The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
помогите разобраться с NAT!, !*! Tolic, 09-Окт-12, 18:01  [смотреть все]
Возникла просьба помочь по ситуации приведенной в конфигурации ниже:
Просьба обратить внимание на трансляцию (NAT) хоста 192.168.22.50, которая в принципе не должна быть. Для решения данной проблемы переделывал ACL для NAT, а также менял иос. В самом низу видна версия иос-ов хранящихся на flash-е, которые я использовал, но безрезультатно.  Вообщем думаю это какой-то "баг" иос-ов.

interface FastEthernet0/0
description <<< LAN >>>
ip address 192.168.17.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto

interface Vlan100
description <<< WAN to Fil 1 and Fil 2>>>
ip address 192.168.14.6 255.255.255.252
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1300
crypto map exim

ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
ip nat inside source list NAT pool POOL
ip access-list extended NAT
deny   ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255 <<Fil 1>>
permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255  <<Fil 2>>

ip route 192.168.8.0 255.255.255.0 192.168.14.5
ip route 192.168.24.0 255.255.255.0 192.168.14.5

Router#sh ip nat tr | i 192.168.22.50
tcp 192.168.235.18:4072   192.168.22.50:4072   192.168.8.68:8225     192.168.8.68:8225
tcp 192.168.235.18:4081   192.168.22.50:4081   192.168.8.68:8225     192.168.8.68:8225
tcp 192.168.235.28:4085   192.168.22.27:4085   192.168.24.100:8213   192.168.24.100:8213

Router#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(24)T7, RELEASE SOFTWARE (fc2)

Card_Dep_N_Of#sh fla
-#- --length-- -----date/time------ path
1     34393424 Sep 06 2012 05:23:06 c1841-advsecurityk9-mz.124-24.T7.bin
2         2746 Apr 08 2008 23:24:52 sdmconfig-18xx.cfg
3       931840 Apr 08 2008 23:25:12 es.tar
4      1505280 Apr 08 2008 23:25:38 common.tar
5         1038 Apr 08 2008 23:26:00 home.shtml
6       112640 Apr 08 2008 23:26:20 home.tar
7       527849 Apr 08 2008 23:26:40 128MB.sdf
8          720 Feb 10 2009 07:44:10 vlan.dat
9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin

Ответить | Сообщить модератору
  • помогите разобраться с NAT!, !*! Merridius, 21:16 , 09-Окт-12 (1)
    >[оверквотинг удален]
    > 4      1505280 Apr 08 2008 23:25:38 common.tar
    > 5         1038 Apr 08
    > 2008 23:26:00 home.shtml
    > 6       112640 Apr 08 2008 23:26:20
    > home.tar
    > 7       527849 Apr 08 2008 23:26:40
    > 128MB.sdf
    > 8          720 Feb
    > 10 2009 07:44:10 vlan.dat
    > 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin

    Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.

    Ответить | Сообщить модератору
    • помогите разобраться с NAT!, !*! Tolic, 11:15 , 10-Окт-12 (2)
      >[оверквотинг удален]
      >> 5         1038 Apr 08
      >> 2008 23:26:00 home.shtml
      >> 6       112640 Apr 08 2008 23:26:20
      >> home.tar
      >> 7       527849 Apr 08 2008 23:26:40
      >> 128MB.sdf
      >> 8          720 Feb
      >> 10 2009 07:44:10 vlan.dat
      >> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
      > Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.

      Я тоже думал сделать NAT через route-map, но у меня один и тот же шлюз и один и тот же интерфейс в 2 направления.
      Т.е. раньше было по направлению 1 без NAT-a
      По направлению 2 через NAT. Но периодически появлялись записи трансляций по направлению 1, то чего не должно быть. Затем я сделал, чтобы и по направлению 1 и 2 все работало через NAT, но появились сети, которые не нужно транслировать у же по направлению 2 и снова начали появляться записи трансляций.
      Вообщем как сделать, чтобы все работало по двум направлениям и при этом ACL-ами указывать транслировать сеть или нет по двум направлениям и через один шлюз я не знаю.

      Ответить | Сообщить модератору
    • помогите разобраться с NAT!, !*! GolDi, 11:27 , 10-Окт-12 (6)
      >[оверквотинг удален]
      >> 5         1038 Apr 08
      >> 2008 23:26:00 home.shtml
      >> 6       112640 Apr 08 2008 23:26:20
      >> home.tar
      >> 7       527849 Apr 08 2008 23:26:40
      >> 128MB.sdf
      >> 8          720 Feb
      >> 10 2009 07:44:10 vlan.dat
      >> 9     21169140 Sep 17 2010 03:58:48 c1841-advsecurityk9-mz.124-25c.bin
      > Встречал недавно похожую проблему, попробуйте использовать route-map, вместо ACL для ната.

      Что-то pool у вас как-то криво задан
      ip nat pool POOL 192.168.235.1 192.168.225.254 netmask 255.255.255.0
                               ^^^           ^^^

      Ответить | Сообщить модератору
  • помогите разобраться с NAT!, !*! McS555, 11:19 , 10-Окт-12 (3)
    а лог что показывает??
    Ответить | Сообщить модератору
    • помогите разобраться с NAT!, !*! McS555, 11:24 , 10-Окт-12 (4)
      > а лог что показывает??

      О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )

      Пользуй  Vlan100 overload

      Ответить | Сообщить модератору
      • помогите разобраться с NAT!, !*! McS555, 11:25 , 10-Окт-12 (5)
        >> а лог что показывает??
        > О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
        > Пользуй  Vlan100 overload

        Ну и acl куда кому можно так и "рули"

        ip nat inside source list NAT interface Vlan100 overload
        ip access-list extended NAT
        permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255

        Ответить | Сообщить модератору
        • помогите разобраться с NAT!, !*! Tolic, 16:20 , 10-Окт-12 (7)
          >>> а лог что показывает??
          >> О. Вспомнил! Была "лажа". В POLL (не мог корректно настроить )
          >> Пользуй  Vlan100 overload
          > Ну и acl куда кому можно так и "рули"
          > ip nat inside source list NAT interface Vlan100 overload
          > ip access-list extended NAT
          > permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255

          Попробовал сделать через crypto-map-ы, но результат такой же:

          ip nat pool POOL_Fil1 192.168.235.0 192.168.235.62 netmask 255.255.255.192
          ip nat pool POOL_Fil2 192.168.235.65 192.168.235.126 netmask 255.255.255.192

          ip nat inside source route-map Fil1 pool POOL_Fil1
          ip nat inside source route-map Fil2 pool POOL_Fil2

          ip access-list extended NATFil1
          deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
          permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255

          ip access-list extended NATFil2
          permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255

          route-map Fil1 permit 10
          match ip address NATFil1
          set ip next−hop 192.168.14.5

          route-map Fil2 permit 10
          match ip address NATFil2
          set ip next−hop 192.168.14.5

          Ответить | Сообщить модератору
          • помогите разобраться с NAT!, !*! Merridius, 17:03 , 10-Окт-12 (8)
            >[оверквотинг удален]
            > deny ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
            > permit ip 192.168.22.0 0.0.0.255 192.168.24.0 0.0.0.255
            > ip access-list extended NATFil2
            >  permit ip 192.168.22.0 0.0.0.255 192.168.8.0 0.0.0.255
            > route-map Fil1 permit 10
            > match ip address NATFil1
            > set ip next−hop 192.168.14.5
            > route-map Fil2 permit 10
            > match ip address NATFil2
            > set ip next−hop 192.168.14.5

            В такой конфигурации вы используете Dynamic NAT, а вам наверное нужно PAT, для этого пишите команду overload в правиле ip nat inside.

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру