- Посоветуйте пжста, что предпринять с secondary IP address, Volume, 09:48 , 09-Дек-03 (1)
>На внутреннем интерфейсе висят две сетки одна за NATится на наружный реальный >адрес - 10.10.10.0 (она же primary),другая -из реальных адресов (она же >secondary). Проблема в том, что из фейковской сетки пинги на адреса >реальной сети идут с 25-50% потерями, тоже и наоборот. Добавления дополнительных >маршрутов типа: >ip route фейковская сеть реальная сеть >ситуацию не меняют. Догадываюсь, что пакеты, идущие даже в соседнюю сеть тем >не менее NATятся, но как поправить (сделать исключение) не знаю. >Заранее благодарен. а конфиг показать?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 10:28 , 09-Дек-03 (2)
Вот no ip bootp server ip cef ip dhcp-server 10.10.10.1 ip address-pool local ! ! ! interface Loopback0 ip address 217.168.55.111 255.255.255.255 ip route-cache flow ip route-cache policy ! interface Ethernet0 ip address 111.222.333.444 255.255.255.248 secondary ip address 10.10.10.1 255.255.255.0 ip access-group 105 in ip nat inside ip route-cache flow ip route-cache policy no cdp enable ! interface Ethernet1 ip address ааа.bbb.ccc.ddd 255.255.255.252 ip nat outside ip route-cache flow ip route-cache policy ip policy route-map MAP no cdp enable ! ip nat inside source list 102 interface Ethernet1 overload ip nat inside source static tcp 10.10.10.100 8080 interface Ethernet1 8080 ip classless ip route 0.0.0.0 0.0.0.0 Ethernet1 ip route 10.10.10.0 255.255.255.0 Ethernet1 ip route 10.10.10.0 255.255.255.0 111.222.333.444 ip route 111.222.333.444 255.255.255.248 Ethernet1 no ip http server ip flow-export version 5 ip flow-export destination 10.10.10.100 9996 ! access-list 11 permit 10.10.10.100 access-list 11 deny any access-list 102 permit ip any 10.10.10.0 0.0.0.255 access-list 102 permit ip 10.10.10.0 0.0.0.255 any
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 13:30 , 09-Дек-03 (3)
Мне тут посоветовали поменять местами - для реальных адресов сделать primary адрес, а фейковскую сетку повесить на secondary. Но что-то у меня сомнения на этот случай, а свободно эксперементировать на маршрутизаторе я не могу. Хелп!
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 13:55 , 09-Дек-03 (4)
Вопрос можно? строки ip route 10.10.10.0 255.255.255.0 Ethernet1 ip route 10.10.10.0 255.255.255.0 111.222.333.444 если у вас подсеть 10.10.10.0 находится за eth0?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 14:06 , 09-Дек-03 (5)
>Вопрос можно? >строки >ip route 10.10.10.0 255.255.255.0 Ethernet1 >ip route 10.10.10.0 255.255.255.0 111.222.333.444 >если у вас подсеть 10.10.10.0 находится за eth0? первая строка конечно смысла не имеет, а второй маршрут - это попытка сдружить эти две сетки за eth0 Это последствия агонии, поэтому прошу не судить строго :)
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 14:12 , 09-Дек-03 (6)
>>Вопрос можно? >>строки >>ip route 10.10.10.0 255.255.255.0 Ethernet1 >>ip route 10.10.10.0 255.255.255.0 111.222.333.444 >>если у вас подсеть 10.10.10.0 находится за eth0? >первая строка конечно смысла не имеет, >а второй маршрут - это попытка сдружить эти две сетки за eth0 > >Это последствия агонии, поэтому прошу не судить строго :) Ну тогда можно начать с того, чтоб их удалить, для того, чтоб все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9 нужно искать за интерфейсом eth1 а второй строкой за eth0. два одинаковых марштура с разным направлением. И не будет работать. Для начала оставьте один маршрут по умолчанию
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 14:37 , 09-Дек-03 (7)
>Ну тогда можно начать с того, чтоб их удалить, для того, чтоб >все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9 >нужно искать за интерфейсом eth1 а второй строкой за eth0. два >одинаковых марштура с разным направлением. И не будет работать. Для начала >оставьте один маршрут по умолчанию Убрать - убрал, полностью согласен - это мусор. Все работает, но ping 217.xxx.xxx.xxx с машины находящейся в 10.10.10.0 Превышен интервал ожидания для запроса. Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127 Превышен интервал ожидания для запроса. Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127 Таким образом 50% потерь. Аналогично если пинговать машину в 10.10.10.0 с реальных адресов.
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 16:38 , 09-Дек-03 (8)
Как говорится, в правильно заданном вопросе содержиться 70% ответа. Попробую уточнить свой вопрос: ip nat inside source list 102 interface Ethernet1 overload # данная строка говорит, что все что описано 102-м ACL натить на адрес Eth1 access-list 102 permit ip any 10.10.10.0 0.0.0.255 access-list 102 permit ip 10.10.10.0 0.0.0.255 any Можно ли исключить из этого условия пакеты направляемые в сеть 217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0), или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 16:59 , 09-Дек-03 (9)
>Как говорится, в правильно заданном вопросе содержиться 70% ответа. >Попробую уточнить свой вопрос: >ip nat inside source list 102 interface Ethernet1 overload ># данная строка говорит, что все что описано 102-м ACL натить на > >адрес Eth1 >access-list 102 permit ip any 10.10.10.0 0.0.0.255 >access-list 102 permit ip 10.10.10.0 0.0.0.255 any >Можно ли исключить из этого условия пакеты направляемые в сеть >217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0), >или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты >из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь? >Исключить можно.Н-р с помошью route-map ip nat inside source route-map NONAT interface Ethernet0 overload route-map NONAT permit 10 match ip address 102 access-list 102 deny ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255 access-list 102 permit ip 10.10.10.0 0.0.0.255 any У меня так сделано применительно к тунелю - запрещена трансляция адресов при обращении к локальной сеть, расположенной на другом конце тунеля, а в других случаях натится без проблем
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 17:31 , 09-Дек-03 (10)
>>Как говорится, в правильно заданном вопросе содержиться 70% ответа. >>Попробую уточнить свой вопрос: >>ip nat inside source list 102 interface Ethernet1 overload >># данная строка говорит, что все что описано 102-м ACL натить на >> >>адрес Eth1 >>access-list 102 permit ip any 10.10.10.0 0.0.0.255 >>access-list 102 permit ip 10.10.10.0 0.0.0.255 any >>Можно ли исключить из этого условия пакеты направляемые в сеть >>217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0), >>или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты >>из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь? >> >Спасибо, обязательно попробую, пока люди работают циска не дает мне срубить прежний ip nat inside, ругается : %Dynamic mapping in use, cannot remove видимо без shutdown интерфейса не обойтись. >Исключить можно.Н-р с помошью route-map > >ip nat inside source route-map NONAT interface Ethernet0 overload > >route-map NONAT permit 10 > match ip address 102 > >access-list 102 deny ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255 >access-list 102 permit ip 10.10.10.0 0.0.0.255 any > >У меня так сделано применительно к тунелю - запрещена трансляция адресов при >обращении к локальной сеть, расположенной на другом конце тунеля, а в >других случаях натится без проблем
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 17:35 , 09-Дек-03 (11)
Ну почему же, можно и без shutdown-а обойтись для начала clear ip nat tr * . По моему так... а потом удаляем...
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 18:33 , 09-Дек-03 (12)
>Ну почему же, можно и без shutdown-а обойтись >для начала clear ip nat tr * . По моему так... а >потом удаляем... Все сделал, теперь ip nat inside source route-map NONAT interface Ethernet1 overload но ситуация не изменилась, мало того при sh route-map NONAT route-map NONAT, permit, sequence 10 Match clauses: ip address (access-lists): 102 Set clauses: Policy routing matches: 0 packets, 0 bytes т.е. она как бы и не работает. А как еще можно посмотреть как пакетики через NAT/не через NAT ходят?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 20:41 , 09-Дек-03 (13)
Вобщем вывод такой, из приватной сетки вот так просто в сетку реальных адресов не попасть, нужен NAT на реальный адрес - это аксиома. Но черт возьми, почему пакеты проходя через NAT и возвращаясь обратно за маршрутизатор в сеть реальных адресов так безбожно теряются - каждый второй? Неужели ничего нельзя сделать?
|