URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22630
[ Назад ]
Исходное сообщение
"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 16-Май-11 18:24 
Имею 7204vxr. Из железяки делаю NAS для абонентов PPPoE: VLAN219, кучка пользователей, aaa работает нормально. Если абоненту атрибутом присваивается реальный адрес, то вопросов не возникает. Но если назначается серый, например, из сети 10.99.1.0/24 то пингуются все адреса в VLAN184 (интерфейс fa0/0.184), но выше пакеты не уходят (не происходит маршрутизации по правилу ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.14).
Маршрутизация статических адресов из class-c (блок 256 реальных адресов) сети происходит нормально, через адрес на fa0/0.184 и далее уходит по выше обозначеному правилу.

Подскажите, где в конфиге допущена ошибка?

7204_XXXXX_NAS#sh run
Building configuration...

Current configuration : 6063 bytes
!
! Last configuration change at 07:59:56 YSD Sun May 15 2011 by aerounit
! NVRAM config last updated at 22:14:04 YSD Wed May 11 2011 by aerounit
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname 7204_XXXXX_NAS
!
boot-start-marker
boot system flash disk0:c7200-is-mz.123-26.bin
boot-end-marker
!
enable secret 5 $1$K7hB$OIQLs1RSPdv37Tbu9WA/p.
!
clock timezone XXXXX 9
clock summer-time YSD recurring last Sun Mar 2:00 last Sun Oct 2:00
clock calendar-valid
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius xxxxxxx
server XXX.XXX.XXX.XXX auth-port XXXXX acct-port XXXXX
!
aaa authentication username-prompt Login:
aaa authentication login default local
aaa authentication ppp xxxxxxx group xxxxxxx
aaa authorization network xxxxxxx group xxxxxxx
aaa accounting delay-start
aaa accounting update periodic 5
aaa accounting network xxxxxxx start-stop group xxxxxxx
aaa nas port extended
aaa pod server port XXXX auth-type any server-key xxxxxxxxxxxxx
aaa session-id common
ip subnet-zero
!
!
no ip cef
ip name-server xxxxxxxxxxxx
ip name-server xxxxxxxxxxxx
ip name-server xxxxxxxxxxxx
!
virtual-profile virtual-template 2
vpdn enable
!
vpdn-template 1
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
username xxxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxx
username xxxxxxxxxxxx password 7 xxxxxxxxxxxx
!
!
!
class-map match-any Best-Effort
  match protocol http
  match protocol secure-http
  match protocol pptp
  match protocol telnet
  match protocol ssh
  match protocol pop3
  match protocol smtp
  match protocol imap
  match protocol dns
  match protocol ntp
class-map match-any Real-Time
  match protocol rtp
!
!
policy-map QoS
  class Real-Time
   priority percent 25
   set ip precedence 5
  class Best-Effort
   bandwidth percent 40
   set ip precedence 1
  class class-default
   fair-queue
!
!
!
bba-group pppoe global
virtual-template 2
ac name XXXXX_nas1
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
no ip mroute-cache
duplex auto
speed auto
max-reserved-bandwidth 90
service-policy output QoS
!
interface FastEthernet0/0.184
description *** class-c ***
encapsulation dot1Q 184
ip address XXX.XXX.xxx.1 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.201
description *** management ***
encapsulation dot1Q 201
ip address 192.168.254.200 255.255.255.0
!
interface FastEthernet0/0.210
description *** PPPoE access ***
encapsulation dot1Q 210
ip address 192.168.4.1 255.255.255.0
!
!
interface FastEthernet0/0.219
description *** test ***
encapsulation dot1Q 219
ip address 172.16.1.1 255.255.255.0
pppoe enable group global
no cdp enable
!
interface FastEthernet0/0.300
description *** PPPoE access ***
encapsulation dot1Q 300
shutdown
pppoe enable
!
interface FastEthernet0/0.470
description *** TTK-XXXXX ***
encapsulation dot1Q 470
ip address XXX.XXX.XXX.14 255.255.255.252
no ip mroute-cache
!
interface FastEthernet0/1
description ttk Public Inet internal
no ip address
ip route-cache policy
ip route-cache flow
duplex full
speed 100
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0.201
peer default ip address pool mgmnt
no keepalive
!
interface Virtual-Template2
ip unnumbered Loopback0
ip nat inside
no peer default ip address
ppp authentication chap callin xxxxxxx
ppp authorization xxxxxxx
ppp accounting xxxxxxx
ppp ipcp dns XXX.XXX.XXX.6 XXX.XXX.XXX.2
max-reserved-bandwidth 90
!
ip local pool mgmnt 192.168.254.250 192.168.254.254
ip nat inside source list NAT interface FastEthernet0/0.184 overload
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.14
no ip http server
!
!
!
ip access-list extended NAT
permit ip 10.99.0.0 0.0.255.255 any
ip radius source-interface FastEthernet0/0.184
!
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format ietf
radius-server configure-nas
radius-server host XXX.XXX.XXX.XXX auth-port XXXXX acct-port XXXXX non-standard key 7 XXXXxxxxxxXXXXXx
radius-server timeout 30
radius-server vsa send accounting
radius-server vsa send authentication
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
password 7 XXXXxxxxxxXXXXXx
login authentication CONSOLE
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 20 0
!
ntp clock-period 17179953
ntp master
ntp server 93.185.187.89
ntp server 195.200.216.144 prefer
ntp server 212.192.253.178
ntp server 84.52.68.212
!
end

7204_XXXXX_NAS#

Содержание
Сообщения в этом обсуждении
"NAS: проблема с маршрутизацией или NAT."
Отправлено Merridius , 16-Май-11 21:26 
покажите sh ip route когда ктонибудь подключен по пппое
и что говорит sh ip nat statistic тоже покажите

"NAS: проблема с маршрутизацией или NAT."
Отправлено Merridius , 16-Май-11 21:29 
> покажите sh ip route когда ктонибудь подключен по пппое
> и что говорит sh ip nat statistic тоже покажите

да и попробуйте ip nat inside на loopback0 выставить

"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 17-Май-11 03:28 
>> покажите sh ip route когда ктонибудь подключен по пппое
>> и что говорит sh ip nat statistic тоже покажите
> да и попробуйте ip nat inside на loopback0 выставить

#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
  FastEthernet0/0.184
Inside interfaces:
  Virtual-Template2, Virtual-Access16
Hits: 7051  Misses: 2102
Expired translations: 2100
Dynamic mappings:
-- Inside Source
[Id: 4] access-list NAT interface FastEthernet0/0.184 refcount 1

#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is YYY.YYY.YYY.13 to network 0.0.0.0

     XXX.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
S       XXX.XXX.XXX.248/29 [1/0] via XXX.XXX.XXX.2
C       XXX.XXX.XXX.0/28 is directly connected, FastEthernet0/0.184
C      XXX.XXX.XXX.28/30 is directly connected, FastEthernet0/0.218
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.1.0 is directly connected, FastEthernet0/0.219
     YYY.YYY.0.0/30 is subnetted, 1 subnets
C       YYY.YYY.YYY.12 is directly connected, FastEthernet0/0.470
C    192.168.4.0/24 is directly connected, FastEthernet0/0.210
     10.0.0.0/32 is subnetted, 2 subnets
C       10.0.0.1 is directly connected, Loopback0
C       10.75.1.12 is directly connected, Virtual-Access16
C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
(YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)

ip nat inside вешал loopback0, но эффекта не произоло (да и не должно).

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 17-Май-11 09:15 
>[оверквотинг удален]
> C       YYY.YYY.YYY.12 is directly connected, FastEthernet0/0.470
> C    192.168.4.0/24 is directly connected, FastEthernet0/0.210
>      10.0.0.0/32 is subnetted, 2 subnets
> C       10.0.0.1 is directly connected, Loopback0
> C       10.75.1.12 is directly connected, Virtual-Access16
> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
> ip nat inside вешал loopback0, но эффекта не произоло (да и не
> должно).

ip nat inside надо вешать на Vi!!!!! интерфейсах!
Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.


"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 17-Май-11 10:03 
>[оверквотинг удален]
>>      10.0.0.0/32 is subnetted, 2 subnets
>> C       10.0.0.1 is directly connected, Loopback0
>> C       10.75.1.12 is directly connected, Virtual-Access16
>> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
>> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
>> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
>> ip nat inside вешал loopback0, но эффекта не произоло (да и не
>> должно).
> ip nat inside надо вешать на Vi!!!!! интерфейсах!
> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.

Перечитайте тред с ноля по строчно.

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 17-Май-11 11:26 
>[оверквотинг удален]
>>>      10.0.0.0/32 is subnetted, 2 subnets
>>> C       10.0.0.1 is directly connected, Loopback0
>>> C       10.75.1.12 is directly connected, Virtual-Access16
>>> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
>>> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
>>> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
>>> ip nat inside вешал loopback0, но эффекта не произоло (да и не
>>> должно).
>> ip nat inside надо вешать на Vi!!!!! интерфейсах!
>> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.

Это замечание насчет лупбека, в том плане что вешать ip nat inside на ем бесполезно :)

> Перечитайте тред с ноля по строчно.

Уже перечитал...


ip access-list extended NAT
permit ip 10.99.0.0 0.0.255.255 any


C       10.75.1.12 is directly connected, Virtual-Access16

IP, выданный на Virtual-Access16 не попадает в NAT...

"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 17-Май-11 11:55 
>[оверквотинг удален]
>>> ip nat inside надо вешать на Vi!!!!! интерфейсах!
>>> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.
> Это замечание насчет лупбека, в том плане что вешать ip nat inside
> на ем бесполезно :)
>> Перечитайте тред с ноля по строчно.
> Уже перечитал...
> ip access-list extended NAT
> permit ip 10.99.0.0 0.0.255.255 any
> C       10.75.1.12 is directly connected, Virtual-Access16
> IP, выданный на Virtual-Access16 не попадает в NAT...

ммм... фигово замаскировал. Все правильно, просто в конфе был 10.75.*.*, стал 10.99.*.*

Так что попадает

"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 18-Май-11 04:24 
> покажите sh ip route когда ктонибудь подключен по пппое
> и что говорит sh ip nat statistic тоже покажите

Больше никто не изъявит желание помочь?

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 18-Май-11 14:29 
>> покажите sh ip route когда ктонибудь подключен по пппое
>> и что говорит sh ip nat statistic тоже покажите
> Больше никто не изъявит желание помочь?

cef включить пробовали?
или
no ip cef - это тоже следы экранирования :)

"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 18-Май-11 19:55 
>>> покажите sh ip route когда ктонибудь подключен по пппое
>>> и что говорит sh ip nat statistic тоже покажите
>> Больше никто не изъявит желание помочь?
> cef включить пробовали?
> или
> no ip cef - это тоже следы экранирования :)

Увы это следы глупости и ранних попыток решить проблему собственными силами.
Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно не влияет.

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 19-Май-11 09:32 
>>>> покажите sh ip route когда ктонибудь подключен по пппое
>>>> и что говорит sh ip nat statistic тоже покажите
>>> Больше никто не изъявит желание помочь?
>> cef включить пробовали?
>> или
>> no ip cef - это тоже следы экранирования :)
> Увы это следы глупости и ранних попыток решить проблему собственными силами.
> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
> не влияет.

Ну есть определенные закономерности - mpls например без cef вообще не работает :)

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 19-Май-11 09:44 
>[оверквотинг удален]
>>>> Больше никто не изъявит желание помочь?
>>> cef включить пробовали?
>>> или
>>> no ip cef - это тоже следы экранирования :)
>> Увы это следы глупости и ранних попыток решить проблему собственными силами.
>> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>> не влияет.
> Ну есть определенные закономерности - mpls например без cef вообще не работает
> :)

deb ip nat
что говорит в процессе?
и
sh ip nat trans вы не показали.

попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.

"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 19-Май-11 11:29 
>[оверквотинг удален]
>>> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
>>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>>> не влияет.
>> Ну есть определенные закономерности - mpls например без cef вообще не работает
>> :)
> deb ip nat
> что говорит в процессе?
> и
> sh ip nat trans вы не показали.
> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.

молчок там и там

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 19-Май-11 11:37 
>[оверквотинг удален]
>>>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>>>> не влияет.
>>> Ну есть определенные закономерности - mpls например без cef вообще не работает
>>> :)
>> deb ip nat
>> что говорит в процессе?
>> и
>> sh ip nat trans вы не показали.
>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
> молчок там и там

В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего не попадает...

А у вас NAT без pppoe вообще работает?
ИОС может поменять?

"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 19-Май-11 15:36 
>[оверквотинг удален]
>>> deb ip nat
>>> что говорит в процессе?
>>> и
>>> sh ip nat trans вы не показали.
>>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
>> молчок там и там
> В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего
> не попадает...
> А у вас NAT без pppoe вообще работает?
> ИОС может поменять?

опытном выяснилось что с натом, что без него - все однохренно: наш блок PI-адресов /24 пингуется и без ната, адреса резолвятся.

"NAS: проблема с маршрутизацией или NAT."
Отправлено Аеро , 19-Май-11 15:36 
>[оверквотинг удален]
>>>> и
>>>> sh ip nat trans вы не показали.
>>>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
>>> молчок там и там
>> В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего
>> не попадает...
>> А у вас NAT без pppoe вообще работает?
>> ИОС может поменять?
> опытном выяснилось что с натом, что без него - все однохренно: наш
> блок PI-адресов /24 пингуется и без ната, адреса резолвятся.

Ночью буду перезагружать циску.

"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 20-Май-11 09:36 
Перевесил ip nat outside на fa0/0.470 и нат заработал.

Осталось настроить route-map и все будет хорошо. всем спасибо.

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 20-Май-11 09:48 
> Перевесил ip nat outside на fa0/0.470 и нат заработал.
> Осталось настроить route-map и все будет хорошо. всем спасибо.

Т.е. NAT висел не на том интерфейсе?

"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 21-Май-11 09:48 
>> Перевесил ip nat outside на fa0/0.470 и нат заработал.
>> Осталось настроить route-map и все будет хорошо. всем спасибо.
> Т.е. NAT висел не на том интерфейсе?

На том. На интерфейсе присоединенном к сети состоящей из блока реальных адресов ( По идее должна была быть маршрутизация запросов с fa0/0.184 в 0.0.0.0 0.0.0.0 через YYY.YYY.YYY.14, но этого не происходило (толи я дурак, то ли конфигурация не правильная).
Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес в сети ТТК и через которую сеть маршрутизируется мой блок адресов XXX.XXX.XXX.XXX/24  и стали бегать пакеты с серых адресов в мир и обратно.

Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают ходить, а пакеты с серых адресов перестают.

Видимо нужно уходить от static route к динамическому route-map. К сожалению получить AS и блоки адресов пока не можем =(

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 22-Май-11 09:54 
>[оверквотинг удален]
> Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес
> в сети ТТК и через которую сеть маршрутизируется мой блок адресов
> XXX.XXX.XXX.XXX/24  и стали бегать пакеты с серых адресов в мир
> и обратно.
> Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то
> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
> ходить, а пакеты с серых адресов перестают.
> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
> AS и блоки адресов пока не можем =(

Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один vrf, NAT и второй интерфейя в другой vrf или оставить в глобале, будет у вас 2 независимые таблицы маршрутизации.

"NAS: проблема с маршрутизацией или NAT."
Отправлено OEM_щука , 23-Май-11 07:17 
>[оверквотинг удален]
>> и обратно.
>> Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то
>> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
>> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
>> ходить, а пакеты с серых адресов перестают.
>> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
>> AS и блоки адресов пока не можем =(
> Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один
> vrf, NAT и второй интерфейя в другой vrf или оставить в
> глобале, будет у вас 2 независимые таблицы маршрутизации.

Помоему VRF будет не к месту, да и через чур. Думаю решение проблемы таится в route-map.

"NAS: проблема с маршрутизацией или NAT."
Отправлено fantom , 23-Май-11 09:00 
>[оверквотинг удален]
>>> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
>>> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
>>> ходить, а пакеты с серых адресов перестают.
>>> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
>>> AS и блоки адресов пока не можем =(
>> Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один
>> vrf, NAT и второй интерфейя в другой vrf или оставить в
>> глобале, будет у вас 2 независимые таблицы маршрутизации.
> Помоему VRF будет не к месту, да и через чур. Думаю решение
> проблемы таится в route-map.

Как правило есть более одного способа решения практически любой задачи.
роут-мап даст большую нагрузку на кошку, чем врф при том же обьеме трафика.
Кроме того при использовании врф sh ip rout будет показывать действительное положение вещей, а при роут-мап sh ip rout не соответствует фактическому направлению движения пакетов.
Хотя решение естественно за вами.