URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 739
[ Назад ]

Исходное сообщение
"2 сети на 1 интерфейсе cisco"

Отправлено User7 , 08-Май-13 15:21 
День добрый!
По наследству досталась cisco 2911
Есть локальная сеть 192.168.0.ХХХ
Появилась необходимость некоторым машинам присвоить адреса из сети 192.168.115.х
Машины стоят рядом и должны друг друга видеть.

прописываем на CISCO secondary адрес:
interface GigabitEthernet0/0.1
description LAN
encapsulation dot1Q 1 native
ip address 192.168.115.8 255.255.255.0 secondary
ip address 192.168.0.8 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache same-interface
ip policy route-map Way

Получаем что машины из сети 0.ХХХ пингуют адрес 192.168.115.8
Машины из сети 115.ХХХ пингуют адрес 192.168.0.8
То есть интерфейс cisco. далее никак.
маршрут  из показывает что пакеты на сеть 115 из сети 0 не идут обратно в локалку, а уходят в "мир".  
вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0.9

сети 115 инет не нужен и пакеты на 0 сеть просто режутся.

есть запись:
route-map Way permit 3
match ip address NATT
set ip next-hop 212.22.32.1

в access-list NATT ничего не прописывал и не добавлял.

Куда смотреть?  Есть подозрение что нужен какой-то маршрут связывающий эти сети, но они и так на 1 интерфейсе.  может есть другое решение?


Содержание

Сообщения в этом обсуждении
"2 сети на 1 интерфейсе cisco"
Отправлено Mr. Mistoffelees , 08-Май-13 17:15 
Привет,

>  в access-list NATT ничего не прописывал и не добавлял.

Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть, чтобы пакеты не уходили "в мир" (т.е. что бы set next hop не срабатывал для них).

WWell,


"2 сети на 1 интерфейсе cisco"
Отправлено User7 , 12-Май-13 17:16 
> Привет,
>>  в access-list NATT ничего не прописывал и не добавлял.
> Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть,
> чтобы пакеты не уходили "в мир" (т.е. что бы set next
> hop не срабатывал для них).
> WWell,

день добрый!  
попробовал прописать deny на новую сеть.
Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не пошли.
Cisco их "рубит" и на этом все заканчивается


"2 сети на 1 интерфейсе cisco"
Отправлено Merridius , 12-Май-13 23:51 
>[оверквотинг удален]
>>>  в access-list NATT ничего не прописывал и не добавлял.
>> Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть,
>> чтобы пакеты не уходили "в мир" (т.е. что бы set next
>> hop не срабатывал для них).
>> WWell,
> день добрый!
> попробовал прописать deny на новую сеть.
> Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не
> пошли.
> Cisco их "рубит" и на этом все заканчивается

Вы АКЛ свой покажите как просили.
show ip access-lists NATT


"2 сети на 1 интерфейсе cisco"
Отправлено User7 , 13-Май-13 07:59 
> Вы АКЛ свой покажите как просили.
> show ip access-lists NATT

Были выходные. не было доступа на железку.  покажу без проблем:

gw1#sh ip access-lists NATT
Extended IP access list NATT
    10 deny ip host 192.168.0.118 172.16.0.0 0.0.255.255
    20 deny ip host 192.168.0.118 10.100.0.0 0.0.255.255
    30 deny ip host 192.168.0.245 10.100.0.0 0.0.255.255
    40 deny ip host 192.168.0.77 10.100.0.0 0.0.255.255
    50 permit ip host 192.168.0.245 any (22655 matches)
    60 permit ip host 192.168.0.77 any
    70 permit ip host 192.168.101.2 any (12828 matches)
    80 permit ip host 192.168.0.103 host 109.72.143.1 (7765 matches)


"2 сети на 1 интерфейсе cisco"
Отправлено Mr. Mistoffelees , 13-Май-13 16:26 
Привет,

Покажите еще NAT правило

ip nat inside source list...

и тот ACL, который в нем упомянут (после source list).

Интересно также зачем вам policy routing?

WWell,


"2 сети на 1 интерфейсе cisco"
Отправлено User7 , 13-Май-13 17:29 
> Привет,
> Покажите еще NAT правило
> ip nat inside source list...
> и тот ACL, который в нем упомянут (после source list).
> Интересно также зачем вам policy routing?
> WWell,

ip nat inside source list NATT interface GigabitEthernet0/0.5 overload

policy routing - сложилось исторически.  зачем он нужен точно сказать не могу.


"2 сети на 1 интерфейсе cisco"
Отправлено Mr. Mistoffelees , 13-Май-13 18:56 
Привет,

> ip nat inside source list NATT interface GigabitEthernet0/0.5 overload

У вас один и тот же ACL отвечает за три разные вещи:
- маршрутизацию через set next hop
- NAT
- запрет доступа к некоторым ресурсам.

Хотя такое и возможно (и у вас работает), не всегда целесообразно. Ваш нынешний казус хорошая тому иллюстрация. Замените этот один ACL на три отдельных (один - филтрюция трафика к 10.x.x.x, второй NAT, третий set next hop). Тогда вам будет легче разобраться.

В принципе, вам нужно прописать правило NAT-а в ACL NAT-а и правило запрета в ACL запрета. Сделать такое в одном ACL, даже если и возможно, то негигиенично.

> policy routing - сложилось исторически.  зачем он нужен точно сказать не
> могу.

А вот это не мешает выяснить - возможно, еще нужен возможно, нет. Нехорошо, когда сети живут своей жизнью без ведома администратора.

WWell,