Исходное сообщение
"NAT c роут-мапом" Отправлено onion, 02-Мрт-10 17:50
cisco 7000 есть два влана vlan9 - внешний vlan15 - внутренний извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24) возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу. помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM serverfarm TESTHOST   nat server   no nat client   real 10.40.115.30    health probe GENERIC-HTTP    inservice   real 10.40.115.31    health probe GENERIC-HTTP    inservice и поднят HSRP interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15 interface Vlan105 ip nat outside ip address 153.17.17.113 255.255.255.248 standby 132 ip 153.17.17.115 standby 132 priority 120 standby 132 preempt interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 ip nat inside ip policy route-map nat15 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt route-map nat15 permit 10      match ip address 190      set interface vlan105 исключил локальные сетки из роут-мапа: access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255 access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255 access-list 190 deny   ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255 access-list 190 permit ip 10.40.115.0 0.0.0.255 any создал аксесс лист для ната access-list 191 permit ip 10.40.115.0 0.0.0.255 any и, собственно, сам нат: ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248 ip nat inside source list 191 pool localsrvrs overload в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются. в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик. причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так: TCP 153.17.17.115.23654 -> remote_server.80 SYN TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK TCP 153.17.17.115.23654 -> remote_server.80 RST такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его. пробовал в роутмапе вместо "set interface vlan105" ставить: set ip next-hop 153.17.17.115 set ip default next-hop 153.17.17.115 пробовал ip nat inside source route-map nat15 interface vlan405 overload и ip nat inside source route-map nat15 pool localsrvrs overload картина ровным счетом никак не меняется. что я сделал не так?