number : HWIC-4ESW
который обозначился в системе, и обозначил порты
FastEthernet0/3/0
FastEthernet0/3/1
FastEthernet0/3/2
FastEthernet0/3/3
3. циска настроена, работает.
4. Дополнительно на интрефейс FastEthernet0/3/0 прикрутил ip адрес.
5. удаленная сторона настояла, чтобы у нас был настроен динамический нат, т.к. там поднимается туннель и щимится туда с одного адреса не можно, посему и нужен был нат.
6. Вот конфигурация циски
------------------------------------------------------------------------------------------crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key 6 office1 address 111.111.111.111 на это внимание не обращать
crypto isakmp key 6 office2 address 222.222.222.222 это по другому поводу :)
!
crypto ipsec transform-set all esp-des esp-md5-hmac
mode transport
!
crypto map 113 113 ipsec-isakmp
set peer 222.222.222.222
set transform-set all
match address 113
!
crypto map vpn 111 ipsec-isakmp
set peer 111.111.111.111
set transform-set all
match address 112
!
interface Tunnel0 на это внимание не обращать
description Tunnel to 1 это по другому поводу :)
ip address 10.231.0.2 255.255.255.252
ip mtu 1400
tunnel source GigabitEthernet0/0
tunnel destination 111.111.111.111
tunnel sequence-datagrams
tunnel path-mtu-discovery
crypto map vpn
!
interface Tunnel1 на это внимание не обращать
description Tunnel to 2 это по другому поводу :)
ip address 10.237.0.1 255.255.255.252
ip mtu 1400
tunnel source GigabitEthernet0/0
tunnel destination 222.222.222.222
tunnel sequence-datagrams
tunnel path-mtu-discovery
crypto map 113
!
interface GigabitEthernet0/0 это внешний
ip address 333.333.333.333 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 172.16.1.1 255.255.255.0 secondary
ip address 10.0.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/3/0 вот собственно здесь начал настройку New Connect
description NEW CONNECT
switchport access vlan 10
!
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
!
interface FastEthernet0/3/3
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10 сделал vlan10 с адресом
description Link to NEW CONNECT
ip address 172.26.98.2 255.255.255.240
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ip route 10.1.0.0 255.255.0.0 10.0.0.3 это роуты к сетям моих тачек,
ip route 10.2.0.0 255.255.0.0 10.0.0.3 расположенные в разных филиалах
ip route 10.3.0.0 255.255.0.0 10.0.0.3
ip route 10.5.0.0 255.255.0.0 10.0.0.3
ip route 10.7.0.0 255.255.0.0 10.0.0.3
!
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat translation timeout 180!это пул адресов, выдалнный конторой NEW CONNECT
ip nat pool cbr 172.26.98.3 172.26.98.14 netmask 255.255.255.240ip nat inside source list 112 interface GigabitEthernet0/0 overload
ip nat inside source list 115 interface GigabitEthernet0/0 overload
ip nat inside source list 121 pool cbr
!вот здесь возникает вопрос как его выдать и выпихнуть на interface FastEthernet0/3/0access-list 121 permit ip host 10.7.0.10 172.26.0.0 0.0.255.255 создал акцесс лист тачек
access-list 121 permit ip host 10.31.0.6 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.7.0.21 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.2.0.21 172.26.0.0 0.0.255.255
access-list 121 permit ip host 172.16.2.160 172.26.0.0 0.0.255.255
access-list 121 permit ip host 172.16.2.146 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.3.0.57 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.2.0.58 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.3.0.58 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.5.0.70 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.1.0.142 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.1.0.174 172.26.0.0 0.0.255.255
access-list 121 permit ip host 172.16.2.92 172.26.0.0 0.0.255.255
access-list 121 permit ip host 10.5.0.77 172.26.0.0 0.0.255.255
------------------------------------------------------------------------------------------
Итого:
1. в этой конфигурации тачки из акцесс листа с CISCO из сеток вижу.
2. с CISCO я вижу прикрученный к interface FastEthernet0/3/0 адрес 172.26.98.2 и адрес 172.26.98.1 конторы NEW CONNECT
3. со своей тачки вижу 172.26.98.2, а 172.26.98.1 нет , отсюда подозрение, что нат не работает
4.ну и собственно вопрос:
Как для интерфеса FastEthernet0/3/0 можно настроить динамический нат, раздать адреса из пула тачкам из филиалов и вытолкнуть эти тачки через FastEthernet0/3/0 если конечно это возможно.
5. просьба ногами тоже сильно не бить.
Спасибо.
а чего я такого страшного спросил-то ?!
чего все попрятались.
Никто не юзает модуль HWIC-4ESW с Vlan+Dynamic NAT ?
>а чего я такого страшного спросил-то ?!
>чего все попрятались.
>Никто не юзает модуль HWIC-4ESW с Vlan+Dynamic NAT ?ip nat outside на Vlan10 - прописать надо как минимум
>>а чего я такого страшного спросил-то ?!
>>чего все попрятались.
>>Никто не юзает модуль HWIC-4ESW с Vlan+Dynamic NAT ?
>
>ip nat outside на Vlan10 - прописать надо как минимумЗдравствуйте, ogiss
спасибо, Вам за Ваш ответ!!!вчера почитал форумы и с утра прописал
interface Vlan10
description Link to NEW CONNECT
ip address 172.26.98.2 255.255.255.240
ip nat outside
ip virtual-reassembly
endна данном модуле HWIC-4ESW динамический NAT возможен ?
вот такая конфигурация вообще возможна ?
Dynamic Pool
/-----172.26.98.3---------\
модуль HWIC-4ESW ----------------172.26.98.4---------
/------172.26.98.5---------\ 172.26.98.1
но так и не увидел я со своей тачки заветный адрес конторы
всё по прежнему, с циски вижу, а вот со своей - нет.
Беда - огорчение :(