Новые ответы

NAS: проблема с маршрутизацией или NAT.,

Аеро, 16-Май-11, 18:24 [смотреть все]

Имею 7204vxr. Из железяки делаю NAS для абонентов PPPoE: VLAN219, кучка пользователей, aaa работает нормально. Если абоненту атрибутом присваивается реальный адрес, то вопросов не возникает. Но если назначается серый, например, из сети 10.99.1.0/24 то пингуются все адреса в VLAN184 (интерфейс fa0/0.184), но выше пакеты не уходят (не происходит маршрутизации по правилу ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.14).
Маршрутизация статических адресов из class-c (блок 256 реальных адресов) сети происходит нормально, через адрес на fa0/0.184 и далее уходит по выше обозначеному правилу.
Подскажите, где в конфиге допущена ошибка?
7204_XXXXX_NAS#sh run
Building configuration...
Current configuration : 6063 bytes
!
! Last configuration change at 07:59:56 YSD Sun May 15 2011 by aerounit
! NVRAM config last updated at 22:14:04 YSD Wed May 11 2011 by aerounit
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname 7204_XXXXX_NAS
!
boot-start-marker
boot system flash disk0:c7200-is-mz.123-26.bin
boot-end-marker
!
enable secret 5 $1$K7hB$OIQLs1RSPdv37Tbu9WA/p.
!
clock timezone XXXXX 9
clock summer-time YSD recurring last Sun Mar 2:00 last Sun Oct 2:00
clock calendar-valid
aaa new-model
aaa session-mib disconnect
!
!
aaa group server radius xxxxxxx
server XXX.XXX.XXX.XXX auth-port XXXXX acct-port XXXXX
!
aaa authentication username-prompt Login:
aaa authentication login default local
aaa authentication ppp xxxxxxx group xxxxxxx
aaa authorization network xxxxxxx group xxxxxxx
aaa accounting delay-start
aaa accounting update periodic 5
aaa accounting network xxxxxxx start-stop group xxxxxxx
aaa nas port extended
aaa pod server port XXXX auth-type any server-key xxxxxxxxxxxxx
aaa session-id common
ip subnet-zero
!
!
no ip cef
ip name-server xxxxxxxxxxxx
ip name-server xxxxxxxxxxxx
ip name-server xxxxxxxxxxxx
!
virtual-profile virtual-template 2
vpdn enable
!
vpdn-template 1
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
!
!
!
!
!
!
!
!
username xxxxxxxxxxxx privilege 15 password 7 xxxxxxxxxxxx
username xxxxxxxxxxxx password 7 xxxxxxxxxxxx
!
!
!
class-map match-any Best-Effort
  match protocol http
  match protocol secure-http
  match protocol pptp
  match protocol telnet
  match protocol ssh
  match protocol pop3
  match protocol smtp
  match protocol imap
  match protocol dns
  match protocol ntp
class-map match-any Real-Time
  match protocol rtp
!
!
policy-map QoS
  class Real-Time
   priority percent 25
   set ip precedence 5
  class Best-Effort
   bandwidth percent 40
   set ip precedence 1
  class class-default
   fair-queue
!
!
!
bba-group pppoe global
virtual-template 2
ac name XXXXX_nas1
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
no ip mroute-cache
duplex auto
speed auto
max-reserved-bandwidth 90
service-policy output QoS
!
interface FastEthernet0/0.184
description *** class-c ***
encapsulation dot1Q 184
ip address XXX.XXX.xxx.1 255.255.255.240
ip nat outside
!
interface FastEthernet0/0.201
description *** management ***
encapsulation dot1Q 201
ip address 192.168.254.200 255.255.255.0
!
interface FastEthernet0/0.210
description *** PPPoE access ***
encapsulation dot1Q 210
ip address 192.168.4.1 255.255.255.0
!
!
interface FastEthernet0/0.219
description *** test ***
encapsulation dot1Q 219
ip address 172.16.1.1 255.255.255.0
pppoe enable group global
no cdp enable
!
interface FastEthernet0/0.300
description *** PPPoE access ***
encapsulation dot1Q 300
shutdown
pppoe enable
!
interface FastEthernet0/0.470
description *** TTK-XXXXX ***
encapsulation dot1Q 470
ip address XXX.XXX.XXX.14 255.255.255.252
no ip mroute-cache
!
interface FastEthernet0/1
description ttk Public Inet internal
no ip address
ip route-cache policy
ip route-cache flow
duplex full
speed 100
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0.201
peer default ip address pool mgmnt
no keepalive
!
interface Virtual-Template2
ip unnumbered Loopback0
ip nat inside
no peer default ip address
ppp authentication chap callin xxxxxxx
ppp authorization xxxxxxx
ppp accounting xxxxxxx
ppp ipcp dns XXX.XXX.XXX.6 XXX.XXX.XXX.2
max-reserved-bandwidth 90
!
ip local pool mgmnt 192.168.254.250 192.168.254.254
ip nat inside source list NAT interface FastEthernet0/0.184 overload
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.14
no ip http server
!
!
!
ip access-list extended NAT
permit ip 10.99.0.0 0.0.255.255 any
ip radius source-interface FastEthernet0/0.184
!
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute 31 mac format ietf
radius-server configure-nas
radius-server host XXX.XXX.XXX.XXX auth-port XXXXX acct-port XXXXX non-standard key 7 XXXXxxxxxxXXXXXx
radius-server timeout 30
radius-server vsa send accounting
radius-server vsa send authentication
!
!
dial-peer cor custom
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
password 7 XXXXxxxxxxXXXXXx
login authentication CONSOLE
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 20 0
!
ntp clock-period 17179953
ntp master
ntp server 93.185.187.89
ntp server 195.200.216.144 prefer
ntp server 212.192.253.178
ntp server 84.52.68.212
!
end
7204_XXXXX_NAS#

Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Merridius, 21:26 , 16-Май-11 (1)
покажите sh ip route когда ктонибудь подключен по пппое
и что говорит sh ip nat statistic тоже покажите
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Merridius, 21:29 , 16-Май-11 (2)
> покажите sh ip route когда ктонибудь подключен по пппое
> и что говорит sh ip nat statistic тоже покажите
да и попробуйте ip nat inside на loopback0 выставить
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Аеро, 03:28 , 17-Май-11 (3)
>> покажите sh ip route когда ктонибудь подключен по пппое
>> и что говорит sh ip nat statistic тоже покажите
> да и попробуйте ip nat inside на loopback0 выставить
#sh ip nat statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
Outside interfaces:
  FastEthernet0/0.184
Inside interfaces:
  Virtual-Template2, Virtual-Access16
Hits: 7051  Misses: 2102
Expired translations: 2100
Dynamic mappings:
-- Inside Source
[Id: 4] access-list NAT interface FastEthernet0/0.184 refcount 1
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is YYY.YYY.YYY.13 to network 0.0.0.0
     XXX.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
S       XXX.XXX.XXX.248/29 [1/0] via XXX.XXX.XXX.2
C       XXX.XXX.XXX.0/28 is directly connected, FastEthernet0/0.184
C      XXX.XXX.XXX.28/30 is directly connected, FastEthernet0/0.218
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.1.0 is directly connected, FastEthernet0/0.219
     YYY.YYY.0.0/30 is subnetted, 1 subnets
C       YYY.YYY.YYY.12 is directly connected, FastEthernet0/0.470
C    192.168.4.0/24 is directly connected, FastEthernet0/0.210
     10.0.0.0/32 is subnetted, 2 subnets
C       10.0.0.1 is directly connected, Loopback0
C       10.75.1.12 is directly connected, Virtual-Access16
C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
(YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
ip nat inside вешал loopback0, но эффекта не произоло (да и не должно).
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:15 , 17-Май-11 (4)
>[оверквотинг удален]
> C       YYY.YYY.YYY.12 is directly connected, FastEthernet0/0.470
> C    192.168.4.0/24 is directly connected, FastEthernet0/0.210
>      10.0.0.0/32 is subnetted, 2 subnets
> C       10.0.0.1 is directly connected, Loopback0
> C       10.75.1.12 is directly connected, Virtual-Access16
> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
> ip nat inside вешал loopback0, но эффекта не произоло (да и не
> должно).
ip nat inside надо вешать на Vi!!!!! интерфейсах!
Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.

Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 10:03 , 17-Май-11 (5)
>[оверквотинг удален]
>>      10.0.0.0/32 is subnetted, 2 subnets
>> C       10.0.0.1 is directly connected, Loopback0
>> C       10.75.1.12 is directly connected, Virtual-Access16
>> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
>> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
>> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
>> ip nat inside вешал loopback0, но эффекта не произоло (да и не
>> должно).
> ip nat inside надо вешать на Vi!!!!! интерфейсах!
> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.
Перечитайте тред с ноля по строчно.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 11:26 , 17-Май-11 (6)
>[оверквотинг удален]
>>>      10.0.0.0/32 is subnetted, 2 subnets
>>> C       10.0.0.1 is directly connected, Loopback0
>>> C       10.75.1.12 is directly connected, Virtual-Access16
>>> C    192.168.254.0/24 is directly connected, FastEthernet0/0.201
>>> S*   0.0.0.0/0 [1/0] via YYY.YYY.YYY.13
>>> (YYY.YYY.YYY.YYY - ip-сеть присоединения на площадке ТТК)
>>> ip nat inside вешал loopback0, но эффекта не произоло (да и не
>>> должно).
>> ip nat inside надо вешать на Vi!!!!! интерфейсах!
>> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.
Это замечание насчет лупбека, в том плане что вешать ip nat inside на ем бесполезно :)
> Перечитайте тред с ноля по строчно.
Уже перечитал...

ip access-list extended NAT
permit ip 10.99.0.0 0.0.255.255 any

C       10.75.1.12 is directly connected, Virtual-Access16
IP, выданный на Virtual-Access16 не попадает в NAT...
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 11:55 , 17-Май-11 (7)
>[оверквотинг удален]
>>> ip nat inside надо вешать на Vi!!!!! интерфейсах!
>>> Толи атрибутом радиуса передавать, толи прямо в virtual-template прописать.
> Это замечание насчет лупбека, в том плане что вешать ip nat inside
> на ем бесполезно :)
>> Перечитайте тред с ноля по строчно.
> Уже перечитал...
> ip access-list extended NAT
> permit ip 10.99.0.0 0.0.255.255 any
> C 10.75.1.12 is directly connected, Virtual-Access16
> IP, выданный на Virtual-Access16 не попадает в NAT...
ммм... фигово замаскировал. Все правильно, просто в конфе был 10.75.*.*, стал 10.99.*.*
Так что попадает
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Аеро, 04:24 , 18-Май-11 (8)
> покажите sh ip route когда ктонибудь подключен по пппое
> и что говорит sh ip nat statistic тоже покажите
Больше никто не изъявит желание помочь?
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 14:29 , 18-Май-11 (9)
>> покажите sh ip route когда ктонибудь подключен по пппое
>> и что говорит sh ip nat statistic тоже покажите
> Больше никто не изъявит желание помочь?
cef включить пробовали?
или
no ip cef - это тоже следы экранирования :)
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Аеро, 19:55 , 18-Май-11 (10)
>>> покажите sh ip route когда ктонибудь подключен по пппое
>>> и что говорит sh ip nat statistic тоже покажите
>> Больше никто не изъявит желание помочь?
> cef включить пробовали?
> или
> no ip cef - это тоже следы экранирования :)
Увы это следы глупости и ранних попыток решить проблему собственными силами.
Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно не влияет.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:32 , 19-Май-11 (11)
>>>> покажите sh ip route когда ктонибудь подключен по пппое
>>>> и что говорит sh ip nat statistic тоже покажите
>>> Больше никто не изъявит желание помочь?
>> cef включить пробовали?
>> или
>> no ip cef - это тоже следы экранирования :)
> Увы это следы глупости и ранних попыток решить проблему собственными силами.
> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
> не влияет.
Ну есть определенные закономерности - mpls например без cef вообще не работает :)
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:44 , 19-Май-11 (12)
>[оверквотинг удален]
>>>> Больше никто не изъявит желание помочь?
>>> cef включить пробовали?
>>> или
>>> no ip cef - это тоже следы экранирования :)
>> Увы это следы глупости и ранних попыток решить проблему собственными силами.
>> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>> не влияет.
> Ну есть определенные закономерности - mpls например без cef вообще не работает
> :)
deb ip nat
что говорит в процессе?
и
sh ip nat trans вы не показали.
попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 11:29 , 19-Май-11 (13)
>[оверквотинг удален]
>>> Включил, но ничего не произошло. Насколько помню - cisco express forwarding решает
>>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>>> не влияет.
>> Ну есть определенные закономерности - mpls например без cef вообще не работает
>> :)
> deb ip nat
> что говорит в процессе?
> и
> sh ip nat trans вы не показали.
> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
молчок там и там
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 11:37 , 19-Май-11 (14)
>[оверквотинг удален]
>>>> вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно
>>>> не влияет.
>>> Ну есть определенные закономерности - mpls например без cef вообще не работает
>>> :)
>> deb ip nat
>> что говорит в процессе?
>> и
>> sh ip nat trans вы не показали.
>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
> молчок там и там
В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего не попадает...
А у вас NAT без pppoe вообще работает?
ИОС может поменять?
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Аеро, 15:36 , 19-Май-11 (15)
>[оверквотинг удален]
>>> deb ip nat
>>> что говорит в процессе?
>>> и
>>> sh ip nat trans вы не показали.
>>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
>> молчок там и там
> В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего
> не попадает...
> А у вас NAT без pppoe вообще работает?
> ИОС может поменять?
опытном выяснилось что с натом, что без него - все однохренно: наш блок PI-адресов /24 пингуется и без ната, адреса резолвятся.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., Аеро, 15:36 , 19-Май-11 (16)
>[оверквотинг удален]
>>>> и
>>>> sh ip nat trans вы не показали.
>>>> попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.
>>> молчок там и там
>> В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего
>> не попадает...
>> А у вас NAT без pppoe вообще работает?
>> ИОС может поменять?
> опытном выяснилось что с натом, что без него - все однохренно: наш
> блок PI-адресов /24 пингуется и без ната, адреса резолвятся.
Ночью буду перезагружать циску.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 09:36 , 20-Май-11 (17)
Перевесил ip nat outside на fa0/0.470 и нат заработал.
Осталось настроить route-map и все будет хорошо. всем спасибо.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:48 , 20-Май-11 (18)
> Перевесил ip nat outside на fa0/0.470 и нат заработал.
> Осталось настроить route-map и все будет хорошо. всем спасибо.
Т.е. NAT висел не на том интерфейсе?
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 09:48 , 21-Май-11 (19)
>> Перевесил ip nat outside на fa0/0.470 и нат заработал.
>> Осталось настроить route-map и все будет хорошо. всем спасибо.
> Т.е. NAT висел не на том интерфейсе?
На том. На интерфейсе присоединенном к сети состоящей из блока реальных адресов ( По идее должна была быть маршрутизация запросов с fa0/0.184 в 0.0.0.0 0.0.0.0 через YYY.YYY.YYY.14, но этого не происходило (толи я дурак, то ли конфигурация не правильная).
Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес в сети ТТК и через которую сеть маршрутизируется мой блок адресов XXX.XXX.XXX.XXX/24 и стали бегать пакеты с серых адресов в мир и обратно.
Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают ходить, а пакеты с серых адресов перестают.
Видимо нужно уходить от static route к динамическому route-map. К сожалению получить AS и блоки адресов пока не можем =(
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:54 , 22-Май-11 (20)
>[оверквотинг удален]
> Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес
> в сети ТТК и через которую сеть маршрутизируется мой блок адресов
> XXX.XXX.XXX.XXX/24 и стали бегать пакеты с серых адресов в мир
> и обратно.
> Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то
> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
> ходить, а пакеты с серых адресов перестают.
> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
> AS и блоки адресов пока не можем =(
Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один vrf, NAT и второй интерфейя в другой vrf или оставить в глобале, будет у вас 2 независимые таблицы маршрутизации.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., OEM_щука, 07:17 , 23-Май-11 (21)
>[оверквотинг удален]
>> и обратно.
>> Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то
>> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
>> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
>> ходить, а пакеты с серых адресов перестают.
>> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
>> AS и блоки адресов пока не можем =(
> Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один
> vrf, NAT и второй интерфейя в другой vrf или оставить в
> глобале, будет у вас 2 независимые таблицы маршрутизации.
Помоему VRF будет не к месту, да и через чур. Думаю решение проблемы таится в route-map.
Ответить | Сообщить модератору

NAS: проблема с маршрутизацией или NAT., fantom, 09:00 , 23-Май-11 (22)
>[оверквотинг удален]
>>> не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip
>>> nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают
>>> ходить, а пакеты с серых адресов перестают.
>>> Видимо нужно уходить от static route к динамическому route-map. К сожалению получить
>>> AS и блоки адресов пока не можем =(
>> Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один
>> vrf, NAT и второй интерфейя в другой vrf или оставить в
>> глобале, будет у вас 2 независимые таблицы маршрутизации.
> Помоему VRF будет не к месту, да и через чур. Думаю решение
> проблемы таится в route-map.
Как правило есть более одного способа решения практически любой задачи.
роут-мап даст большую нагрузку на кошку, чем врф при том же обьеме трафика.
Кроме того при использовании врф sh ip rout будет показывать действительное положение вещей, а при роут-мап sh ip rout не соответствует фактическому направлению движения пакетов.
Хотя решение естественно за вами.
Ответить | Сообщить модератору