The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Избитая тема: NAT через 1 интерфейс Cisco 837"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от sergey_privacy email(ok) on 24-Июл-07, 17:26 
Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета, работающих как свич. В одну дырку e1 вставлен провод провайдера, е2 идет во внутреннюю сеть. Сеть провайдера скажем 81.1.1.0/30. На моем роутере стоит адрес 81.1.1.1, 81.1.1.2 на стороне провайдера. Внутренняя сеть скажем 10.0.0.0/30 (нужен реально только один адрес). На циске стоит адрес 10.0.0.1, на компе 10.0.0.2. Как включить нат, если учесть, что 4 езернета работают как свич и можно прописать адрес только на e0? Курение мануалов привело к варианту построения нача через лупбэк. Сейчас домутил до конфига, который почему то не пашет. С хоста пингую оба интерфейса циски, с нее пингую инетовские адреса. Зато с хоста не проходят пакеты в инет. Текущий конфиг ниже, где грабли?

interface Loopback0
description Internal LAN
ip address 10.0.1.1 255.255.255.252
ip nat inside
no ip route-cache
no ip mroute-cache
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.252 secondary
ip address 81.1.1.1 255.255.255.248
ip nat outside
no ip route-cache
ip policy route-map test
no ip mroute-cache
hold-queue 100 out
!
ip default-gateway 81.1.1.2
ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
ip nat inside source list 1 pool one overload
ip classless
ip route 0.0.0.0 0.0.0.0 81.1.1.2
ip http server
no ip http secure-server
!
!
access-list 1 permit 10.0.0.0 0.0.0.255
route-map test permit 10
match ip address 1
set interface Loopback0
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от teebot on 24-Июл-07, 17:49 
>[оверквотинг удален]
>!
>interface Ethernet0
> ip address 10.0.0.1 255.255.255.252 secondary
> ip address 81.1.1.1 255.255.255.248
> ip nat outside
> no ip route-cache
> ip policy route-map test
> no ip mroute-cache
> hold-queue 100 out
>!

я для чистоты эксперемента убрал бы ip address 10.0.0.1 255.255.255.252 secondary
и ip policy route-map test

>ip default-gateway 81.1.1.2
>ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248

так же для чистоты эксперемента убрал бы и ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
>ip nat inside source list 1 pool one overload

вместо этого написал бы ip nat inside source list 1 interface Ethernet0 overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 81.1.1.2
>ip http server
>no ip http secure-server
>!
>!
>access-list 1 permit 10.0.0.0 0.0.0.255

вместо access-list 1 permit 10.0.0.0 0.0.0.255 вписал бы access-list 1 permit 10.0.1.0 0.0.0.255
все что ниже вообще бы выкинул
>route-map test permit 10
> match ip address 1
> set interface Loopback0

ну и конечно же? обязательно debug ip nat
при такой конфигурации ми получим чистый НАТ без всяких излишиств.
если заработает начинаем усложнять по надобности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от teebot on 24-Июл-07, 17:57 
да, забыл
>Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета,
>работающих как свич. В одну дырку e1 вставлен провод провайдера, е2
>идет во внутреннюю сеть.

на е2 наверное нужно повесить ИП локалки
в зависимости от этого выставлять ИП на хосте
а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0

и еще
в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска 252

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от sergey_privacy email(ok) on 25-Июл-07, 12:04 
>на е2 наверное нужно повесить ИП локалки

Я бы с удовольствием, но физические порты fe1-fe4 работают как свич 2-го уровня и адрес на них не устанавливается.
Filial106(config)#int faste1
Filial106(config-if)#ip addr 10.2.2.2 255.255.255.0

% IP addresses may not be configured on L2 links.
Адрес "10.2.2.2" был взят просто для эксперимента.

Для выставления адресов есть один виртуальный интерфейс e0. Чтобы циска была видна со стороны модема и из локалки на одном интерфейсе и приходится ставить оба адреса. Т.к. на порту можно установить только "inside" или "outside", то приходится начинать изврат. Есть варианты ната через интерфейс vlan, через loopback или сабинтерфейсы. На попытку создания вилана пишет:
Filial106(config)#int vlan1
                       ^
% Invalid input detected at '^' marker.

Filial106(config)#int ?
  ATM                ATM interface
  Async              Async interface
  BVI                Bridge-Group Virtual Interface
  CDMA-Ix            CDMA Ix interface
  CTunnel            CTunnel interface
  Dialer             Dialer interface
  Ethernet           IEEE 802.3
  FastEthernet       FastEthernet IEEE 802.3
  Group-Async        Async Group interface
  Lex                Lex interface
  Loopback           Loopback interface
  MFR                Multilink Frame Relay bundle interface
  Multilink          Multilink-group interface
  Null               Null interface
  Tunnel             Tunnel interface
  Vif                PGM Multicast Host interface
  Virtual-PPP        Virtual PPP interface
  Virtual-Template   Virtual Template interface
  Virtual-TokenRing  Virtual TokenRing
  range              interface range command
Судя по всему данный иос не держит вилан.

Начинаем пробовать сабинтерфейсы:
Filial106(config)#int e0.1
Filial106(config-subif)#e?
exit

Filial106(config-subif)#?
Interface configuration commands:
  arp             Set arp type (arpa, probe, snap) or timeout
  backup          Modify backup parameters
  bandwidth       Set bandwidth informational parameter
  bgp-policy      Apply policy propogated by bgp community string
  bridge-group    Transparent bridging interface parameters
  cdp             CDP interface subcommands
  crypto          Encryption/Decryption commands
  default         Set a command to its defaults
  delay           Specify interface throughput delay
  description     Interface specific description
  exit            Exit from interface configuration mode
  flow-sampler    Attach flow sampler to the interface
  glbp            Gateway Load Balancing Protocol interface commands
  ip              Interface Internet Protocol config commands
  keepalive       Enable keepalive
  llc2            LLC2 Interface Subcommands
  logging         Configure logging for interface
  mtu             Set the interface Maximum Transmission Unit (MTU)
  netbios         Use a defined NETBIOS access list or enable name-caching
  no              Negate a command or set its defaults
  pppoe           pppoe interface subcommands
  rate-limit      Rate Limit
  service-policy  Configure QoS Service Policy
  shutdown        Shutdown the selected interface
  snapshot        Configure snapshot support on the interface
  timeout         Define timeout values for this interface
  vrrp            VRRP Interface configuration commands
Насколько я понимаю на сабинтерфейсах "encapsulation dot1Q" прописать не получится. Нашел в разных доках и конференциях единственный оставшийся вариант - оба реальных адреса прописать на одном интерфейсе и натить через лупбэк. На этом сайте и форуме полно примеров проброса ната через лупбэк.

>в зависимости от этого выставлять ИП на хосте
>а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0

Одна реальная сеть для соединения с циской, вторая взята с потолка для прописывания на лупбэке. Во всех найденных примерах так было написано.

>и еще
>в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска
>252

Разницы никакой, т.к. этим вилдкардом охватываются все резаные подсети, в число которых и входит 10.0.0.0 255.255.255.252

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от ValeDenis (ok) on 24-Июл-07, 18:18 
>[оверквотинг удален]
>ip classless
>ip route 0.0.0.0 0.0.0.0 81.1.1.2
>ip http server
>no ip http secure-server
>!
>!
>access-list 1 permit 10.0.0.0 0.0.0.255
>route-map test permit 10
> match ip address 1
> set interface Loopback0

эээээ...

ip nat inside source static 1.1.1.1 interface e1
access-list 1 permit 10.0.0.0 0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от sergey_privacy email(ok) on 25-Июл-07, 14:18 
>ip nat inside source static 1.1.1.1 interface e1
>access-list 1 permit 10.0.0.0 0.0.0.255

Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0. Если можно, то поправьте мой конфиг вместо малопонятных высказываний.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Избитая тема: NAT через 1 интерфейс Cisco 837"  
Сообщение от sergey_privacy email(ok) on 31-Июл-07, 12:45 
>>ip nat inside source static 1.1.1.1 interface e1
>>access-list 1 permit 10.0.0.0 0.0.0.255
>
>Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые
>работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0.
>Если можно, то поправьте мой конфиг вместо малопонятных высказываний.

Неужели никто не читал "Network Address Translation on a Stick"?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру