- Посоветуйте пжста, что предпринять с secondary IP address,
 Volume, 09:48 , 09-Дек-03 (1)>На внутреннем интерфейсе висят две сетки одна за NATится на наружный реальный
>адрес - 10.10.10.0 (она же primary),другая -из реальных адресов (она же
>secondary). Проблема в том, что из фейковской сетки пинги на адреса
>реальной сети идут с 25-50% потерями, тоже и наоборот. Добавления дополнительных
>маршрутов типа:
>ip route фейковская сеть реальная сеть
>ситуацию не меняют. Догадываюсь, что пакеты, идущие даже в соседнюю сеть тем
>не менее NATятся, но как поправить (сделать исключение) не знаю.
>Заранее благодарен. а конфиг показать?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 10:28 , 09-Дек-03 (2)
Вот
no ip bootp server
ip cef
ip dhcp-server 10.10.10.1
ip address-pool local
!
!
!
interface Loopback0
ip address 217.168.55.111 255.255.255.255
ip route-cache flow
ip route-cache policy
!
interface Ethernet0
ip address 111.222.333.444 255.255.255.248 secondary
ip address 10.10.10.1 255.255.255.0
ip access-group 105 in
ip nat inside
ip route-cache flow
ip route-cache policy
no cdp enable
!
interface Ethernet1
ip address ааа.bbb.ccc.ddd 255.255.255.252
ip nat outside
ip route-cache flow
ip route-cache policy
ip policy route-map MAP
no cdp enable
!
ip nat inside source list 102 interface Ethernet1 overload
ip nat inside source static tcp 10.10.10.100 8080 interface Ethernet1 8080
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 111.222.333.444
ip route 111.222.333.444 255.255.255.248 Ethernet1
no ip http server
ip flow-export version 5
ip flow-export destination 10.10.10.100 9996
!
access-list 11 permit 10.10.10.100
access-list 11 deny any
access-list 102 permit ip any 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 13:30 , 09-Дек-03 (3)
Мне тут посоветовали поменять местами - для реальных адресов сделать
primary адрес, а фейковскую сетку повесить на secondary. Но что-то у меня сомнения на этот случай, а свободно эксперементировать на маршрутизаторе я не могу. Хелп!
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 13:55 , 09-Дек-03 (4)
Вопрос можно?
строки
ip route 10.10.10.0 255.255.255.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 111.222.333.444
если у вас подсеть 10.10.10.0 находится за eth0?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 14:06 , 09-Дек-03 (5)
>Вопрос можно?
>строки
>ip route 10.10.10.0 255.255.255.0 Ethernet1
>ip route 10.10.10.0 255.255.255.0 111.222.333.444
>если у вас подсеть 10.10.10.0 находится за eth0?
первая строка конечно смысла не имеет,
а второй маршрут - это попытка сдружить эти две сетки за eth0
Это последствия агонии, поэтому прошу не судить строго :)
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 14:12 , 09-Дек-03 (6)
>>Вопрос можно?
>>строки
>>ip route 10.10.10.0 255.255.255.0 Ethernet1
>>ip route 10.10.10.0 255.255.255.0 111.222.333.444
>>если у вас подсеть 10.10.10.0 находится за eth0?
>первая строка конечно смысла не имеет,
>а второй маршрут - это попытка сдружить эти две сетки за eth0
>
>Это последствия агонии, поэтому прошу не судить строго :) Ну тогда можно начать с того, чтоб их удалить, для того, чтоб все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9 нужно искать за интерфейсом eth1 а второй строкой за eth0. два одинаковых марштура с разным направлением. И не будет работать. Для начала оставьте один маршрут по умолчанию
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 14:37 , 09-Дек-03 (7)
>Ну тогда можно начать с того, чтоб их удалить, для того, чтоб
>все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9
>нужно искать за интерфейсом eth1 а второй строкой за eth0. два
>одинаковых марштура с разным направлением. И не будет работать. Для начала
>оставьте один маршрут по умолчанию Убрать - убрал, полностью согласен - это мусор.
Все работает, но
ping 217.xxx.xxx.xxx с машины находящейся в 10.10.10.0
Превышен интервал ожидания для запроса.
Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127
Превышен интервал ожидания для запроса.
Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127
Таким образом 50% потерь.
Аналогично если пинговать машину в 10.10.10.0 с реальных адресов.
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 16:38 , 09-Дек-03 (8)
Как говорится, в правильно заданном вопросе содержиться 70% ответа.
Попробую уточнить свой вопрос:
ip nat inside source list 102 interface Ethernet1 overload
# данная строка говорит, что все что описано 102-м ACL натить на
адрес Eth1
access-list 102 permit ip any 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
Можно ли исключить из этого условия пакеты направляемые в сеть
217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 16:59 , 09-Дек-03 (9)
>Как говорится, в правильно заданном вопросе содержиться 70% ответа.
>Попробую уточнить свой вопрос:
>ip nat inside source list 102 interface Ethernet1 overload
># данная строка говорит, что все что описано 102-м ACL натить на
>
>адрес Eth1
>access-list 102 permit ip any 10.10.10.0 0.0.0.255
>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>Можно ли исключить из этого условия пакеты направляемые в сеть
>217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
>или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
>из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
>Исключить можно.Н-р с помошью route-map ip nat inside source route-map NONAT interface Ethernet0 overload route-map NONAT permit 10
match ip address 102 access-list 102 deny ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any У меня так сделано применительно к тунелю - запрещена трансляция адресов при обращении к локальной сеть, расположенной на другом конце тунеля, а в других случаях натится без проблем
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 17:31 , 09-Дек-03 (10)
>>Как говорится, в правильно заданном вопросе содержиться 70% ответа.
>>Попробую уточнить свой вопрос:
>>ip nat inside source list 102 interface Ethernet1 overload
>># данная строка говорит, что все что описано 102-м ACL натить на
>>
>>адрес Eth1
>>access-list 102 permit ip any 10.10.10.0 0.0.0.255
>>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>>Можно ли исключить из этого условия пакеты направляемые в сеть
>>217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
>>или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
>>из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
>>
>Спасибо, обязательно попробую, пока
люди работают циска не дает мне срубить прежний ip nat inside,
ругается : %Dynamic mapping in use, cannot remove
видимо без shutdown интерфейса не обойтись.
>Исключить можно.Н-р с помошью route-map
>
>ip nat inside source route-map NONAT interface Ethernet0 overload
>
>route-map NONAT permit 10
> match ip address 102
>
>access-list 102 deny ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255
>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>
>У меня так сделано применительно к тунелю - запрещена трансляция адресов при
>обращении к локальной сеть, расположенной на другом конце тунеля, а в
>других случаях натится без проблем
- Посоветуйте пжста, что предпринять с secondary IP address, vega, 17:35 , 09-Дек-03 (11)
Ну почему же, можно и без shutdown-а обойтись
для начала clear ip nat tr * . По моему так... а потом удаляем...
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 18:33 , 09-Дек-03 (12)
>Ну почему же, можно и без shutdown-а обойтись
>для начала clear ip nat tr * . По моему так... а
>потом удаляем...
Все сделал, теперь
ip nat inside source route-map NONAT interface Ethernet1 overload
но ситуация не изменилась, мало того при
sh route-map NONAT
route-map NONAT, permit, sequence 10
Match clauses:
ip address (access-lists): 102
Set clauses:
Policy routing matches: 0 packets, 0 bytes
т.е. она как бы и не работает.
А как еще можно посмотреть как пакетики через NAT/не через NAT ходят?
- Посоветуйте пжста, что предпринять с secondary IP address, hobbit, 20:41 , 09-Дек-03 (13)
Вобщем вывод такой, из приватной сетки вот так просто
в сетку реальных адресов не попасть, нужен NAT на реальный адрес -
это аксиома.
Но черт возьми, почему пакеты проходя через NAT и возвращаясь обратно за маршрутизатор в сеть реальных адресов так безбожно теряются - каждый второй? Неужели ничего нельзя сделать?
|
Версия для распечатки
Посоветуйте пжста, что предпринять с secondary IP address, 
