Новые ответы

Проблема с NAT на 2951,

install, 13-Авг-14, 06:45 [смотреть все]

  Здравствуйте уважаемые.
  Столкнулся с непонятным поведением NAT-а в cisco.
  Исходые данные:
Cisco 2951
IOS c2951-universalk9_npe-mz.SPA.152-4.M5.bin
  2 провайдера X и Y, X – основной, резервирование на Y не нужно. От каждого провайдера имею: сеть точка-точка для организации подключения, и по 1 блоку реальных адресов /29, расположенных в локалке. Так же в локалке бегает 192.168.1.0/24. В сторону Y маршрутизируется какое-то число сетей провайдера Y и сети 172.0.0.0/8.
Требуется:
в направлении X выпускать без трансляции X.X.141.208/29 и натировать 192.168.1.0/24.
в направлении Y выпускать без трансляции Y.Y.16.64/29, натировать X.X.141.208/29 и 192.168.1.0/24.
Конфигурация cisco:
  G0/0 подключен транком к catalys-у, тут все работает.
  На G0/2 висит несколько адресаций, так и должно быть.
interface GigabitEthernet0/0.10
description "Link to X"
encapsulation dot1Q 10
ip address X.X.151.138 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/0.11
description "Link to Y"
encapsulation dot1Q 11
ip address Y.Y.95.42 255.255.255.252
ip accounting output-packets
ip nat outside
!
interface GigabitEthernet0/2
ip address 192.168.1.1 255.255.255.0  secondary
ip address Y.Y.16.70 255.255.255.248 secondary
ip address X.X.141.209 255.255.255.248
ip accounting output-packets
ip nat inside
!
ip nat inside source list 10 interface GigabitEthernet0/0.10 overload
ip nat inside source list 11 interface GigabitEthernet0/0.11 overload
ip route 0.0.0.0 0.0.0.0 X.X.151.137
ip route 0.0.0.0 0.0.0.0 Null0 255
ip route 172.0.0.0 255.0.0.0 Y.Y.95.41
ip route Y.Y.65.0 255.255.248.0 Y.Y.95.41
!
access-list 10 permit 192.168.1.0 0.0.0.254
access-list 11 permit 192.168.1.0 0.0.0.254
access-list 11 permit X.X.141.208 0.0.0.7
  С cisco прекрасно видно и внешний мир через X и сети провайдера Y, включая 172.0.0.0/8
  Теперь описание проблемы.
  При включении  на GigabitEthernet0/2  «ip nat inside» с адресов X.X.141.208/29 внешний мир через X пропадает, но зато есть доступность к сетям Y. И при этом в ACL 10 должно стоять «permit any», что совсем нехорошо, но иначе 192.168.1.0/24 вообще никуда не ходит.
  Пробовал ставить ACL с 100 номера — бесполезно.
  Пробовал назначать пулы адресов — та же самая картина.
  Может еще какой параметр надо включить? Гугление выдает практически одно и то же, на cisco.com описана такая-же конфигурация, только без secondary на локальном интерфейсе.
З.Ы.: похожая конфигурация, только с одной трансляцией в сторону Y работает на cisco 2811 с ios 12.x – никаких проблем нет.

Ответить | Сообщить модератору

Проблема с NAT на 2951, Andrey, 14:57 , 13-Авг-14 (1)
Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора. После этого разбирайтесь с NAT.
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 15:44 , 13-Авг-14 (3)
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.
К делу отношения не имеет.
Ответить | Сообщить модератору
Проблема с NAT на 2951, install, 02:44 , 14-Авг-14 (5)
> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
> После этого разбирайтесь с NAT.
Неправильно это, не должно быть так сложно.
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 07:08 , 14-Авг-14 (7)
>> Вынесите secondary с Gi0/2 на сабинтерфейсы или на другие физические интерфейсы маршрутизатора.
>> После этого разбирайтесь с NAT.
> Неправильно это, не должно быть так сложно.
Неправильно засовывать в один сегмент машины пользователей и серверы с реальными IP.
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 15:43 , 13-Авг-14 (2)
>   Здравствуйте уважаемые.
>   Столкнулся с непонятным поведением NAT-а в cisco.
>   Исходые данные:
Использовать ip nat inside route-map ..
в роутмапах кроме аксес листов матчить еще исходящий интерфейс
Ответить | Сообщить модератору

Проблема с NAT на 2951, install, 02:43 , 14-Авг-14 (4)
> Использовать ip nat inside route-map ..
> в роутмапах кроме аксес листов матчить еще исходящий интерфейс
Да уж, больше ничего не остается. Только странно: cisco мощная шелезяка, но не справиться с простым NAT-ом - очень странно...
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 07:06 , 14-Авг-14 (6)
>> Использовать ip nat inside route-map ..
>> в роутмапах кроме аксес листов матчить еще исходящий интерфейс
> Да уж, больше ничего не остается. Только странно: cisco мощная
> шелезяка, но не справиться с простым NAT-ом - очень странно...
Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
Ответить | Сообщить модератору

Проблема с NAT на 2951, install, 08:25 , 14-Авг-14 (8)
> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
Вот тут-то и вопрос: что неправильно настроено?
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 08:31 , 14-Авг-14 (9)
>> Что значит "не справляется" ? Отлично справляется, когда настраиваешь как положено.
> Вот тут-то и вопрос: что неправильно настроено?
Когда "наружу" два и более выходов, нужно использовать не "ip nat inside source list ..."
а "ip nat inside source route-map ...". Внутри route-map матчить тот самый лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять странно, но уж как есть.
Ответить | Сообщить модератору

Проблема с NAT на 2951, install, 10:19 , 14-Авг-14 (10)
> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
> source list ..."
> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
> странно, но уж как есть.
Спасибо за подсказку.
Ответить | Сообщить модератору

Проблема с NAT на 2951, ShyLion, 11:42 , 14-Авг-14 (11)
>> Когда "наружу" два и более выходов, нужно использовать не "ip nat inside
>> source list ..."
>> а "ip nat inside source route-map ...". Внутри route-map матчить тот самый
>> лист И исходящий интерфейс. Это просто особенность настройки. Да, может выглять
>> странно, но уж как есть.
> Спасибо за подсказку.
Получилось?
Ответить | Сообщить модератору