The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Cisco и NAT  , !*! xelaalex, 27-Май-09, 18:09  [смотреть все]
Подскажите пожалуйста, Уважаемые!
Может кто сталкивался с такой проблеммой?! На cisco 2811 сделн nat, с использованием route-map (планируется отказоустойчивость с помощью SLA). Все работает, для тех кому разрешен доступ, но за внешним интерефейсом видны пакеты источником которых является внутренняя сеть!!!! Конечно можно прикрыть с помощью ACL, но интересна причина.
!
interface GigabitEthernet0/0.12
description ISP_1
encapsulation dot1Q 12
ip address xxx.xxx.xxx.218 255.255.255.252
ip nat outside
ip virtual-reassembly
!

!
interface GigabitEthernet0/1.21
description LAN_192_168_35
encapsulation dot1Q 21
ip address 192.168.35.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.217

!

ip nat inside source route-map Test-NAT interface GigabitEthernet0/0.12 overload
!
ip access-list extended NAT_FOR_ALL_PERMIT
<определенные правила>
deny ip any any

!
route-map Test-NAT permit 10
match ip address NAT_FOR_ALL_PERMIT
match interface GigabitEthernet0/0.12
!

Ответить | Сообщить модератору
  • Cisco и NAT  , !*! sh_, 09:18 , 28-Май-09 (1)
    Ну видимо это пакеты, которые не попадають под NAT?
    Ответить | Сообщить модератору
    • Cisco и NAT  , !*! xelaalex, 11:04 , 28-Май-09 (2)
      >Ну видимо это пакеты, которые не попадають под NAT?

      Именно, но разве они имеют право на жизнь за перделами ip nat outside интерфейса?

      Ответить | Сообщить модератору
      • Cisco и NAT  , !*! sh_, 11:57 , 28-Май-09 (3)
        >>Ну видимо это пакеты, которые не попадають под NAT?
        >
        >Именно, но разве они имеют право на жизнь за перделами ip nat
        >outside интерфейса?

        Конечно имеют. А почему нет?

        Ответить | Сообщить модератору
        • Cisco и NAT  , !*! xelaalex, 12:45 , 28-Май-09 (4)
          >>>Ну видимо это пакеты, которые не попадають под NAT?
          >>
          >>Именно, но разве они имеют право на жизнь за перделами ip nat
          >>outside интерфейса?
          >>Конечно имеют. А почему нет?

          Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
          точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но не подпадающий под действие правил трансляции (в ACL последняя строчка deny ip any any)попросту маршрутизируется??? Я правильно Вас понял?

          Ответить | Сообщить модератору
          • Cisco и NAT  , !*! sh_, 14:35 , 28-Май-09 (5)
            >[оверквотинг удален]
            >>>
            >>>Именно, но разве они имеют право на жизнь за перделами ip nat
            >>>outside интерфейса?
            >>>Конечно имеют. А почему нет?
            >
            >Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
            >
            >точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
            >не подпадающий под действие правил трансляции (в ACL последняя строчка deny
            >ip any any)попросту маршрутизируется??? Я правильно Вас понял?

            Угу...

            Ответить | Сообщить модератору
            • Cisco и NAT  , !*! xelaalex, 14:45 , 28-Май-09 (6)
              >[оверквотинг удален]
              >>>>outside интерфейса?
              >>>>Конечно имеют. А почему нет?
              >>
              >>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
              >>
              >>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
              >>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
              >>ip any any)попросту маршрутизируется??? Я правильно Вас понял?
              >
              >Угу...

              Большое спасибо за разъяснение!

              Ответить | Сообщить модератору
          • Cisco и NAT  , !*! GolDi, 14:57 , 28-Май-09 (7)
            >[оверквотинг удален]
            >>>
            >>>Именно, но разве они имеют право на жизнь за перделами ip nat
            >>>outside интерфейса?
            >>>Конечно имеют. А почему нет?
            >
            >Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
            >
            >точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
            >не подпадающий под действие правил трансляции (в ACL последняя строчка deny
            >ip any any)попросту маршрутизируется??? Я правильно Вас понял?

            Интересно что за пакеты улетают за outside после deny ip any any - пакеты канального уровня?

            Ответить | Сообщить модератору
            • Cisco и NAT  , !*! SergTel, 14:57 , 29-Май-09 (8)
              >[оверквотинг удален]
              >>>>Конечно имеют. А почему нет?
              >>
              >>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и
              >>
              >>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но
              >>не подпадающий под действие правил трансляции (в ACL последняя строчка deny
              >>ip any any)попросту маршрутизируется??? Я правильно Вас понял?
              >
              >Интересно что за пакеты улетают за outside после deny ip any any
              >- пакеты канального уровня?

              Просто фильтры на исходящие пакеты не стоят, а нат ставится обычно на дефолтовый рутер
              вот и летят пакеты из локальных адресов к провайдеру

              Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру