Ключевые слова:cisco, nat, interface, acl, (найти похожие документы)
Date: Wed, 31 Mar 2004 17:56:32 +0600
From: Yury Lyakh <[email protected]>
Newsgroups: ftn.ru.cisco
Subject: [Cisco] NAT и выход пакетов с разных интерфейсов
YL>> Проблема в том что на этом внешнем интерфейсе есть еще NAT: ip nat outside
YL>> ip nat pool translated_inet2 213.234.204.67 213.234.204.67 netmask 255.255.255.0
YL>> ip nat inside source list translated_inet2 pool translated_inet2 overload
YL>> ip access-list standard translated_inet2
YL>> permit 10.0.0.225
YL>> deny any log
YL>> Вот и спрашивается, как совместить на внешнем интерфейсе и HАТ и
YL>> полиси. Что применяется первее?
AVY> Полиси нужно вешать на внутренний интерфейс, тот к которому клиенты
AVY> подключены.
Все заработало:
вот куски конфига для потомков:
(айпи адреса взяты с потолка)
Основной канал
interface FastEthernet0/0
description Kombelga(office, leased line)
ip address 62.141.89.50 255.255.255.252
ip nat outside
Второй канал для, сюда заворачиваем хост с проксей.
interface FastEthernet0/1
description Corbina(office, radio)
ip address 213.234.204.67 255.255.255.0
ip nat outside
Внутренняя сеть
interface Ethernet1/0
ip address 10.4.0.1 255.255.255.0
ip nat inside
ip policy route-map prov2-out
Описали заворачивание ACL на второй канал.
route-map prov2-out permit 10
match ip address go-prov2
set ip default next-hop 213.234.204.128
Собственно сам ACL.
ip access-list extended go-prov2
permit ip host 10.4.0.225 any
deny ip any any
Все, теперь 10.4.0.225 уходит на второй канал, на выходном интерфейсе
проходит через NAT и уходит по радио наружу.
From: "Anton V. Yuzhaninov" <[email protected]>
YL> Вот и спрашивается, как совместить на внешнем интерфейсе и HАТ и
YL> полиси. Что применяется первее?
Полиси нужно вешать на внутренний интерфейс, тот к которому клиенты
подключены.
Сам PBR+NAT одновременно не использовал, но насколько я понимаю все
происходит в таком порядке:
Пакет приходит. Если на интерфейсе, на который он пришле есть ip policy то
routing decision происходит в соответвии с этой полиси.
А когда он уже попадет на интерфейс, с которого должен выйти происходи
трансляция адреса HАТ-ом.
Hапример так:
Fa0/1 - первый провайдер, шлюз по умолчанию 172.16.254.1
Fa0/2 - воторой провайдер, шлюз по умолчанию 213.234.204.1
Fa0/3 - клиенты с приватными адресами - 10.0.0.0/8
ip nat pool translated_inet2 213.234.204.67 213.234.204.67 netmask
255.255.255.0
ip nat inside source list translated_inet2 pool translated_inet2 overload
ip access-list standard translated_inet2
permit 10.0.0.225
deny any log
interface FastEthernet0/1
ip address 172.16.254.2 255.255.255.0
ip nat outside
interface FastEthernet0/2
ip address 213.234.204.67 255.255.255.0
ip nat outside
interface FastEthernet0/3
ip address 10.0.0.1 255.0.0.0
ip nat inside
ip policy route-map prov2-out
ip route 0.0.0.0 0.0.0.0 172.16.254.1
ip access-list extended go-prov2
permit ip host 10.0.0.225 any
deny ip any any
route-map prov2-out permit 10
match ip address go-prov2
set default next-hop 213.234.204.1
А permit 10.0.0.225 это только для примера напсано? Просто если через второй
канал будет ходить только один хост, то проще сделать статическую
трансляцию, а не динамическую с overload
Советю еще посмотреть
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800c60da.html#xtocid37534