форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Трансляция адресов между внутренними интерфейсами маршрутиза..."

Сообщение от Cug (ok) on 16-Янв-06, 15:05

Имеем Cisco 3725 Router (IOS с VoIP 12.3) который динамически транслирует адреса с перегрузкой (overload) из двух не перекрывающихся подсетей (на внутренних интерфейсах роутера) на внешний интерфейс, смотрящий в Интернет. В обеих подсетях установлены серверы (почта и web). Соответственно, для них на роутере проброшен статический NAT на внешний интерфейс по всем портам. ip nat inside source list 1 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 1 ip nat inside source list 2 interface FastEthernet0/1 overload - NAT для внутреннего интерфейса 2 ip nat inside source static 192.168.0.1 xxx.xxx.xxx.xxx extendable - статическая трансляция локального IP-адреса из сети 1 сервера в глобальный ip nat inside source static 192.168.0.90 xxx.xxx.xxx.xxy extendable - статическая трансляция локального IP-адреса из сети 2 сервера в глобальный Когда глобальные пользователи обращаются к серверам, запросы транслируются по указанным правилам - все в порядке. Когда локальные пользователи обращаются серверам по реальному IP-адресу - начинаются грабли. Как я понимаю, Cisco передает запрос с внутреннего интерфейса на внешний, а тот в свою очередь не может завернуть его обратно. Для меня важно именно обращение к серверам по реальным IP-адресам, поскольку по административно-техническим причинам поднять внутренний DNS я не могу. Внешний DNS-сервер находится в одной из локальных сетей, но вносить в него изменения я опять-таки не могу. Буду признателен за идеи решения проблемы.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Трансляция адресов между внутренними интерфейсами маршрутиза..."

Сообщение от sh_ (??) on 16-Янв-06, 15:31

Делай трансляцию для определенных портов...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от Cug (ok) on 16-Янв-06, 20:58
	Прошу прощения, каким образом, если оба внутренних интерфейса помечены как inside, а внешний как outside? Кроме того, трансляция для определенных портов не поможет - надо открывать всю динамику для ftp- и для smtp-сервисов.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от sh_ (??) on 16-Янв-06, 21:11
	Конфиг покажи...
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от Cug (ok) on 17-Янв-06, 13:32
	еще раз уточняю вопрос: необходимо, чтобы проходили запросы при обращении из внутренних подсетей (с неперекнывающимися нереальными адресными полями) по реальному IP-адресу, к ресурсам, размещенным во внутренних же подсетях. [...] ! controller E1 0/0 channel-group 0 timeslots 1-31 speed 64 ! controller E1 0/1 shutdown ! ! ! [порт зарезервирован под будущие нужды] interface FastEthernet0/0 no ip address shutdown duplex auto speed auto no cdp enable no mop enabled ! [связь с Cisco 3725, установленной на границе второй внутренней подсети - выполняет функции маршрутизатора. Есть доступ для перенастройки] interface Serial0/0:0 ip address 10.0.0.2 255.255.255.252 ip nat inside no cdp enable ! interface FastEthernet0/1 description Provider ip address xxx.xxx.xxx.y 255.255.255.252 ip access-group ACL in ip nat outside duplex auto speed auto no cdp enable ! [первая внутренняя подсеть] interface FastEthernet1/0 ip address aaa.aaa.aaa.a 255.255.255.240 ip nat inside duplex auto speed auto no cdp enable ! [порт свободен] interface FastEthernet1/1 no ip address duplex auto speed auto no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.z ip route aaa.aaa.aaa.b 255.255.255.224 10.0.0.1 ! no ip http server [динамический NAT для пользователей обеих подсетей] ip nat inside source list 1 interface FastEthernet0/1 overload ip nat inside source list 2 interface FastEthernet0/1 overload [статический NAT для серверов в обеих подсетях] ip nat inside source static aaa.aaa.aaa.c xxx.xxx.xxx.h extendable ip nat inside source static aaa.aaa.aaa.d xxx.xxx.xxx.i no-payload ip nat inside source static aaa.aaa.aaa.e xxx.xxx.xxx.j extendable ip nat inside source static aaa.aaa.aaa.f xxx.xxx.xxx.k extendable ip nat inside source static aaa.aaa.aaa.g xxx.xxx.xxx.l extendable ! ip access-list extended ACL permit icmp any any permit tcp any any established remark ---Access to DNS--- permit tcp any host xxx.xxx.xxx.i eq domain permit udp any host xxx.xxx.xxx.i eq domain remark ---Access to www1--- permit tcp any gt 1024 host xxx.xxx.xxx.l eq www remark ---Access to POP3 mail1--- permit tcp any gt 1024 host xxx.xxx.xxx.h eq pop3 remark ---Access to SMTP mail1--- permit tcp any gt 1024 host xxx.xxx.xxx.h eq smtp remark ---Access to POP3 mail2--- permit tcp any gt 1024 host xxx.xxx.xxx.k eq pop3 remark ---Access to SMTP mail2--- permit tcp any gt 1024 host xxx.xxx.xxx.k eq smtp remark ---Access to www2--- permit tcp any host xxx.xxx.xxx.j gt 1024 permit tcp any host xxx.xxx.xxx.j eq ftp-data log permit tcp any host xxx.xxx.xxx.j eq ftp log permit tcp any host xxx.xxx.xxx.j eq www log deny   ip any any ! [запрещение динамического NAT для серверов] access-list 1 deny   aaa.aaa.aaa.c access-list 1 deny   aaa.aaa.aaa.d access-list 1 permit aaa.aaa.aaa.o 0.0.0.15 access-list 2 deny   aaa.aaa.aaa.e access-list 2 deny   aaa.aaa.aaa.f access-list 2 deny   aaa.aaa.aaa.g access-list 2 permit aaa.aaa.aaa.b 0.0.0.31 ! [...]
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	5. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от sh_ (??) on 17-Янв-06, 21:27
	Sorry, невнимательно вопрос перый прочитал. Может типа того попробовать? int s0/0:0 ip policy route-ma fuck int lo0 ip add 1.1.1.1 255.255.255.255 ip nat ou rute-map fuck match ip add 100 set int lo0 access-l 100 perm ip any ho xxx.xxx.xxx.h
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	6. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от Cug (??) on 19-Янв-06, 11:59
	>Sorry, невнимательно вопрос перый прочитал. >Может типа того попробовать? >int s0/0:0 >ip policy route-ma fuck >int lo0 >ip add 1.1.1.1 255.255.255.255 >ip nat ou >rute-map fuck >match ip add 100 >set int lo0 >access-l 100 perm ip any ho xxx.xxx.xxx.h Обязательно попробую, поскольку в сети есть приложения, которые работают с жесткой привязкой к IP-адресам. Проблема доступа к почте и web, решилась достаточно просто - на пользователях пробил DNS-серверы, находящиеся за пределами сети. При прохождении через маршрутизатор с NAT тело пакета с ответом транслируется и клиентам приходит соответствующий правилам статической трансляции нереальный адрес.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	7. "Трансляция адресов между внутренними интерфейсами маршрутиза..."
	Сообщение от Cug (ok) on 06-Мрт-06, 17:02
	Не работает. И что самое обидное, не могу отследить, где происходит затык. Еще предложения будут?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]