NAT на 1811, Незнайка, 15-Май-09, 12:01 [смотреть все]Добрый день! Есть 1811, за ней локалка, на внешнем интерфейсе есть два ip адреса, необходимо настроить nat таким образом, что-бы все компьютеры выходили по основнымip, а определенные компьютеры выходили под вторым адресом в сеть. 111 правилом описываются все остальные, а в 112 только пределенные. pool external - для всех, pool east.krsk - для избранных interface Vlan101 ip address 10.51.41.8 255.255.255.224 secondary ip address 10.51.41.9 255.255.255.224 secondary ip address 10.51.41.13 255.255.255.224 secondary ip address 10.51.41.22 255.255.255.224 ip nat outside ip virtual-reassembly ip policy route-map ALL ! interface Vlan100 ip address 192.168.0.199 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.51.41.1 ! ! ip nat pool external 10.51.41.22 10.51.41.22 prefix-length 29 ip nat pool east.krsk 10.51.41.8 10.51.41.8 prefix-length 29 ! access-list 111 deny ip host 192.168.0.16 host 10.88.122.81 access-list 111 deny ip host 192.168.0.20 host 10.88.122.81 access-list 111 deny ip host 192.168.0.42 host 10.88.122.81 access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 112 permit ip host 192.168.0.16 host 10.88.122.81 access-list 112 permit ip host 192.168.0.20 host 10.88.122.81 access-list 112 permit ip host 192.168.0.42 host 10.88.122.81 access-list 112 deny ip any any log-input
|
- NAT на 1811, klin, 12:05 , 15-Май-09 (1)
>[оверквотинг удален] >! >access-list 111 deny ip host 192.168.0.16 host 10.88.122.81 >access-list 111 deny ip host 192.168.0.20 host 10.88.122.81 >access-list 111 deny ip host 192.168.0.42 host 10.88.122.81 >access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 > >access-list 112 permit ip host 192.168.0.16 host 10.88.122.81 >access-list 112 permit ip host 192.168.0.20 host 10.88.122.81 >access-list 112 permit ip host 192.168.0.42 host 10.88.122.81 >access-list 112 deny ip any any log-input Можно попобывать route-map- ами разрулить
- NAT на 1811, Незнайка, 12:06 , 15-Май-09 (2)
> >Можно попобывать route-map- ами разрулить а можно с примером, пока с роутмапами не работал
- NAT на 1811, klin, 12:15 , 15-Май-09 (3)
>> >>Можно попобывать route-map- ами разрулить > >а можно с примером, пока с роутмапами не работал примерно так route-map test permit 10 match ip address 112 set ip next-hop .... route-map test permit 20 match ip address 111 set ip next-hop ....
и на LAN интерфейс -- ip policy route-map test вот только я не знаю будет ли это работать с secondary ip
- NAT на 1811, Незнайка, 12:35 , 15-Май-09 (4)
> >вот только я не знаю будет ли это работать с secondary ip >и еще, как мне включать нат? % Warning: Next hop address is our address
- NAT на 1811, klin, 13:04 , 15-Май-09 (5)
>> >>вот только я не знаю будет ли это работать с secondary ip >> > >и еще, как мне включать нат? > >% Warning: Next hop address is our address Next hop должен быть WAN адресом
- NAT на 1811, Незнайка, 13:07 , 15-Май-09 (6)
>>> >>>вот только я не знаю будет ли это работать с secondary ip >>> >> >>и еще, как мне включать нат? >> >>% Warning: Next hop address is our address > > Next hop должен быть WAN адресом все так и сделано ip nat pool external 10.51.41.4 10.51.41.4 prefix-length 29 ip nat pool east.krsk 10.51.41.6 10.51.41.6 prefix-length 29 ip nat inside source list 111 pool external overload ip nat inside source list 112 pool east.kgm overload ! access-list 111 deny ip host 192.168.0.16 host 10.88.122.81 access-list 111 deny ip host 192.168.0.20 host 10.88.122.81 access-list 111 deny ip host 192.168.0.42 host 10.88.122.81 access-list 111 deny ip host 192.168.0.100 host 10.88.122.81 access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 111 deny ip any any log-input access-list 112 permit ip host 192.168.0.16 host 10.88.122.81 access-list 112 permit ip host 192.168.0.20 host 10.88.122.81 access-list 112 permit ip host 192.168.0.42 host 10.88.122.81 access-list 112 permit ip host 192.168.0.100 host 10.88.122.81 access-list 112 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 112 deny ip any any log-input snmp-server location Rostov-on-Don(Russia), NIIAS gateway no cdp run ! ! ! route-map test permit 10 match ip address 112 set ip next-hop 10.51.41.8 ! route-map test permit 20 match ip address 111 set ip next-hop 10.51.41.22
- NAT на 1811, klin, 13:22 , 15-Май-09 (7)
>[оверквотинг удален] >! >! >! >route-map test permit 10 > match ip address 112 > set ip next-hop 10.51.41.8 >! >route-map test permit 20 > match ip address 111 > set ip next-hop 10.51.41.22 Не понятна мне схема какую сеть или сети выделил провайдер
- NAT на 1811, Незнайка, 13:25 , 15-Май-09 (8)
>[оверквотинг удален] >>! >>route-map test permit 10 >> match ip address 112 >> set ip next-hop 10.51.41.8 >>! >>route-map test permit 20 >> match ip address 111 >> set ip next-hop 10.51.41.22 > >Не понятна мне схема какую сеть или сети выделил провайдер выделена сеть 10.51.41.0/255.255.255.224 эти адрес настроены на роутере 10.51.41.8 255.255.255.224 10.51.41.9 255.255.255.224 10.51.41.13 255.255.255.224 10.51.41.22 255.255.255.224
- NAT на 1811, klin, 14:07 , 15-Май-09 (9)
>[оверквотинг удален] >> >>Не понятна мне схема какую сеть или сети выделил провайдер > >выделена сеть 10.51.41.0/255.255.255.224 > >эти адрес настроены на роутере >10.51.41.8 255.255.255.224 >10.51.41.9 255.255.255.224 >10.51.41.13 255.255.255.224 >10.51.41.22 255.255.255.224 Какой смысл разбивать сети, зачем alias-ы на wan интерфейсе?
- NAT на 1811, Незнайка, 14:43 , 15-Май-09 (10)
>[оверквотинг удален] >> >>выделена сеть 10.51.41.0/255.255.255.224 >> >>эти адрес настроены на роутере >>10.51.41.8 255.255.255.224 >>10.51.41.9 255.255.255.224 >>10.51.41.13 255.255.255.224 >>10.51.41.22 255.255.255.224 > >Какой смысл разбивать сети, зачем alias-ы на wan интерфейсе? в смысле разбивать сети? я могу и не настраивать алиасы, моя задача сделать выход во внешнюю сеть для нескольких компьютеров под другим ип адресом, чем все остальные.
|