Имеется свитч 3-го уровня (6500) с кучей вланов и гигабитных и 10-ти гигабитных портов, объединенных во vlan'ы. на нем же подняты влан-интерфейсы с ip адресами и аксес-листами:

interface vlan108
ip address 2.2.2.1 255.255.255.0

interface vlan109
ip address 2.2.3.1 255.255.255.0
и т.д

Один из интерфейсов смотрит в провайдера:

interface TenGigabitEthernet10/4
ip address 1.1.1.1 255.255.255.252

На этот свитч зароучено несколько реальных сетей статически, условно говоря это 2.2.2.0/24 и 2.2.3.0/24

Возникла необходимость на один из серверов(2.2.3.100) в 109м влане сделать проброс порта из 2.2.2.0 сети.

сконфигурировал это следующим образом:

interface vlan108
ip address 2.2.2.1 255.255.255.0
ip address 2.2.2.3 255.255.255.0 secondary
ip nat outside

interface vlan109
ip address 2.2.3.1 255.255.255.0
ip nat inside

ip nat inside source static tcp 2.2.3.100 80 2.2.2.3 80 extendable

вроде бы всё сделал правильно, но адреса почему-то не транслируются.
на все tcp пакеты с флагом SYN, приходящие извне на 2.2.2.3:80 циска отвечает RST и соединение сбрасывается. в show ip nat translation пустота. 2.2.2.3 и 2.2.2.1 при этом извне пингаются.

если же пытаться инициировать соединения с самой циски:
rp6000# telnet 2.2.2.3 80
то в sh ip nat translation появляется запись трансляции, пакет до сервера доходит, и сервер на него отвечает, но циска почему-то сразу же шлет RST после первого пришедшего с сервера пакета.

аксесс листы с этих вланов временно убрал.
где может быть затык?

у меня только одно подозрение, что может надо было NAT-адрес вешать на TenGigabitEthernet10/4 и определять его как ip nat outside, а не на какой-то один из вланов, куда пакет уже попал пройдя 10гигабитный интерфейс, но даже если и так, как мне организовать nat правильно между вланами, не трогая внешний интерфейс? возможно ли это?

делал всё по этой доке: http://www.cisco.com/en/US/products/hw/switches/ps708/produc...

• nat на cisco layer-3 switch,sh_, 11:11 , 18-Янв-10
  • nat на cisco layer-3 switch,onion, 13:28 , 18-Янв-10
• nat на cisco layer-3 switch,Ярослав Росомахо, 17:15 , 18-Янв-10
  • nat на cisco layer-3 switch,onion, 00:25 , 20-Янв-10
    • nat на cisco layer-3 switch,sh_, 10:57 , 20-Янв-10

no ip http server

>no ip http server

это было сделано с самого начала.

>Имеется свитч 3-го уровня (6500)

Есть простой ответ (который боюсь вас не устроит)...

Не делайте NAT на 6500. Поставьте для этой задачи отдельное устройство (FWSM, ASA, ASR1000, etc.)

На 6500 NAT отличается особой глючностью и непредсказуемостью работы...

>>Имеется свитч 3-го уровня (6500)
>
>Есть простой ответ (который боюсь вас не устроит)...
>
>Не делайте NAT на 6500. Поставьте для этой задачи отдельное устройство (FWSM,
>ASA, ASR1000, etc.)
>
>На 6500 NAT отличается особой глючностью и непредсказуемостью работы...

понятно, спасибо за совет, но пока (хотя бы пока временно приходиться решать это на базе того что есть), к тому же там хардварный нат, why собственно not? :)

и вопрос еще есть:

когда добавляешь правило статик ната:

ip nat inside source static tcp 2.2.2.2 3125 1.1.1.1 3125
то всё нормально добавляется.

далее если это правило убрать:
no ip nat inside source static tcp 2.2.2.2 3125 1.1.1.1 3125

а пото снова добавить, то вываливается ошибка:
%Port 3125 is being used by system min3125

как будто гдето сокет завис.
clear ip nat trans * не помогает
да и вообще никаких живых трансляций sh ip nat trans не показывает.

команды clear xlate нету.

как снять зависший tcp сокет на 6500? или что это вообще?

А вы не пробовали ИОЗ обновлять?