forum.opennet.ru - "cisco NAT" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"cisco NAT"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"cisco NAT"
Сообщение от bfc (ok) on 12-Янв-05, 11:17 (MSK)
есть 2610 fastethernet0/0 с адресом а.а.а.1 ser 0/0 с адресом b.b.b.1 - другая организация даёт доступ к опр. ресурсам только с нескольких адресов а.а.а.х, а у меня куча подсетей. Из каждой подсети надо дать доступ к этим ресурсам ser 0/1 смотрит в сеть с.с.с.х нужно запросы из сети f.f.f.f приходящие на fastethernet0/0 натились в ser0/0 с адресом a.a.a.1(или а.а.а.х) запросы из сети f.f.f.x приходящие на fastethernet0/0 не натились, а проходили свободно в ser0/1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

cisco NAT, Nailer, 11:59 , 12-Янв-05, (1)
- cisco NAT, bfc, 12:21 , 12-Янв-05, (2)
  - cisco NAT, Nailer, 12:25 , 12-Янв-05, (3)
    - cisco NAT, bfc, 12:41 , 12-Янв-05, (4)
      - cisco NAT, Nailer, 12:46 , 12-Янв-05, (5)
        
        cisco NAT, bfc, 12:49 , 12-Янв-05, (6)
        
        cisco NAT, bfc, 22:10 , 12-Янв-05, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "cisco NAT"

Сообщение от Nailer on 12-Янв-05, 11:59  (MSK)

>есть 2610
>fastethernet0/0 с адресом а.а.а.1
>ser 0/0 с адресом b.b.b.1 - другая организация даёт доступ к опр.
>ресурсам только с нескольких адресов а.а.а.х, а у меня куча подсетей.
>Из каждой подсети надо дать доступ к этим ресурсам
>ser 0/1 смотрит в сеть с.с.с.х
>нужно
>  запросы из сети f.f.f.f приходящие на fastethernet0/0 натились в ser0/0
>с адресом a.a.a.1(или а.а.а.х)
>  запросы из сети f.f.f.x
Тут не совсем понятно, тут ошибка или вы маску не указали?
>приходящие на fastethernet0/0 не натились, а
>проходили свободно в ser0/1

Создаешь пул адресов для ната:
ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28
после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная с a.a.a.x по a.a.a.y.
Пишешь acl для адресов или сетей, которые должны натится:
access-list 101 permit ip any f.f.f.f 0.0.0.255
В fastethernet0/0 пишете ip nat inside
В ser 0/0 ip nat outside
И пишете команды для ната:
ip nat inside source list 101 pool Allow_ip overload
Похимичив с acl, можно в принципе добится того, чтобы натились только запросы к нужному серверу.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "cisco NAT"

Сообщение от bfc (??) on 12-Янв-05, 12:21  (MSK)

>Создаешь пул адресов для ната:
>
>ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28
>
не чревато ли проблемами назначение пула для ната из внутренней подсети? На живой системе не поэксперементируешь.
>после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная
>с a.a.a.x по a.a.a.y.
>
>Пишешь acl для адресов или сетей, которые должны натится:
>
>access-list 101 permit ip any f.f.f.f 0.0.0.255
>
>В fastethernet0/0 пишете ip nat inside
>В ser 0/0 ip nat outside
>
>И пишете команды для ната:
>
>ip nat inside source list 101 pool Allow_ip overload
>
всё вроде понятно, почти по документации ;)
>Похимичив с acl, можно в принципе добится того, чтобы натились только запросы
>к нужному серверу.
вот с этим не всё понятно, и в документации не нашёл. Т.е. как сделать что бы к определённому хосту запросы натились, а весь прочий трафик(во все стороны) ходил свободно?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "cisco NAT"

Сообщение от Nailer on 12-Янв-05, 12:25  (MSK)

>>Создаешь пул адресов для ната:
>>
>>ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28
>>
> не чревато ли проблемами назначение пула для ната из внутренней подсети?
>На живой системе не поэксперементируешь.
Не совсем понял, при чем тут внутренняя сеть?

>>после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная
>>с a.a.a.x по a.a.a.y.
>>
>>Пишешь acl для адресов или сетей, которые должны натится:
>>
>>access-list 101 permit ip any f.f.f.f 0.0.0.255
>>
>>В fastethernet0/0 пишете ip nat inside
>>В ser 0/0 ip nat outside
>>
>>И пишете команды для ната:
>>
>>ip nat inside source list 101 pool Allow_ip overload
>>
>всё вроде понятно, почти по документации ;)
>>Похимичив с acl, можно в принципе добится того, чтобы натились только запросы
>>к нужному серверу.
>вот с этим не всё понятно, и в документации не нашёл. Т.е.
>как сделать что бы к определённому хосту запросы натились, а весь
>прочий трафик(во все стороны) ходил свободно?
Угу. Пакеты, которые нужно натить, определятются акцесс-листом. Соответсвенно напишите вмето
access-list 101 permit ip any f.f.f.f 0.0.0.255
это:
access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255
где aa.bb.cc.dd - нужный адрес, и будут натится только идущие на него пакеты.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "cisco NAT"

Сообщение от bfc (??) on 12-Янв-05, 12:41  (MSK)

>
>Не совсем понял, при чем тут внутренняя сеть?
сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост
на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует, можно ли в нат пул внести адрес(а)из сети a.a.a.a
>
>Угу. Пакеты, которые нужно натить, определятются акцесс-листом. Соответсвенно напишите вмето
>access-list 101 permit ip any f.f.f.f 0.0.0.255
>
>это:
>access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255
>
>где aa.bb.cc.dd - нужный адрес, и будут натится только идущие на него
>пакеты.
Спасибо, понял.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "cisco NAT"

Сообщение от Nailer on 12-Янв-05, 12:46  (MSK)

>сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост

>на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует,
>можно ли в нат пул внести адрес(а)из сети a.a.a.a
В таком виде - можно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "cisco NAT"

Сообщение от bfc (??) on 12-Янв-05, 12:49  (MSK)

>>сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост
>
>
>>на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует,
>>можно ли в нат пул внести адрес(а)из сети a.a.a.a
>
>В таком виде - можно.
Спасибо за консультацию.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "cisco NAT"

Сообщение от bfc (??) on 12-Янв-05, 22:10  (MSK)

>Угу. Пакеты, которые нужно натить, определятются акцесс-листом. >Соответсвенно напишите вмето
>access-list 101 permit ip any f.f.f.f 0.0.0.255
>
>это:
>access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255

не хочет нат работать с расширенными акл-ами :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco NAT"
Сообщение от Nailer on 12-Янв-05, 11:59 (MSK)
>есть 2610 >fastethernet0/0 с адресом а.а.а.1 >ser 0/0 с адресом b.b.b.1 - другая организация даёт доступ к опр. >ресурсам только с нескольких адресов а.а.а.х, а у меня куча подсетей. >Из каждой подсети надо дать доступ к этим ресурсам >ser 0/1 смотрит в сеть с.с.с.х >нужно > запросы из сети f.f.f.f приходящие на fastethernet0/0 натились в ser0/0 >с адресом a.a.a.1(или а.а.а.х) > запросы из сети f.f.f.x Тут не совсем понятно, тут ошибка или вы маску не указали? >приходящие на fastethernet0/0 не натились, а >проходили свободно в ser0/1 Создаешь пул адресов для ната: ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28 после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная с a.a.a.x по a.a.a.y. Пишешь acl для адресов или сетей, которые должны натится: access-list 101 permit ip any f.f.f.f 0.0.0.255 В fastethernet0/0 пишете ip nat inside В ser 0/0 ip nat outside И пишете команды для ната: ip nat inside source list 101 pool Allow_ip overload Похимичив с acl, можно в принципе добится того, чтобы натились только запросы к нужному серверу.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "cisco NAT"
	Сообщение от bfc (??) on 12-Янв-05, 12:21 (MSK)
	>Создаешь пул адресов для ната: > >ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28 > не чревато ли проблемами назначение пула для ната из внутренней подсети? На живой системе не поэксперементируешь. >после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная >с a.a.a.x по a.a.a.y. > >Пишешь acl для адресов или сетей, которые должны натится: > >access-list 101 permit ip any f.f.f.f 0.0.0.255 > >В fastethernet0/0 пишете ip nat inside >В ser 0/0 ip nat outside > >И пишете команды для ната: > >ip nat inside source list 101 pool Allow_ip overload > всё вроде понятно, почти по документации ;) >Похимичив с acl, можно в принципе добится того, чтобы натились только запросы >к нужному серверу. вот с этим не всё понятно, и в документации не нашёл. Т.е. как сделать что бы к определённому хосту запросы натились, а весь прочий трафик(во все стороны) ходил свободно?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "cisco NAT"
	Сообщение от Nailer on 12-Янв-05, 12:25 (MSK)
	>>Создаешь пул адресов для ната: >> >>ip nat pool Allow_ip a.a.a.x a.a.a.y prefix-length 28 >> > не чревато ли проблемами назначение пула для ната из внутренней подсети? >На живой системе не поэксперементируешь. Не совсем понял, при чем тут внутренняя сеть? >>после prefix-length указываете маску для той подсети, из которой выделяете адреса, начиная >>с a.a.a.x по a.a.a.y. >> >>Пишешь acl для адресов или сетей, которые должны натится: >> >>access-list 101 permit ip any f.f.f.f 0.0.0.255 >> >>В fastethernet0/0 пишете ip nat inside >>В ser 0/0 ip nat outside >> >>И пишете команды для ната: >> >>ip nat inside source list 101 pool Allow_ip overload >> >всё вроде понятно, почти по документации ;) >>Похимичив с acl, можно в принципе добится того, чтобы натились только запросы >>к нужному серверу. >вот с этим не всё понятно, и в документации не нашёл. Т.е. >как сделать что бы к определённому хосту запросы натились, а весь >прочий трафик(во все стороны) ходил свободно? Угу. Пакеты, которые нужно натить, определятются акцесс-листом. Соответсвенно напишите вмето access-list 101 permit ip any f.f.f.f 0.0.0.255 это: access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255 где aa.bb.cc.dd - нужный адрес, и будут натится только идущие на него пакеты.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "cisco NAT"
	Сообщение от bfc (??) on 12-Янв-05, 12:41 (MSK)
	> >Не совсем понял, при чем тут внутренняя сеть? сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует, можно ли в нат пул внести адрес(а)из сети a.a.a.a > >Угу. Пакеты, которые нужно натить, определятются акцесс-листом. Соответсвенно напишите вмето >access-list 101 permit ip any f.f.f.f 0.0.0.255 > >это: >access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255 > >где aa.bb.cc.dd - нужный адрес, и будут натится только идущие на него >пакеты. Спасибо, понял.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "cisco NAT"
	Сообщение от Nailer on 12-Янв-05, 12:46 (MSK)
	>сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост >на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует, >можно ли в нат пул внести адрес(а)из сети a.a.a.a В таком виде - можно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "cisco NAT"
	Сообщение от bfc (??) on 12-Янв-05, 12:49 (MSK)
	>>сеть f.f.f.f->cisco->сеть a.a.a.a ->cisco FastEth0/0(a.a.a.1)--ser0/0-->интересуемый хост > > >>на интересуемый хост могу пройти только с адресов a.a.a.х. Поэтому и интересует, >>можно ли в нат пул внести адрес(а)из сети a.a.a.a > >В таком виде - можно. Спасибо за консультацию.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "cisco NAT"
	Сообщение от bfc (??) on 12-Янв-05, 22:10 (MSK)
	>Угу. Пакеты, которые нужно натить, определятются акцесс-листом. >Соответсвенно напишите вмето >access-list 101 permit ip any f.f.f.f 0.0.0.255 > >это: >access-list 101 permit ip host aa.bb.cc.dd f.f.f.f 0.0.0.255 не хочет нат работать с расширенными акл-ами :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх