форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение		[ Отслеживать ]

"помогите разобраться с NAT!"	+/–
Сообщение от Tolic on 09-Окт-12, 18:01
Возникла просьба помочь по ситуации приведенной в конфигурации ниже: Просьба обратить внимание на трансляцию (NAT) хоста 192.168.22.50, которая в принципе не должна быть. Для решения данной проблемы переделывал ACL для NAT, а также менял иос. В самом низу видна версия иос-ов хранящихся на flash-е, которые я использовал, но безрезультатно.  Вообщем думаю это какой-то "баг" иос-ов. interface FastEthernet0/0 description <<< LAN >>> ip address 192.168.17.2 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto interface Vlan100 description <<< WAN to Fil 1 and Fil 2>>> ip address 192.168.14.6 255.255.255.252 ip nat outside ip virtual-reassembly ip tcp adjust-mss 1300 crypto map exim ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0 ip nat inside source list NAT pool POOL ip access-list extended NAT deny   ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 <<Fil 1>> permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255  <<Fil 2>> ip route 192.168.8.0 255.255.255.0 192.168.14.5 ip route 192.168.24.0 255.255.255.0 192.168.14.5 Router#sh ip nat tr | i 192.168.22.50 tcp 192.168.235.18:4072   192.168.22.50:4072   192.168.8.68:8225     192.168.8.68:8225 tcp 192.168.235.18:4081   192.168.22.50:4081   192.168.8.68:8225     192.168.8.68:8225 tcp 192.168.235.28:4085   192.168.22.27:4085   192.168.24.100:8213   192.168.24.100:8213 Router#sh ver Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(24)T7, RELEASE SOFTWARE (fc2) Card_Dep_N_Of#sh fla -#- --length-- -----date/time------ path 1     34393424 Sep 06 2012 05:23:06 c1841-advsecurityk9-mz.124-24.T7.bin 2         2746 Apr 08 2008 23:24:52 sdmconfig-18xx.cfg 3       931840 Apr 08 2008 23:25:12 es.tar 4      1505280 Apr 08 2008 23:25:38 common.tar 5         1038 Apr 08 2008 23:26:00 home.shtml 6       112640 Apr 08 2008 23:26:20 home.tar 7       527849 Apr 08 2008 23:26:40 128MB.sdf 8          720 Feb 10 2009 07:44:10 vlan.dat 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "помогите разобраться с NAT!"	+/–
Сообщение от Merridius (ok) on 09-Окт-12, 21:16
>[оверквотинг удален] > 4      1505280 Apr 08 2008 23:25:38 common.tar > 5         1038 Apr 08 > 2008 23:26:00 home.shtml > 6       112640 Apr 08 2008 23:26:20 > home.tar > 7       527849 Apr 08 2008 23:26:40 > 128MB.sdf > 8          720 Feb > 10 2009 07:44:10 vlan.dat > 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "помогите разобраться с NAT!"	+/–
	Сообщение от Tolic on 10-Окт-12, 11:15
	>[оверквотинг удален] >> 5         1038 Apr 08 >> 2008 23:26:00 home.shtml >> 6       112640 Apr 08 2008 23:26:20 >> home.tar >> 7       527849 Apr 08 2008 23:26:40 >> 128MB.sdf >> 8          720 Feb >> 10 2009 07:44:10 vlan.dat >> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin > Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната. Я тоже думал сделать NAT через route-map, но у меня один и тот же шлюз и один и тот же интерфейс в 2 направления. Т.е. раньше было по направлению 1 без NAT-a По направлению 2 через NAT. Но периодически появлялись записи трансляций по направлению 1, то чего не должно быть. Затем я сделал, чтобы и по направлению 1 и 2 все работало через NAT, но появились сети, которые не нужно транслировать у же по направлению 2 и снова начали появляться записи трансляций. Вообщем как сделать, чтобы все работало по двум направлениям и при этом ACL-ами указывать транслировать сеть или нет по двум направлениям и через один шлюз я не знаю.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "помогите разобраться с NAT!"	+/–
	Сообщение от GolDi (??) on 10-Окт-12, 11:27
	>[оверквотинг удален] >> 5         1038 Apr 08 >> 2008 23:26:00 home.shtml >> 6       112640 Apr 08 2008 23:26:20 >> home.tar >> 7       527849 Apr 08 2008 23:26:40 >> 128MB.sdf >> 8          720 Feb >> 10 2009 07:44:10 vlan.dat >> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin > Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната. Что-то pool у вас как-то криво задан ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0                          ^^^           ^^^
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "помогите разобраться с NAT!"	+/–
Сообщение от McS555 (ok) on 10-Окт-12, 11:19
а лог что показывает??
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "помогите разобраться с NAT!"	+/–
	Сообщение от McS555 (ok) on 10-Окт-12, 11:24
	> а лог что показывает?? О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить ) Пользуй  Vlan100 overload
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "помогите разобраться с NAT!"	+/–
	Сообщение от McS555 (ok) on 10-Окт-12, 11:25
	>> а лог что показывает?? > О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить ) > Пользуй  Vlan100 overload Ну и acl куда кому можно так и "рули" ip nat inside source list NAT interface Vlan100 overload ip access-list extended NAT permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "помогите разобраться с NAT!"	+/–
	Сообщение от Tolic on 10-Окт-12, 16:20
	>>> а лог что показывает?? >> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить ) >> Пользуй  Vlan100 overload > Ну и acl куда кому можно так и "рули" > ip nat inside source list NAT interface Vlan100 overload > ip access-list extended NAT > permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255 Попробовал сделать через crypto-map-ы, но результат такой же: ip nat pool POOL_Fil1 192.168.235.0 192.168.235.62 netmask 255.255.255.192 ip nat pool POOL_Fil2 192.168.235.65 192.168.235.126 netmask 255.255.255.192 ip nat inside source route-map Fil1 pool POOL_Fil1 ip nat inside source route-map Fil2 pool POOL_Fil2 ip access-list extended NATFil1 deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255 ip access-list extended NATFil2 permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 route-map Fil1 permit 10 match ip address NATFil1 set ip next−hop 192.168.14.5 route-map Fil2 permit 10 match ip address NATFil2 set ip next−hop 192.168.14.5
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "помогите разобраться с NAT!"	+/–
	Сообщение от Merridius (ok) on 10-Окт-12, 17:03
	>[оверквотинг удален] > deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 > permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255 > ip access-list extended NATFil2 >  permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 > route-map Fil1 permit 10 > match ip address NATFil1 > set ip next−hop 192.168.14.5 > route-map Fil2 permit 10 > match ip address NATFil2 > set ip next−hop 192.168.14.5 В такой конфигурации вы используете Dynamic NAT, а вам наверное нужно PAT, для этого пишите команду overload в правиле ip nat inside.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема