День добрый!
По наследству досталась cisco 2911
Есть локальная сеть 192.168.0.ХХХ
Появилась необходимость некоторым машинам присвоить адреса из сети 192.168.115.х
Машины стоят рядом и должны друг друга видеть.прописываем на CISCO secondary адрес:
interface GigabitEthernet0/0.1
description LAN
encapsulation dot1Q 1 native
ip address 192.168.115.8 255.255.255.0 secondary
ip address 192.168.0.8 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache same-interface
ip policy route-map WayПолучаем что машины из сети 0.ХХХ пингуют адрес 192.168.115.8
Машины из сети 115.ХХХ пингуют адрес 192.168.0.8
То есть интерфейс cisco. далее никак.
маршрут из показывает что пакеты на сеть 115 из сети 0 не идут обратно в локалку, а уходят в "мир".
вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0.9сети 115 инет не нужен и пакеты на 0 сеть просто режутся.
есть запись:
route-map Way permit 3
match ip address NATT
set ip next-hop 212.22.32.1в access-list NATT ничего не прописывал и не добавлял.
Куда смотреть? Есть подозрение что нужен какой-то маршрут связывающий эти сети, но они и так на 1 интерфейсе. может есть другое решение?
Привет,> в access-list NATT ничего не прописывал и не добавлял.
Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть, чтобы пакеты не уходили "в мир" (т.е. что бы set next hop не срабатывал для них).
WWell,
> Привет,
>> в access-list NATT ничего не прописывал и не добавлял.
> Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть,
> чтобы пакеты не уходили "в мир" (т.е. что бы set next
> hop не срабатывал для них).
> WWell,день добрый!
попробовал прописать deny на новую сеть.
Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не пошли.
Cisco их "рубит" и на этом все заканчивается
>[оверквотинг удален]
>>> в access-list NATT ничего не прописывал и не добавлял.
>> Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть,
>> чтобы пакеты не уходили "в мир" (т.е. что бы set next
>> hop не срабатывал для них).
>> WWell,
> день добрый!
> попробовал прописать deny на новую сеть.
> Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не
> пошли.
> Cisco их "рубит" и на этом все заканчиваетсяВы АКЛ свой покажите как просили.
show ip access-lists NATT
> Вы АКЛ свой покажите как просили.
> show ip access-lists NATTБыли выходные. не было доступа на железку. покажу без проблем:
gw1#sh ip access-lists NATT
Extended IP access list NATT
10 deny ip host 192.168.0.118 172.16.0.0 0.0.255.255
20 deny ip host 192.168.0.118 10.100.0.0 0.0.255.255
30 deny ip host 192.168.0.245 10.100.0.0 0.0.255.255
40 deny ip host 192.168.0.77 10.100.0.0 0.0.255.255
50 permit ip host 192.168.0.245 any (22655 matches)
60 permit ip host 192.168.0.77 any
70 permit ip host 192.168.101.2 any (12828 matches)
80 permit ip host 192.168.0.103 host 109.72.143.1 (7765 matches)
Привет,Покажите еще NAT правило
ip nat inside source list...
и тот ACL, который в нем упомянут (после source list).
Интересно также зачем вам policy routing?
WWell,
> Привет,
> Покажите еще NAT правило
> ip nat inside source list...
> и тот ACL, который в нем упомянут (после source list).
> Интересно также зачем вам policy routing?
> WWell,ip nat inside source list NATT interface GigabitEthernet0/0.5 overload
policy routing - сложилось исторически. зачем он нужен точно сказать не могу.
Привет,> ip nat inside source list NATT interface GigabitEthernet0/0.5 overload
У вас один и тот же ACL отвечает за три разные вещи:
- маршрутизацию через set next hop
- NAT
- запрет доступа к некоторым ресурсам.Хотя такое и возможно (и у вас работает), не всегда целесообразно. Ваш нынешний казус хорошая тому иллюстрация. Замените этот один ACL на три отдельных (один - филтрюция трафика к 10.x.x.x, второй NAT, третий set next hop). Тогда вам будет легче разобраться.
В принципе, вам нужно прописать правило NAT-а в ACL NAT-а и правило запрета в ACL запрета. Сделать такое в одном ACL, даже если и возможно, то негигиенично.
> policy routing - сложилось исторически. зачем он нужен точно сказать не
> могу.А вот это не мешает выяснить - возможно, еще нужен возможно, нет. Нехорошо, когда сети живут своей жизнью без ведома администратора.
WWell,