форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"NAT inside outside"
Сообщение от melco (??) on 17-Сен-05, 02:04  (MSK)
Здравствуйте! имеется вот такая вот проблемка... Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и есть в этой сети шлюз в интернет. Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти в интернет, у cisco1751 в свою очередь как шлюз стоит тот шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в том, что есть только один интерфейс, и как его указать nat inside и nat outside не знаю... А если быть точнее, то нужен не NAT а PAT(overload), а если быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether и ничего больше)
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT inside outside"
Сообщение от Nailer (??) on 17-Сен-05, 11:18  (MSK)
>Здравствуйте! >имеется вот такая вот проблемка... >Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >есть в этой сети шлюз в интернет. >Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >в интернет, у cisco1751 в свою очередь как шлюз стоит тот >шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >том, что есть только один интерфейс, и как его указать nat >inside и nat outside не знаю... >А если быть точнее, то нужен не NAT а PAT(overload), а если >быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >и ничего больше) Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в 1751.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "NAT inside outside"
	Сообщение от melco (??) on 17-Сен-05, 11:21  (MSK)
	>>Здравствуйте! >>имеется вот такая вот проблемка... >>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >>есть в этой сети шлюз в интернет. >>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >>в интернет, у cisco1751 в свою очередь как шлюз стоит тот >>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >>том, что есть только один интерфейс, и как его указать nat >>inside и nat outside не знаю... >>А если быть точнее, то нужен не NAT а PAT(overload), а если >>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >>и ничего больше) > >Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в >1751. Да, но тут же вопрос... как на два интерфейса назначить ip из одной сети?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "NAT inside outside"
	Сообщение от Nailer (??) on 17-Сен-05, 12:30  (MSK)
	>>>Здравствуйте! >>>имеется вот такая вот проблемка... >>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >>>есть в этой сети шлюз в интернет. >>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот >>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >>>том, что есть только один интерфейс, и как его указать nat >>>inside и nat outside не знаю... >>>А если быть точнее, то нужен не NAT а PAT(overload), а если >>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >>>и ничего больше) >> >>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в >>1751. > >Да, но тут же вопрос... как на два интерфейса назначить ip из >одной сети? Никак. А зачем, собственно? Кто вам мешает использовать серую сетку? Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "NAT inside outside"
	Сообщение от melco (??) on 17-Сен-05, 20:57  (MSK)
	>>>>Здравствуйте! >>>>имеется вот такая вот проблемка... >>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >>>>есть в этой сети шлюз в интернет. >>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот >>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >>>>том, что есть только один интерфейс, и как его указать nat >>>>inside и nat outside не знаю... >>>>А если быть точнее, то нужен не NAT а PAT(overload), а если >>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >>>>и ничего больше) >>> >>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в >>>1751. >> >>Да, но тут же вопрос... как на два интерфейса назначить ip из >>одной сети? > >Никак. А зачем, собственно? Кто вам мешает использовать серую сетку? >Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах? > Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к тому же администрирую шлюз не я... вот потому и нада такую
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "NAT inside outside"
	Сообщение от Nailer (??) on 17-Сен-05, 21:23  (MSK)
	>>>>>Здравствуйте! >>>>>имеется вот такая вот проблемка... >>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >>>>>есть в этой сети шлюз в интернет. >>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот >>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >>>>>том, что есть только один интерфейс, и как его указать nat >>>>>inside и nat outside не знаю... >>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если >>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >>>>>и ничего больше) >>>> >>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в >>>>1751. >>> >>>Да, но тут же вопрос... как на два интерфейса назначить ip из >>>одной сети? >> >>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку? >>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах? >> > > >Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к >тому же администрирую шлюз не я... вот потому и нада такую > Тогда делаете другую сеть в офисе.. Если вы поставите два роутера в одну ip-подсеть и пропишете на одном второй в качестве шлюза, то первый будет кидать icmp redirect клиентам, чтобы они шли на первый..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "NAT inside outside"
	Сообщение от melco (??) on 17-Сен-05, 21:39  (MSK)
	>>>>>>Здравствуйте! >>>>>>имеется вот такая вот проблемка... >>>>>>Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >>>>>>есть в этой сети шлюз в интернет. >>>>>>Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >>>>>>в интернет, у cisco1751 в свою очередь как шлюз стоит тот >>>>>>шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >>>>>>том, что есть только один интерфейс, и как его указать nat >>>>>>inside и nat outside не знаю... >>>>>>А если быть точнее, то нужен не NAT а PAT(overload), а если >>>>>>быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >>>>>>и ничего больше) >>>>> >>>>>Вам надо либо использовать свитч с поддержкой dot1q-вланов, либо второй интерфейс в >>>>>1751. >>>> >>>>Да, но тут же вопрос... как на два интерфейса назначить ip из >>>>одной сети? >>> >>>Никак. А зачем, собственно? Кто вам мешает использовать серую сетку? >>>Вы же хотите NAT использовать, зачем вам одна сетка на двух интерфейсах? >>> >> >> >>Ситуация такая: на шлюзе в интернет выпускается только 1 внутренный IP, к >>тому же администрирую шлюз не я... вот потому и нада такую >> > >Тогда делаете другую сеть в офисе.. >Если вы поставите два роутера в одну ip-подсеть и пропишете на одном >второй в качестве шлюза, то первый будет кидать icmp redirect клиентам, >чтобы они шли на первый.. Ха, тото он и делает... :(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "NAT inside outside"
Сообщение от AGP on 19-Сен-05, 11:11  (MSK)
А может прокси решит вопрос?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "NAT inside outside"
Сообщение от Alan_1 (??) on 20-Сен-05, 02:42  (MSK)
Почему же Вы не можете сделать для внутренней сети отдельную подсеть? С помощью подинтерфейсов. Какой у Вас свитч в локалке стоит? Если он вланы поддерживает, то ни каких проблем быть не может.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "NAT inside outside"
Сообщение от kaa (??) on 20-Сен-05, 06:48  (MSK)
>Здравствуйте! >имеется вот такая вот проблемка... >Есть лан, в который включены компы, cisco1751(1 fastether и ничего больше) и >есть в этой сети шлюз в интернет. >Нужно, чтобы компьютеры в сети поставив в качестве шлюза cisco1751 могли выйти >в интернет, у cisco1751 в свою очередь как шлюз стоит тот >шлюз в интернет. Тоесть нужно сделать простой нат... проблема только в >том, что есть только один интерфейс, и как его указать nat >inside и nat outside не знаю... >А если быть точнее, то нужен не NAT а PAT(overload), а если >быть еще проще - нужна подмена ip с помощью cisco1751(1 fastether >и ничего больше) Кусок конфига: interface FastEthernet0/0 no ip address no ip mroute-cache speed 100 full-duplex fair-queue no cdp enable ! interface FastEthernet0/0.1 description ЧЧЧ encapsulation dot1Q 1 native ip address 192.168.0.1 255.255.255.0 ip nat inside no ip mroute-cache no cdp enable ! interface FastEthernet0/0.2 description ЗЗЗ encapsulation dot1Q 2 ip address 198.220.135.1 255.255.255.252 ip nat outside no ip mroute-cache no cdp enable ! ip nat inside source list 27 pool ПУЛ overload ! access-list 27 permit 192.168.0.0 0.0.0.255 ! ip route 0.0.0.0 0.0.0.0 <иппровайдера>
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "NAT inside outside"
	Сообщение от kaa (??) on 20-Сен-05, 06:51  (MSK)
	>Кусок конфига: > >interface FastEthernet0/0 > no ip address > no ip mroute-cache > speed 100 > full-duplex > fair-queue > no cdp enable >! >interface FastEthernet0/0.1 > description ЧЧЧ > encapsulation dot1Q 1 native > ip address 192.168.0.1 255.255.255.0 > ip nat inside > no ip mroute-cache > no cdp enable >! >interface FastEthernet0/0.2 > description ЗЗЗ > encapsulation dot1Q 2 > ip address 198.220.135.1 255.255.255.252 > ip nat outside > no ip mroute-cache > no cdp enable >! >ip nat inside source list 27 pool ПУЛ overload >! >access-list 27 permit 192.168.0.0 0.0.0.255 >! >ip route 0.0.0.0 0.0.0.0 <иппровайдера> Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload, заменить на >ip nat inside source list 27 int f0/0.2 overload
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "NAT inside outside"
	Сообщение от iasb on 22-Сен-05, 12:01  (MSK)
	>>Кусок конфига: >> >>interface FastEthernet0/0 >> no ip address >> no ip mroute-cache >> speed 100 >> full-duplex >> fair-queue >> no cdp enable >>! >>interface FastEthernet0/0.1 >> description ЧЧЧ >> encapsulation dot1Q 1 native >> ip address 192.168.0.1 255.255.255.0 >> ip nat inside >> no ip mroute-cache >> no cdp enable >>! >>interface FastEthernet0/0.2 >> description ЗЗЗ >> encapsulation dot1Q 2 >> ip address 198.220.135.1 255.255.255.252 >> ip nat outside >> no ip mroute-cache >> no cdp enable >>! >>ip nat inside source list 27 pool ПУЛ overload >>! >>access-list 27 permit 192.168.0.0 0.0.0.255 >>! >>ip route 0.0.0.0 0.0.0.0 <иппровайдера> > >Пардон вот эту строчку >ip nat inside source list 27 pool ПУЛ overload, >заменить на >ip nat inside source list 27 int f0/0.2 overload Можно ли вопросы вдогон ? Спасибо заранее. Во-первых что делать с этим ? http://www.opennet.me/base/cisco/one_nat.txt.html В особенности с припиской: ======= NAT на cisco для доступа локальной сети в Internet (cis, Etvas, 12:18:00, 08/05/2005 [ответить] (1) Волка такой вопрос? Как понимаю у тебя Internet на Vilan в комутатор, а как избавился от того что у тебя кадры interface Ethernet0 "сифонят" в Интернет? Гм, конечно коннект по IP с наружными сервисами у тебя будет с sourc IP 195.0.0.2 но кадры от Ethernet0 с твоими внутренними IP будут доступны, в том числе и в широковещательном домене Ethernet Провайдера! Не страшно? ======= И второй вопрос - а как при этом сделать проброс (при работающем NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И нат внутрь при этом делается для адресовв 172 ??? Определения для интерфейсов ip nat inbount и ip nat outbound - у нас же фиксированные, а тут надо делать в противоположном направлении. IOS 11.3
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "NAT inside outside"
	Сообщение от kaa (??) on 22-Сен-05, 13:12  (MSK)
	>Можно ли вопросы вдогон ? Спасибо заранее. > >Во-первых что делать с этим ? > > >http://www.opennet.me/base/cisco/one_nat.txt.html > >В особенности с припиской: >======= > NAT на cisco для доступа локальной сети в Internet (cis, Etvas, >12:18:00, 08/05/2005 [ответить] (1) >Волка такой вопрос? >Как понимаю у тебя Internet на Vilan в комутатор, >а как избавился от того что у тебя кадры interface Ethernet0 "сифонят" >в Интернет? >Гм, конечно коннект по IP с наружными сервисами у тебя будет с >sourc IP 195.0.0.2 но кадры от Ethernet0 >с твоими внутренними IP будут доступны, в том числе и в широковещательном >домене Ethernet Провайдера! Не страшно? >======= Вы не путайте, там рутер 802.1q не поддерживает, написано же. > >И второй вопрос - а как при этом сделать проброс (при работающем >NAT наружу) одного порта внутрь. Не доходит до меня что-то мудреные >описания с CISCO с использованием ссылок только внутреннего интерфейса. Как-то мутно >объясняется на примерах внешняя сеть 200.200, а внутренняя - 172. И >нат внутрь при этом делается для адресовв 172 ??? Определения для >интерфейсов ip nat inbount и ip nat outbound - у нас >же фиксированные, а тут надо делать в противоположном направлении. > >IOS 11.3 ip nat inside source static tcp <inside ip> 80 <outside ip> 80 extendable Вот тут разбиралась тема: http://www.opennet.me/openforum/vsluhforumID6/8689.html
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "NAT inside outside"
	Сообщение от iasb (ok) on 22-Сен-05, 15:36  (MSK)
	Спасибо, буду разбираться
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "NAT inside outside"
	Сообщение от iasb (ok) on 22-Сен-05, 15:58  (MSK)
	Да, а в общем случае <outside IP> - 0.0.0.0 что ли ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "NAT inside outside"
	Сообщение от kaa (??) on 22-Сен-05, 16:09  (MSK)
	>Да, а в общем случае <outside IP> - 0.0.0.0 что ли ? Нет нет!!! outside ip - адрес внешнего интерфейса, inside ip - адрес внутреннего интерфейса.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "NAT inside outside"
	Сообщение от kaa (??) on 22-Сен-05, 16:12  (MSK)
	>Нет нет!!! >outside ip - адрес внешнего интерфейса, >inside ip - адрес внутреннего интерфейса. Брррр.......:))))) inside ip - адрес внутреннего сервера!!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "NAT inside outside"
	Сообщение от iasb (ok) on 22-Сен-05, 16:44  (MSK)
	> >>Нет нет!!! >>outside ip - адрес внешнего интерфейса, >>inside ip - адрес внутреннего интерфейса. > >Брррр.......:))))) >inside ip - адрес внутреннего сервера!!! Да, понятно. Это ж надо, додуматься - внутренняя машина имеет другой гейтвей. Ясно. Сетка с разными маршрутами. по крайней мере с tcpdump -i XXX 'port smtp'  - видно что пакеты приходят. Хотя пока на внешней машине я коннекта к внутренней не имею. Пробую. Спасибо.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.