The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

[Cisco] NAT и выход пакетов с разных интерфейсов (cisco nat interface acl)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: cisco, nat, interface, acl,  (найти похожие документы)
Date: Wed, 31 Mar 2004 17:56:32 +0600 From: Yury Lyakh <[email protected]> Newsgroups: ftn.ru.cisco Subject: [Cisco] NAT и выход пакетов с разных интерфейсов YL>> Проблема в том что на этом внешнем интерфейсе есть еще NAT: ip nat outside YL>> ip nat pool translated_inet2 213.234.204.67 213.234.204.67 netmask 255.255.255.0 YL>> ip nat inside source list translated_inet2 pool translated_inet2 overload YL>> ip access-list standard translated_inet2 YL>> permit 10.0.0.225 YL>> deny any log YL>> Вот и спрашивается, как совместить на внешнем интерфейсе и HАТ и YL>> полиси. Что применяется первее? AVY> Полиси нужно вешать на внутренний интерфейс, тот к которому клиенты AVY> подключены. Все заработало: вот куски конфига для потомков: (айпи адреса взяты с потолка) Основной канал interface FastEthernet0/0 description Kombelga(office, leased line) ip address 62.141.89.50 255.255.255.252 ip nat outside Второй канал для, сюда заворачиваем хост с проксей. interface FastEthernet0/1 description Corbina(office, radio) ip address 213.234.204.67 255.255.255.0 ip nat outside Внутренняя сеть interface Ethernet1/0 ip address 10.4.0.1 255.255.255.0 ip nat inside ip policy route-map prov2-out Описали заворачивание ACL на второй канал. route-map prov2-out permit 10 match ip address go-prov2 set ip default next-hop 213.234.204.128 Собственно сам ACL. ip access-list extended go-prov2 permit ip host 10.4.0.225 any deny ip any any Все, теперь 10.4.0.225 уходит на второй канал, на выходном интерфейсе проходит через NAT и уходит по радио наружу.
From: "Anton V. Yuzhaninov" <[email protected]> YL> Вот и спрашивается, как совместить на внешнем интерфейсе и HАТ и YL> полиси. Что применяется первее? Полиси нужно вешать на внутренний интерфейс, тот к которому клиенты подключены. Сам PBR+NAT одновременно не использовал, но насколько я понимаю все происходит в таком порядке: Пакет приходит. Если на интерфейсе, на который он пришле есть ip policy то routing decision происходит в соответвии с этой полиси. А когда он уже попадет на интерфейс, с которого должен выйти происходи трансляция адреса HАТ-ом. Hапример так: Fa0/1 - первый провайдер, шлюз по умолчанию 172.16.254.1 Fa0/2 - воторой провайдер, шлюз по умолчанию 213.234.204.1 Fa0/3 - клиенты с приватными адресами - 10.0.0.0/8 ip nat pool translated_inet2 213.234.204.67 213.234.204.67 netmask 255.255.255.0 ip nat inside source list translated_inet2 pool translated_inet2 overload ip access-list standard translated_inet2 permit 10.0.0.225 deny any log interface FastEthernet0/1 ip address 172.16.254.2 255.255.255.0 ip nat outside interface FastEthernet0/2 ip address 213.234.204.67 255.255.255.0 ip nat outside interface FastEthernet0/3 ip address 10.0.0.1 255.0.0.0 ip nat inside ip policy route-map prov2-out ip route 0.0.0.0 0.0.0.0 172.16.254.1 ip access-list extended go-prov2 permit ip host 10.0.0.225 any deny ip any any route-map prov2-out permit 10 match ip address go-prov2 set default next-hop 213.234.204.1 А permit 10.0.0.225 это только для примера напсано? Просто если через второй канал будет ходить только один хост, то проще сделать статическую трансляцию, а не динамическую с overload Советю еще посмотреть http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800c60da.html#xtocid37534

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру