The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Избитая тема: NAT через 1 интерфейс Cisco 837, !*! sergey_privacy, 24-Июл-07, 17:26  [смотреть все]
Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета, работающих как свич. В одну дырку e1 вставлен провод провайдера, е2 идет во внутреннюю сеть. Сеть провайдера скажем 81.1.1.0/30. На моем роутере стоит адрес 81.1.1.1, 81.1.1.2 на стороне провайдера. Внутренняя сеть скажем 10.0.0.0/30 (нужен реально только один адрес). На циске стоит адрес 10.0.0.1, на компе 10.0.0.2. Как включить нат, если учесть, что 4 езернета работают как свич и можно прописать адрес только на e0? Курение мануалов привело к варианту построения нача через лупбэк. Сейчас домутил до конфига, который почему то не пашет. С хоста пингую оба интерфейса циски, с нее пингую инетовские адреса. Зато с хоста не проходят пакеты в инет. Текущий конфиг ниже, где грабли?

interface Loopback0
description Internal LAN
ip address 10.0.1.1 255.255.255.252
ip nat inside
no ip route-cache
no ip mroute-cache
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.252 secondary
ip address 81.1.1.1 255.255.255.248
ip nat outside
no ip route-cache
ip policy route-map test
no ip mroute-cache
hold-queue 100 out
!
ip default-gateway 81.1.1.2
ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
ip nat inside source list 1 pool one overload
ip classless
ip route 0.0.0.0 0.0.0.0 81.1.1.2
ip http server
no ip http secure-server
!
!
access-list 1 permit 10.0.0.0 0.0.0.255
route-map test permit 10
match ip address 1
set interface Loopback0
Ответить | Сообщить модератору
  • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! teebot, 17:49 , 24-Июл-07 (1)
    >[оверквотинг удален]
    >!
    >interface Ethernet0
    > ip address 10.0.0.1 255.255.255.252 secondary
    > ip address 81.1.1.1 255.255.255.248
    > ip nat outside
    > no ip route-cache
    > ip policy route-map test
    > no ip mroute-cache
    > hold-queue 100 out
    >!

    я для чистоты эксперемента убрал бы ip address 10.0.0.1 255.255.255.252 secondary
    и ip policy route-map test

    >ip default-gateway 81.1.1.2
    >ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248

    так же для чистоты эксперемента убрал бы и ip nat pool one 81.1.1.1 81.1.1.1 netmask 255.255.255.248
    >ip nat inside source list 1 pool one overload

    вместо этого написал бы ip nat inside source list 1 interface Ethernet0 overload
    >ip classless
    >ip route 0.0.0.0 0.0.0.0 81.1.1.2
    >ip http server
    >no ip http secure-server
    >!
    >!
    >access-list 1 permit 10.0.0.0 0.0.0.255

    вместо access-list 1 permit 10.0.0.0 0.0.0.255 вписал бы access-list 1 permit 10.0.1.0 0.0.0.255
    все что ниже вообще бы выкинул
    >route-map test permit 10
    > match ip address 1
    > set interface Loopback0

    ну и конечно же? обязательно debug ip nat
    при такой конфигурации ми получим чистый НАТ без всяких излишиств.
    если заработает начинаем усложнять по надобности.

    Ответить | Сообщить модератору
  • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! teebot, 17:57 , 24-Июл-07 (2)
    да, забыл
    >Имеется 837-я циска. Напомню ее конфиг: 1 адсл порт и 4 езернета,
    >работающих как свич. В одну дырку e1 вставлен провод провайдера, е2
    >идет во внутреннюю сеть.

    на е2 наверное нужно повесить ИП локалки
    в зависимости от этого выставлять ИП на хосте
    а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0

    и еще
    в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска 252

    Ответить | Сообщить модератору
    • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! sergey_privacy, 12:04 , 25-Июл-07 (4)
      >на е2 наверное нужно повесить ИП локалки

      Я бы с удовольствием, но физические порты fe1-fe4 работают как свич 2-го уровня и адрес на них не устанавливается.
      Filial106(config)#int faste1
      Filial106(config-if)#ip addr 10.2.2.2 255.255.255.0

      % IP addresses may not be configured on L2 links.
      Адрес "10.2.2.2" был взят просто для эксперимента.

      Для выставления адресов есть один виртуальный интерфейс e0. Чтобы циска была видна со стороны модема и из локалки на одном интерфейсе и приходится ставить оба адреса. Т.к. на порту можно установить только "inside" или "outside", то приходится начинать изврат. Есть варианты ната через интерфейс vlan, через loopback или сабинтерфейсы. На попытку создания вилана пишет:
      Filial106(config)#int vlan1
                             ^
      % Invalid input detected at '^' marker.

      Filial106(config)#int ?
        ATM                ATM interface
        Async              Async interface
        BVI                Bridge-Group Virtual Interface
        CDMA-Ix            CDMA Ix interface
        CTunnel            CTunnel interface
        Dialer             Dialer interface
        Ethernet           IEEE 802.3
        FastEthernet       FastEthernet IEEE 802.3
        Group-Async        Async Group interface
        Lex                Lex interface
        Loopback           Loopback interface
        MFR                Multilink Frame Relay bundle interface
        Multilink          Multilink-group interface
        Null               Null interface
        Tunnel             Tunnel interface
        Vif                PGM Multicast Host interface
        Virtual-PPP        Virtual PPP interface
        Virtual-Template   Virtual Template interface
        Virtual-TokenRing  Virtual TokenRing
        range              interface range command
      Судя по всему данный иос не держит вилан.

      Начинаем пробовать сабинтерфейсы:
      Filial106(config)#int e0.1
      Filial106(config-subif)#e?
      exit

      Filial106(config-subif)#?
      Interface configuration commands:
        arp             Set arp type (arpa, probe, snap) or timeout
        backup          Modify backup parameters
        bandwidth       Set bandwidth informational parameter
        bgp-policy      Apply policy propogated by bgp community string
        bridge-group    Transparent bridging interface parameters
        cdp             CDP interface subcommands
        crypto          Encryption/Decryption commands
        default         Set a command to its defaults
        delay           Specify interface throughput delay
        description     Interface specific description
        exit            Exit from interface configuration mode
        flow-sampler    Attach flow sampler to the interface
        glbp            Gateway Load Balancing Protocol interface commands
        ip              Interface Internet Protocol config commands
        keepalive       Enable keepalive
        llc2            LLC2 Interface Subcommands
        logging         Configure logging for interface
        mtu             Set the interface Maximum Transmission Unit (MTU)
        netbios         Use a defined NETBIOS access list or enable name-caching
        no              Negate a command or set its defaults
        pppoe           pppoe interface subcommands
        rate-limit      Rate Limit
        service-policy  Configure QoS Service Policy
        shutdown        Shutdown the selected interface
        snapshot        Configure snapshot support on the interface
        timeout         Define timeout values for this interface
        vrrp            VRRP Interface configuration commands
      Насколько я понимаю на сабинтерфейсах "encapsulation dot1Q" прописать не получится. Нашел в разных доках и конференциях единственный оставшийся вариант - оба реальных адреса прописать на одном интерфейсе и натить через лупбэк. На этом сайте и форуме полно примеров проброса ната через лупбэк.

      >в зависимости от этого выставлять ИП на хосте
      >а то фигурируют почему-то 2 сети 10,0,1,0 10,0,0,0

      Одна реальная сеть для соединения с циской, вторая взята с потолка для прописывания на лупбэке. Во всех найденных примерах так было написано.

      >и еще
      >в ACL (access-list 1 permit 10.0.0.0 0.0.0.255) ваилд кард неправильная если маска
      >252

      Разницы никакой, т.к. этим вилдкардом охватываются все резаные подсети, в число которых и входит 10.0.0.0 255.255.255.252

      Ответить | Сообщить модератору
  • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! ValeDenis, 18:18 , 24-Июл-07 (3)
    >[оверквотинг удален]
    >ip classless
    >ip route 0.0.0.0 0.0.0.0 81.1.1.2
    >ip http server
    >no ip http secure-server
    >!
    >!
    >access-list 1 permit 10.0.0.0 0.0.0.255
    >route-map test permit 10
    > match ip address 1
    > set interface Loopback0

    эээээ...

    ip nat inside source static 1.1.1.1 interface e1
    access-list 1 permit 10.0.0.0 0.0.0.255

    Ответить | Сообщить модератору
    • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! sergey_privacy, 14:18 , 25-Июл-07 (5)
      >ip nat inside source static 1.1.1.1 interface e1
      >access-list 1 permit 10.0.0.0 0.0.0.255

      Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0. Если можно, то поправьте мой конфиг вместо малопонятных высказываний.

      Ответить | Сообщить модератору
      • Избитая тема: NAT через 1 интерфейс Cisco 837, !*! sergey_privacy, 12:45 , 31-Июл-07 (6)
        >>ip nat inside source static 1.1.1.1 interface e1
        >>access-list 1 permit 10.0.0.0 0.0.0.255
        >
        >Это что? Что такое "1.1.1.1"? Интерфейса "e1" нет. Есть физические fe1-fe4, которые
        >работают как хаб. Адрес можно ставить только на виртуальном интерфейсе e0.
        >Если можно, то поправьте мой конфиг вместо малопонятных высказываний.

        Неужели никто не читал "Network Address Translation on a Stick"?

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру