URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9589
[ Назад ]

Исходное сообщение
"Не работает NAT на HWIC-4ESV"
Отправлено Sergjack , 16-Янв-06 14:00

Имеем циску 2821
В ней плата HWIC-4ESV
Сконфигурирован интерфейс interface vlan1
Vlan1 разрешен на всех 4-х портах платы.
На внутреннем интерфейсе ip nat inside
На внешнем интерфейсе ip nat outside
в конфиге:
ip nat inside source list term interface vlan1 overload
Так вот, нат не работает. Записи в таблице нат появляются, а траффик не идет.
Сам интерфейс доступен снаружи, с него и на него сессии открываются нормально.
Никаких ACL пока не прописано.
Почему может не работать?

Содержание

Не работает NAT на HWIC-4ESV,sh_, 15:30 , 16-Янв-06
- Показываю:,Sergjack, 15:39 , 16-Янв-06
  - Показываю:,sh_, 15:59 , 16-Янв-06
    - По-моему так не совсем верно,Sergjack, 16:11 , 16-Янв-06
      - По-моему так не совсем верно,sh_, 17:11 , 16-Янв-06
      - По-моему так не совсем верно,mavrusha, 14:14 , 17-Янв-06
        
        У меня только default,Sergjack, 14:24 , 17-Янв-06
  - Показываю:,Keks, 18:35 , 01-Фев-06
    - Показываю:,Sergjack, 09:13 , 02-Фев-06
      - Показываю:,sh_, 09:31 , 02-Фев-06
        
        Показываю:,Sergjack, 09:42 , 02-Фев-06
        
        Показываю:,sh_, 09:53 , 02-Фев-06
        
        Показываю:,Sergjack, 10:00 , 02-Фев-06
        
        Показываю:,sh_, 10:44 , 02-Фев-06

Сообщения в этом обсуждении

"Не работает NAT на HWIC-4ESV"
Отправлено sh_ , 16-Янв-06 15:30

Конфиг покажи...

"Показываю:"
Отправлено Sergjack , 16-Янв-06 15:39

>Конфиг покажи...
Current configuration : 11238 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
no logging buffered
!
clock timezone led 3
clock summer-time led_summer recurring last Sun Mar 0:00 last Sun Oct 0:00
!
!
ip subnet-zero
!
!
ip cef
!
!
ip ips po max-events 100

interface GigabitEthernet0/0
ip address 172.16.13.1 255.255.255.0 secondary
ip address 192.168.13.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address xx.xx.xx.171 255.255.255.240 secondary
ip address xx.xx.xx.170 255.255.255.240
ip access-group LED-IP-EXTEND in
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
ip address xx.xx.20.251 255.255.255.248
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.119.169
ip route 0.0.0.0 0.0.0.0 xx.xx.20.249 60
ip nat inside source list 101 interface GigabitEthernet0/1 overload
ip nat inside source list 102 interface Vlan1 overload
!
!
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.13.0 0.0.0.255 any
access-list 101 permit ip 192.168.12.0 0.0.0.255 any
access-list 101 permit ip 172.16.11.0 0.0.0.255 any
access-list 102 permit ip 192.168.13.0 0.0.0.255 any
access-list 102 permit ip 192.168.12.0 0.0.0.255 any
access-list 102 permit ip 172.16.11.0 0.0.0.255 any

!
!
!
!
!
!
!
!
!
line con 0
speed 115200
line vty 0 4
exec-timeout 0 0
privilege level 15
password master
transport input ssh
transport output ssh
line vty 5 15
privilege level 15
transport input telnet
!
end
Примерно так.
Единственно, что я опускаю интерфейс gi0/1, тогда подставляется нужный DG.

"Показываю:"
Отправлено sh_ , 16-Янв-06 15:59

no ip nat inside source list 101 interface GigabitEthernet0/1 overload
no ip nat inside source list 102 interface Vlan1 overload
route-map fuck1
match int gi0/1
route-map fuck2
match int vl1
ip nat ins so ro fuck1 int gi0/1 ov
ip nat ins so ro fuck2 int vl1 ov

"По-моему так не совсем верно"
Отправлено Sergjack , 16-Янв-06 16:11

Каким образом пакеты, поступившие с интерфейса Gi0/0, смотрящего во внутреннюю сеть смогут удовлетворить терму match gi0/1 (внешний 1) или vlan1 (Внешний 2)?
В общем так не работает
>no ip nat inside source list 101 interface GigabitEthernet0/1 overload
>no ip nat inside source list 102 interface Vlan1 overload
>
>route-map fuck1
>match int gi0/1
>route-map fuck2
>match int vl1
>ip nat ins so ro fuck1 int gi0/1 ov
>ip nat ins so ro fuck2 int vl1 ov

"По-моему так не совсем верно"
Отправлено sh_ , 16-Янв-06 17:11

>Каким образом пакеты, поступившие с интерфейса Gi0/0, смотрящего во внутреннюю сеть смогут удовлетворить терму match gi0/1 (внешний 1) или vlan1 (Внешний 2)?
После того, как пророутятся...

"По-моему так не совсем верно"
Отправлено mavrusha , 17-Янв-06 14:14

>Каким образом пакеты, поступившие с интерфейса Gi0/0, смотрящего во внутреннюю сеть смогут
>удовлетворить терму match gi0/1 (внешний 1) или vlan1 (Внешний 2)?
>В общем так не работает
>
>>no ip nat inside source list 101 interface GigabitEthernet0/1 overload
>>no ip nat inside source list 102 interface Vlan1 overload
>>
>>route-map fuck1
>>match int gi0/1
>>route-map fuck2
>>match int vl1
>>ip nat ins so ro fuck1 int gi0/1 ov
>>ip nat ins so ro fuck2 int vl1 ov
А на портах HWIC влан разрешён?
Router(config-if)#interface FastEthernet 0/1/0
Router(config-if)#switchport access vlan 100

"У меня только default"
Отправлено Sergjack , 17-Янв-06 14:24

У меня только vlan1, которая по умолчанию
Она разрешена на всех портах.
Или я что-то не понял?

"Показываю:"
Отправлено Keks , 01-Фев-06 18:35

>interface Vlan1
> ip address xx.xx.20.251 255.255.255.248
> ip nat outside
> ip virtual-reassembly
> ip route-cache flow
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 xx.xx.119.169
>ip route 0.0.0.0 0.0.0.0 xx.xx.20.249 60
>
>ip nat inside source list 101 interface GigabitEthernet0/1 overload
>ip nat inside source list 102 interface Vlan1 overload
>!
>!
>access-list 101 remark SDM_ACL Category=2
>access-list 101 permit ip 192.168.13.0 0.0.0.255 any
>access-list 101 permit ip 192.168.12.0 0.0.0.255 any
>access-list 101 permit ip 172.16.11.0 0.0.0.255 any
>access-list 102 permit ip 192.168.13.0 0.0.0.255 any
>access-list 102 permit ip 192.168.12.0 0.0.0.255 any
>access-list 102 permit ip 172.16.11.0 0.0.0.255 any
###############
###############
ip route 0.0.0.0 0.0.0.0 xx.xx.119.169
ip route 0.0.0.0 0.0.0.0 xx.xx.20.249 60
не будет работать
для первого маршрута остается по умолчанию,
для второго пиши ip policy на входящем интерфейсе
ip policy route-map ROUTE-MAP
!
!
route-map ROUTE-MAP permit 10
match ip address 102
set ip default next-hop xx.xx.20.249

"Показываю:"
Отправлено Sergjack , 02-Фев-06 09:13

Штука в том, что нат на интерфейсе vlan1 вообще не работает.
Трансляции по sh ip nat tra - появляются, а траффик не идет!

"Показываю:"
Отправлено sh_ , 02-Фев-06 09:31

Блин. Ну сколько можно. Тебе же говорят, убери первый роут. У тебя на этот интерфейс маршрута нет. Или PBR настрой. Если не слушаете, что Вам говорят, зачем тогда вопросы задавать?

"Показываю:"
Отправлено Sergjack , 02-Фев-06 09:42

Извиняюсь, что не пояснил, но я естественно пробовал делать таким нат, полностью симметричным образом.
Т.е. делал один DG, опускал gi0/1
и вело себя именно так, как я говорю. т.е. трансляции есть, а траффика нет.
>Блин. Ну сколько можно. Тебе же говорят, убери первый роут. У тебя
>на этот интерфейс маршрута нет. Или PBR настрой. Если не слушаете,
>что Вам говорят, зачем тогда вопросы задавать?

"Показываю:"
Отправлено sh_ , 02-Фев-06 09:53

Ну тогда приведи новый получившийся конфиг. (Естественно с опущенным интерфейсом.)

"Показываю:"
Отправлено Sergjack , 02-Фев-06 10:00

вот так:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
!
no logging buffered
!
clock timezone led 3
clock summer-time led_summer recurring last Sun Mar 0:00 last Sun Oct 0:00
!
!
ip subnet-zero
!
!
ip cef
!
!
ip ips po max-events 100

interface GigabitEthernet0/0
ip address 172.16.13.1 255.255.255.0 secondary
ip address 192.168.13.1 255.255.255.0
shutdown
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address xx.xx.xx.171 255.255.255.240 secondary
ip address xx.xx.xx.170 255.255.255.240
ip access-group LED-IP-EXTEND in
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
ip address xx.xx.20.251 255.255.255.248
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.20.249

ip nat inside source list 102 interface Vlan1 overload
!
!
access-list 101 remark SDM_ACL Category=2
access-list 101 permit ip 192.168.13.0 0.0.0.255 any
access-list 101 permit ip 192.168.12.0 0.0.0.255 any
access-list 101 permit ip 172.16.11.0 0.0.0.255 any
access-list 102 permit ip 192.168.13.0 0.0.0.255 any
access-list 102 permit ip 192.168.12.0 0.0.0.255 any
access-list 102 permit ip 172.16.11.0 0.0.0.255 any

!
!
!
!
!
!
!
!
!
line con 0
speed 115200
line vty 0 4
exec-timeout 0 0
privilege level 15
password master
transport input ssh
transport output ssh
line vty 5 15
privilege level 15
transport input telnet
!
end

"Показываю:"
Отправлено sh_ , 02-Фев-06 10:44

В данном конфиге ничего не должно работать. У тебя GigabitEthernet0/0 (на который и приходят пакеты для NAT'а) в shutdown. Сделай ему no sh и у тебя из сетки 192.168.13.0/24 пакеты будут натиться на int vl1.