- NAT и два роута в инет., Дмитрий, 15:01 , 19-Май-10 (1)
NAT с route-maps. Или Вам пример?
- NAT и два роута в инет., Che_Guevara, 15:06 , 19-Май-10 (2)
>NAT с route-maps. >Или Вам пример? Да, да. с route-maps.
- NAT и два роута в инет., Дмитрий, 15:32 , 19-Май-10 (3)
Я бы сделал примерно так. (исхожу из той информации, которой располагаю)interface Fa0/0 ip addr 91.ххх.ххх.70 interface Fa0/1 ip addr 109.ххх.ххх.222 ! ip nat inside source route-map ONE interface Fa0/0 overload ip nat inside source route-map TWO interface Fa0/1 overload ! (для одного из них надо выставить метрику похуже, к примеру 10) ip route 0.0.0.0 0.0.0.0 [шлюз для 91.ххх.ххх.70] ip route 0.0.0.0 0.0.0.0 [шлюз для 109.ххх.ххх.222] ! access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip 192.168.2.0 0.0.0.255 any ! route-map ONE permit 1 match ip address 100 set ip next-hop [шлюз для 91.ххх.ххх.70] ! route-map TWO permit 1 match ip address 101 set ip next-hop [шлюз для 109.ххх.ххх.222] Если в чем то не прав, коллегии поправят надеюсь. :)
- NAT и два роута в инет., Che_Guevara, 16:41 , 19-Май-10 (4)
>[оверквотинг удален] > match ip address 100 > set ip next-hop [шлюз для 91.ххх.ххх.70] >! >route-map TWO permit 1 > match ip address 101 > set ip next-hop [шлюз для 109.ххх.ххх.222] > > > >Если в чем то не прав, коллегии поправят надеюсь. :)Ооо, спасибо. попробую нука. А ip nat outside'ы и inside'ы так же прописывать на соотвествующих интерфейсах?
- NAT и два роута в инет., Дмитрий, 16:52 , 19-Май-10 (5)
- NAT и два роута в инет., Che_Guevara, 21:22 , 19-Май-10 (6)
>Конечно! ) Спасибо )))) работает. я сделал теперь два VPDN-GROUP'a (1 и 2) и два интерфейса виртуальных под них (Virtual-Tempalet1 и 2). Радиуса нет ((( пока локальные авторизации использую. незнаю как сделать чтоб под одного скажем username test1 был а на другой username test2 авторизировался. (((
- NAT и два роута в инет., Дмитрий, 10:30 , 20-Май-10 (7)
>я сделал теперь два VPDN-GROUP'a (1 и 2) и два интерфейса виртуальных >под них (Virtual-Tempalet1 и 2). Радиуса нет ((( пока локальные авторизации >использую. незнаю как сделать чтоб под одного скажем username test1 был >а на другой username test2 авторизировался. ((( А можно в этом месте по подробнее?
- NAT и два роута в инет., Che_Guevara, 15:25 , 20-Май-10 (8)
>>я сделал теперь два VPDN-GROUP'a (1 и 2) и два интерфейса виртуальных >>под них (Virtual-Tempalet1 и 2). Радиуса нет ((( пока локальные авторизации >>использую. незнаю как сделать чтоб под одного скажем username test1 был >>а на другой username test2 авторизировался. ((( > >А можно в этом месте по подробнее? Прошу прощения, возвращаюсь к начальной теме. Вчера я все с конфигил удалено на роутере. трансляция с 91.ххх.ххх.70 идет все нормально. Но с 109.ххх.ххх.222 не идет (( пропинговал от имент локального айпи, c роутера идет: Cisco_#ping mail.ru source 192.168.7.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 144/148/152 ms а с хоста не идет ((( вот конфиг. interface FastEthernet0/0.5 description from_DSLAM encapsulation dot1Q 5 ip address 192.168.7.1 255.255.255.248 secondary ip address 192.168.1.12 255.255.255.0 <<<<<<<<<<<<s etih ip adresov vse norm prohodit ip nat inside no snmp trap link-status ! interface FastEthernet0/0.22 encapsulation dot1Q 22 ip address 91.ххх.ххх.70 255.255.255.240 ip nat outside no snmp trap link-status ! interface FastEthernet0/0.24 encapsulation dot1Q 24 ip address 109.ххх.ххх.222 255.255.255.252 ip nat outside no snmp trap link-status ! ip nat inside source route-map 100 interface FastEthernet0/0.22 overload ip nat inside source route-map 101 interface FastEthernet0/0.24 overload ! ip route 0.0.0.0 0.0.0.0 91.ххх.ххх.65 ip route 0.0.0.0 0.0.0.0 109.ххх.ххх.221 10 ! access-list 100 permit ip 192.168.1.0 0.0.0.255 any access-list 101 permit ip 192.168.7.0 0.0.0.255 any ! route-map 101 permit 1 match ip address 101 set ip next-hop 109.ххх.ххх.221 ! route-map 100 permit 1 match ip address 100 set ip next-hop 91.ххх.ххх.65 ! Cisco_#ping mail.ru source 192.168.7.1 Translating "mail.ru"...domain server (91.200.216.2) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 217.69.128.45, timeout is 2 seconds: Packet sent with a source address of 192.168.7.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 144/146/152 ms смотрю трансляцию: Cisco_#sh ip nat translations Pro Inside global Inside local Outside local Outside global icmp 109.ххх.ххх.222:269 192.168.7.1:269 217.69.128.45:269 217.69.128.45:269 пингую с хоста, в трансляции ничего нет :(((
- NAT и два роута в инет., Дмитрий, 15:37 , 20-Май-10 (9)
а с хоста 192.168.7.1 и 109.ххх.ххх.222 пигнабельны?>icmp 109.ххх.ххх.222:269 192.168.7.1:269 217.69.128.45:269 > 217.69.128.45:269 это уже хорошо. С масками ничего не намудрили?
- NAT и два роута в инет., Che_Guevara, 15:43 , 20-Май-10 (10)
>а с хоста 192.168.7.1 и 109.ххх.ххх.222 пигнабельны? > >>icmp 109.ххх.ххх.222:269 192.168.7.1:269 217.69.128.45:269 >> 217.69.128.45:269 > >это уже хорошо. > >С масками ничего не намудрили? да, пингуются с 192,168,7,1 т 109.ххх.ххх.222. Нет :( на компе айпи 192,168,7,3 шлюз 192,168,7,1 (( маска 255,255,255,0 (
- NAT и два роута в инет., Дмитрий, 15:55 , 20-Май-10 (11)
можно сделать debug ip nat, если Cisco не сильно нагружена.
- NAT и два роута в инет., Che_Guevara, 16:14 , 20-Май-10 (12)
>можно сделать debug ip nat, если Cisco не сильно нагружена. вот ( *Apr 8 13:25:28.543 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=95.24.215.25 [11031] *Apr 8 13:25:28.543 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=93.81.20.4 [11032] *Apr 8 13:25:28.543 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=91.76.230.82 [11033] *Apr 8 13:25:28.543 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=85.249.75.10 [11034] *Apr 8 13:25:28.667 UTC: NAT*: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [31806] *Apr 8 13:25:28.679 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [33166] *Apr 8 13:25:28.747 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63059] *Apr 8 13:25:29.055 UTC: NAT*: s=64.12.28.150, d=91.200.217.70->192.168.3.2 [54230] *Apr 8 13:25:29.055 UTC: NAT: s=192.168.3.2->91.200.217.70, d=64.12.28.150 [11088] *Apr 8 13:25:30.147 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [33438] *Apr 8 13:25:30.167 UTC: NAT*: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [32215] *Apr 8 13:25:30.191 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63183] *Apr 8 13:25:31.655 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [33687] *Apr 8 13:25:31.679 UTC: NAT*: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [32541] *Apr 8 13:25:31.703 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63334] *Apr 8 13:25:32.967 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=95.24.215.25 [11209] *Apr 8 13:25:32.967 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=93.81.20.4 [11210] *Apr 8 13:25:32.967 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=91.76.230.82 [11211] *Apr 8 13:25:32.967 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=85.249.75.10 [11212] *Apr 8 13:25:33.103 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [33924] *Apr 8 13:25:33.171 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63458] *Apr 8 13:25:34.579 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=95.24.215.25 [11261] *Apr 8 13:25:34.579 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=93.81.20.4 [11262] *Apr 8 13:25:34.579 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=91.76.230.82 [11263] *Apr 8 13:25:34.579 UTC: NAT: s=192.168.7.3->109.xxx.xxx.222, d=85.249.75.10 [11264] *Apr 8 13:25:34.711 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [34154] *Apr 8 13:25:34.783 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63584] *Apr 8 13:25:36.083 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [34409] *Apr 8 13:25:36.127 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63725] *Apr 8 13:25:36.175 UTC: NAT*: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [1000] *Apr 8 13:25:37.591 UTC: NAT*: s=85.249.75.10, d=109.xxx.xxx.222->192.168.7.3 [34653] *Apr 8 13:25:37.639 UTC: NAT*: s=91.76.230.82, d=109.xxx.xxx.222->192.168.7.3 [63898] *Apr 8 13:25:37.687 UTC: NAT*: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [1329] *Apr 8 13:25:48.171 UTC: NAT: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [4263] *Apr 8 13:25:49.699 UTC: NAT: s=93.81.20.4, d=109.xxx.xxx.222->192.168.7.3 [4722] *Apr 8 13:26:27.459 UTC: NAT: expiring 91.200.217.70 (192.168.3.2) tcp 3664 (3664) *Apr 8 13:26:29.055 UTC: NAT: expiring 91.200.217.70 (192.168.3.2) tcp 3691 (3691) *Apr 8 13:26:32.967 UTC: NAT: expiring 109.xxx.xxx.222 (192.168.7.3) tcp 1200 (1200) *Apr 8 13:26:34.579 UTC: NAT: expiring 109.xxx.xxx.222 (192.168.7.3) tcp 1204 (1204)
- NAT и два роута в инет., Дмитрий, 16:38 , 20-Май-10 (13)
А НАТ то работает судя по дебагу. Чтобы исключить фактор глюка ПК. У Вас есть возможность с другого ПК сделать пинг и трейс? Пока больше нет идей.
- NAT и два роута в инет., Che_Guevara, 10:51 , 21-Май-10 (14)
>А НАТ то работает судя по дебагу. >Чтобы исключить фактор глюка ПК. У Вас есть возможность с другого ПК >сделать пинг и трейс? >Пока больше нет идей. Проверил с другого компа. Сеть пингует с сети 192,168,4,0 пакеты идут через шлюз 91,ххх.ххх.65. Т.е. оба транслируюися через роут по умолчанию: ip route 0.0.0.0 0.0.0.0 91.xxx.xxx.65. Наверное нужно делать policy-routing.
- NAT и два роута в инет., Дмитрий, 12:12 , 21-Май-10 (15)
>Наверное нужно делать policy-routing. Похоже не то.
|