Добрый день,Проапгрейдил 2811 до IOS IOS C2800NM-ADVIPSERVICESK9-M, Version 15.1(3)T, и захотел максимально упростить конфигурацию. В результате не работает NAT (динамический и статический). Такая же конфигурация корректно работает на Cisco 2600...
подскажите, в чем могут быть проблемы?
Заранее спасибо,
Игорь===
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
!
hostname test.contoso.com
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5 <removed>
!
aaa new-model
!
aaa authentication login default group radius local
aaa authentication login AUTH-Group-Pass-Any none
!
aaa session-id common
!
clock timezone EET 1 0
clock summer-time EEST recurring
!
crypto pki token default removal timeout 0
!
dot11 syslog
ip source-route
!
ip cef
!
ip domain list contoso.com
ip name-server 10.0.1.1
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
username root privilege 15 password <removed>
!
redundancy
no crypto engine software ipsec
!
interface FastEthernet0/0
description Primary Ethernet interface
no ip address
ip flow ingress
duplex full
speed 100
no routing dynamic
hold-queue 300 in
hold-queue 200 out
!
interface FastEthernet0/0.1
description Corporate LAN
encapsulation dot1Q 1 native
ip address 10.0.1.11 255.255.224.0 secondary
ip address 10.0.1.10 255.255.224.0
ip flow ingress
ip nat inside
!
interface FastEthernet0/1
description FE0/1 -- external traffic
no ip address
ip flow ingress
duplex full
speed 100
no routing dynamic
hold-queue 300 in
hold-queue 200 out
!
interface FastEthernet0/1.2
description EXT_DMZ_2 (GW is .129)
encapsulation dot1Q 34
ip address aaa.bbb.ccc.132 255.255.255.192
ip access-group ACL-DMZ-Inbound-Filter in
ip access-group ACL-DMZ-Outbound-Filter out
ip flow ingress
ip nat outside
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat translation timeout 3600
ip nat pool POOL-DNAT aaa.bbb.ccc.133 aaa.bbb.ccc.133 netmask 255.255.255.192
ip nat inside source list ACL-DNAT-Access pool POOL-DNAT overload
ip nat inside source static tcp 10.0.1.2 443 aaa.bbb.ccc.134 443 extendable
ip nat inside source static tcp 10.0.1.2 465 aaa.bbb.ccc.134 465 extendable
ip nat inside source static tcp 10.0.1.2 993 aaa.bbb.ccc.134 993 extendable
ip nat inside source static tcp 10.0.1.2 25 aaa.bbb.ccc.134 25 extendable
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.129
!ip access-list extended ACL-DMZ-Inbound-Filter
permit ip any aaa.bbb.ccc.128 0.0.0.63
ip access-list extended ACL-DMZ-Outbound-Filter
permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
permit ip aaa.bbb.ccc.128 0.0.0.63 anyip access-list extended ACL-DNAT-Access
remark .
remark . DNAT Access List
deny ip 10.0.0.0 0.0.31.255 aaa.bbb.ccc.128 0.0.0.63
deny ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
remark .
permit ip 10.0.0.0 0.0.31.255 anylogging esm config
logging facility daemon
logging source-interface FastEthernet0/0.1access-list 10 remark ================
access-list 10 remark . Console Access
access-list 10 permit <removed>access-list 100 permit tcp any any eq smtp
!
snmp-server engineID local 00000009020000070E865360
snmp-server group default v2c
snmp-server community <removed> RW 10
snmp-server community <removed> RO 10
snmp-server ifindex persist
snmp-server system-shutdown
snmp-server enable traps tty
!
radius-server host <removed> auth-port 1645 acct-port 1646 key <removed>
radius-server host <removed> auth-port 1645 acct-port 1646 key <removed>
radius-server timeout 20
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
mgcp profile default
!
dial-peer cor custom
!
gateway
timer receive-rtp 1200
!
line con 0
exec-timeout 0 0
login authentication AUTH-Group-Pass-Any
line aux 0
line vty 0 4
session-timeout 30
access-class 10 in
exec-timeout 0 0
transport input ssh
line vty 5 15
session-timeout 30
access-class 10 in
exec-timeout 0 0
transport input ssh
!
scheduler allocate 20000 1000
ntp server 138.96.64.10
ntp server 193.49.205.17
ntp server 81.25.192.148
ntp server 94.23.21.155
ntp server 91.121.120.27
ntp server 192.5.41.41
ntp server 192.5.41.209
ntp server 88.191.79.242
end
>ip access-list extended ACL-DNAT-Access
>remark .
>remark . DNAT Access List
>deny ip 10.0.0.0 0.0.31.255 aaa.bbb.ccc.128 0.0.0.63
>deny ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
>deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
>remark .
>permit ip 10.0.0.0 0.0.31.255 anyСтранный какой-то АЦЛ, Вам не кажется?
Трансляции создаются?
>>ip access-list extended ACL-DNAT-Access
>>remark .
>>remark . DNAT Access List
>>deny ip 10.0.0.0 0.0.31.255 aaa.bbb.ccc.128 0.0.0.63
>>deny ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
>>deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
>>remark .
>>permit ip 10.0.0.0 0.0.31.255 any
> Странный какой-то АЦЛ, Вам не кажется?
> Трансляции создаются?Не кажется.
1) запрещается доступ из внутренней сети ко внешнему блоку IP адресов -- эта сеть напрямую подключена к роутеру и НАТить ее не надо;
2) запрещается НАТ для трафика между сайтами -- сеть 10.0.0.0/16;
3) запрещается НАТ для трафика на приватные блоки адресов (здесь 192.168.0.0)
4) разрешается оставшийся трафик от 10.0.0.0/19 на все адреса -- его и надо НАТить;Судя по "sh ip nat trans", трансляции создаются, и правильные.
>[оверквотинг удален]
>> Странный какой-то АЦЛ, Вам не кажется?
>> Трансляции создаются?
> Не кажется.
> 1) запрещается доступ из внутренней сети ко внешнему блоку IP адресов --
> эта сеть напрямую подключена к роутеру и НАТить ее не надо;
> 2) запрещается НАТ для трафика между сайтами -- сеть 10.0.0.0/16;
> 3) запрещается НАТ для трафика на приватные блоки адресов (здесь 192.168.0.0)
> 4) разрешается оставшийся трафик от 10.0.0.0/19 на все адреса -- его и
> надо НАТить;
> Судя по "sh ip nat trans", трансляции создаются, и правильные.1) Попробуйте убрать с выходного интерфейса вообще все АЦЛ.
2) Возможно я что-то путаю, но по-моему
>>>ip access-list extended ACL-DNAT-Access
>>>permit ip 10.0.0.0 0.0.31.255 anyДелает тоже самое
3) Опять же, вот эта строка тоже не понятна:
> ip nat pool POOL-DNAT aaa.bbb.ccc.133 aaa.bbb.ccc.133 netmask 255.255.255.192У Вас пул из одного адреса?
>[оверквотинг удален]
>>> Трансляции создаются?
>> Не кажется.
>> 1) запрещается доступ из внутренней сети ко внешнему блоку IP адресов --
>> эта сеть напрямую подключена к роутеру и НАТить ее не надо;
>> 2) запрещается НАТ для трафика между сайтами -- сеть 10.0.0.0/16;
>> 3) запрещается НАТ для трафика на приватные блоки адресов (здесь 192.168.0.0)
>> 4) разрешается оставшийся трафик от 10.0.0.0/19 на все адреса -- его и
>> надо НАТить;
>> Судя по "sh ip nat trans", трансляции создаются, и правильные.
> 1) Попробуйте убрать с выходного интерфейса вообще все АЦЛ.Пробовал, проблемы не решило, но я был ограничен во времени на проверку. Попробую еще раз и отпишусь о результатах. Мысль о том, что выходящий трафик где-то режется, уже приходила в голову.
> 2) Возможно я что-то путаю, но по-моему
>>>>ip access-list extended ACL-DNAT-Access
>>>>permit ip 10.0.0.0 0.0.31.255 any
> Делает тоже самоеНе совсем. В моем случае надо блокировать трафик с 10.0.0.0/19 на другие сети из 10.0.0.0/16 -- они используются на других сайтах, и трафик между ними должен ходить без НАТа. трафик из 192.168.0.0 пожалуй лишний -- его действительно можно выкинуть.
Впрочем, для тестовой конфигурации я могу попробовать и этот вариант.
> 3) Опять же, вот эта строка тоже не понятна:
>> ip nat pool POOL-DNAT aaa.bbb.ccc.133 aaa.bbb.ccc.133 netmask 255.255.255.192
> У Вас пул из одного адреса?Да, пул из одного адреса. В свое время с адресами было небогато... а что, у этого варианта есть какие-то ограничения? чем пул из N адресов лучше пула из одного адреса (для небольшой сети)?