https://opennet.ru/openforum/vsluhforumID6/1295.html Доброго времени суток!<br>На Cisco3825 было настроено 3 ISP + NAT и работало. Пришла пора добавить AS. BGP-соседство с 2 провайдерами настроено и работает. Не удаётся только настроить NAT для выхода пользователей LAN в Интернет.<br>Сам вопрос: как правильно настроить NAT для клиентов в связке BGP + NAT?<br>Исходные: есть 5 интерфейсов: gi0/1.1 - LAN, gi0/0.60 - ISP1(BGP), gi0/0.55 - ISP2(BGP), gi0/0.77 - ISP3, gi0/1.25 - AS.<br><br>Просьба рассказать как это делать правильно. Технические статьи пока не помогают.<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#24 Sat, 03 May 2014 08:26:01 GMT Если кому-то интересно, подобный вопрос был задан и в другой теме, там ответы есть - <br>http://www.opennet.ru/openforum/vsluhforumID6/1295.html<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#23 Tue, 15 Apr 2014 09:39:31 GMT &gt;&gt;&gt; Спасибо за науку. Буду пробовать.<br>&gt;&gt; Сам все время учусь.<br>&gt; Спасибо тебе огромное - у меня всё получилось.<br>&gt; Дело было всего лишь в том, что на одном из интерфейсов к <br>&gt; провайдеру забыл указать ip nat outside.<br>&gt; Дай бог тебе здоровья и помощи всяческой!) <br><br>Наздоровье<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#22 Tue, 15 Apr 2014 01:21:36 GMT &gt;&gt; Спасибо за науку. Буду пробовать.<br>&gt; Сам все время учусь.<br><br>Спасибо тебе огромное - у меня всё получилось.<br>Дело было всего лишь в том, что на одном из интерфейсов к провайдеру забыл указать ip nat outside.<br><br>Дай бог тебе здоровья и помощи всяческой!)<br><br><br> https://opennet.ru/openforum/vsluhforumID6/1295.html#21 Mon, 14 Apr 2014 12:49:37 GMT &gt; На gi0/0.20 ip nat outside нету потому что это линк чужой, дружественной <br>&gt; AS. Там не нужно.<br><br>Там реальные IP или нет? Из локалки туда нужен доступ или нет?<br><br>&gt; На gi0/0.60 - забыл сразу сделать, потом замылилось.<br>&gt; На gi0/0.55 - 2 соседа - провайдер так хочет. По одному даёт <br>&gt; fullview, по другому только свои сети.<br>&gt; Или это глупость?<br><br>А что, в FullView свои сети у него не входят? Бред какой-то, ей богу.<br><br>&gt; Я совсем не понимал какие адреса нужно писать в ip nat pool <br>&gt; ......<br><br>Свои конечно же.<br>Допустим дали тебе сеть 1.2.3.0/24.<br>Выделяешь адресок под НАТ для простых пользователей, адресок для привелегированых, разным серверам - свой отдельный каждому.<br>Так проще фаерволить, проще отслеживать кто куда зачем пошел в инет, и т.д.<br><br>Где надо аксес лист натить, там используешь пул. Где один в один, то просто адрес указываешь. Главное чтобы они не были ни на каком интерфейсе назначены.<br><br><br>&gt; Спасибо за науку. Буду пробовать.<br><br>Сам все время учусь.<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#20 Mon, 14 Apr 2014 12:42:31 GMT На gi0/0.20 ip nat outside нету потому что это линк чужой, дружественной AS. Там не нужно.<br>На gi0/0.60 - забыл сразу сделать, потом замылилось.<br>На gi0/0.55 - 2 соседа - провайдер так хочет. По одному даёт fullview, по другому только свои сети.<br>Или это глупость?<br>Я совсем не понимал какие адреса нужно писать в ip nat pool ......<br><br>Спасибо за науку. Буду пробовать.<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#19 Mon, 14 Apr 2014 08:44:55 GMT &gt; Вот мой конфиг, с "косметическими правками".<br>&gt; У меня 3 прова, ISP1 и ISP2 - соседи по BGP, третий <br>&gt; пока "висит".<br>&gt; IP адреса моей AS 1.3.4...<br>&gt; interface GigabitEthernet0/0.20 <br>&gt; description Link_for_AS_1.2.3.0/22 <br>&gt; ip address 1.2.3.162 255.255.255.252 <br>&gt; !<br><br>где ip nat outside ?<br><br>&gt;[оверквотинг удален]<br>&gt; ip address 1.3.4.1 255.255.255.0 <br>&gt; ip access-group port22dis in <br>&gt; ip nat outside <br>&gt; !<br>&gt; interface GigabitEthernet0/0.55 <br>&gt; description ISP1 <br>&gt; ip address 1.4.5.146 255.255.255.252 secondary <br>&gt; ip address 1.5.6.162 255.255.255.252 <br>&gt; ip nat outside <br>&gt; !<br><br>Зачем два адреса на линке и два соседа BGP из одной автономки??<br><br>&gt; interface GigabitEthernet0/0.60 <br>&gt; description ISP2 <br>&gt; ip address 1.6.7.70 255.255.255.252 <br>&gt; ip access-group port22dis in <br>&gt; no cdp enable <br>&gt; !<br><br>где ip nat outside ?<br><br><br>&gt;[оверквотинг удален]<br>&gt; neighbor 1.2.3.161 prefix-list BGP_ADVERT out <br>&gt; neighbor 1.6.7.69 activate <br>&gt; neighbor 1.6.7.69 next-hop-self <br>&gt; neighbor 1.6.7.69 soft https://opennet.ru/openforum/vsluhforumID6/1295.html#18 Mon, 14 Apr 2014 08:27:48 GMT Вот мой конфиг, с "косметическими правками".<br>У меня 3 прова, ISP1 и ISP2 - соседи по BGP, третий пока "висит".<br>IP адреса моей AS 1.3.4...<br><br><br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>!<br>hostname main-gw<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging message-counter syslog<br>!<br>aaa new-model<br>!<br>!<br>aaa group server radius MEDTEK<br> server-private 10.11.12.11 auth-port 1812 acct-port 1813 key 7 122D242533292D360B7A767B<br>!<br>aaa authentication login default local<br>aaa authentication ppp default group MEDTEK<br>aaa authorization exec default local <br>aaa authorization network pptp group MEDTEK <br>!<br>!<br>aaa session-id common<br>clock timezone NOVST 7<br>clock calendar-valid<br>!<br>dot11 syslog<br>ip source-route<br>ip cef<br>!<br>!<br>!<br>!<br>ip domain name xxxxx.ru<br>ip name-server 8.8.8.8<br>ip name-server 8.8.4.4<br>login on-failure log<br>login on-success log<br>no ipv6 cef<br>!<br>multilink bundle-name authenticated<br>!<br>!<br>!<br>!<br>vpdn enab https://opennet.ru/openforum/vsluhforumID6/1295.html#17 Mon, 14 Apr 2014 03:06:03 GMT &gt; AS_IP_1 - первый адрес диапазона, он присвоен интерфейсу для DMZ.<br><br>Звучит как минимум странно. Адрес из пула не должен быть никуда присвоен. Он как бы "в воздухе".<br><br>Давай конфиг. Только реальные IP заменяй на что нибудь типа 1.2.3.4, а то непонятно где реал, а где корп.<br> https://opennet.ru/openforum/vsluhforumID6/1295.html#16 Sat, 12 Apr 2014 06:06:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt; б) PI, который анонсишь всем провайдерам <br>&gt;&gt; в) что-то другое <br>&gt;&gt; В пуле ip nat pool можно указать один адрес. prefix-length должен быть <br>&gt;&gt; не меньше чем 30, это просто косметическое, если поставишь меньше, он <br>&gt;&gt; работать не будет, это багофича иоса.<br>&gt; Самое главное, в ip nat inside у тебя не должно быть интерфейсов, <br>&gt; только пулы или адреса из твоего провайдеро-независимого диапазона.<br>&gt; т.е. если надо натить клиентские сети - через ip nat inside source <br>&gt; list ... pool ..<br>&gt; если надо натить сервер, то ip nat inside source static ...<br><br>Попробовал, не заработало у меня.<br>Добавил:<br>ip nat pool NATPOOL AS_IP_1 AS_IP_1 prefix-length 24<br>ip nat inside source list LAN_TO_INET pool NATPOOL overload<br>В acl LAN_TO_INET прописан permit ip для моей сети any<br>AS_IP_1 - первый адрес диапазона, он присвоен интерфейсу для DMZ.<br><br>sh ip nat tr<br>показывает трансляции, но трафик не идёт... :(<br><br>ShiLion, светлая голова, можешь идеей помочь, чего моей киске ещё не хватает?<br>