форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"

Сообщение от Claymen (ok) on 06-Фев-08, 18:57

Доброго времени суток Господа... Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера Исходные данные:   Cisco 1811   Два порта Fa0 и Fa1 Подключены к интернету к разным провайдерам     FA0 217.xx.xx.115 Шлюз 217.хх.хх.113 Основной канал     FA1 88.xx.xx.85   Шлюз 88.xx.xx.1 Локальная сеть 192.168.0.0     FA2 192.168.0.1 На всех компьютерах в сети основной шлюз 192.168.0.1 Компьютеры выходят в интернет через основной канал в интернет через NAT. Из интернета в локальную сеть проброшен порт 1665 сервер спец приложения.   Приложение очень важное так что необходимо что бы оно было доступно всегда, для этого появился второй канал в интернет   По основному каналу все нормально проходит, но вот по резервному не получается.....   ip nat inside source static tcp 192.168.0.20 1665 217.xx.xx.115 1665 extendable   добавление строчки вида приводит к результату   ip nat inside source static tcp 192.168.0.20 1665 88.xx.x.85 1194 extendable Пакет из вне (например с 135.151.25.15) проходит в локальную сеть через любой из 2-х публичных адресов, однако циска подменяет только DstAddress в пакете source остается глобальным (135.151.25.15) обратно пакет возвращается по правилам маршрутизации на основной канал. Вопрос сделать: 1-й вариант: Что бы Циска подменяла src адрес на свой локальный, например как это можно сделать в Kerio Winroute, Wingate.... ТОгда все  будет возвращаться на е интерфейс, даже если она неявляется Основным шлюзом в сети, и все обратно НАТ-тися. 2-й вариант: Что бы Циска отдавала обратно пакет на тот интерфейс с которого он пришел. Форум и статьи все прочитал, про думаю что надо route-map, но применительно к пробросу пакетов из вне ненашел нигде никаких примеров..... Про 1-й вариант вопрос почти академический, возможно ли это ? Исходные данные =============================== sh Ver ============================== Cisco 1811 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of memory. Processor board ID FHK1039174U, with hardware revision 0000 10 FastEthernet interfaces 1 Serial interface 1 terminal line 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2101 ============================== Конфиг ============================== interface FastEthernet0 ip address 217.xx.xx.115 255.255.255.248 ip nat outside ! interface FastEthernet1 ip address 88.xx.xx.185 255.255.255.0 ip nat outside ! interface FastEthernet2 ip address 192.168.0.1 255.255.255.0 ip nat inside ! ip route 0.0.0.0 0.0.0.0 217.xx.xx.113 ip route 0.0.0.0 0.0.0.0 88.xx.xx.1 50 ip nat pool InetISP1 217.xx.xx.115 217.xx.xx.115 netmask 255.255.255.248 ip nat pool InetISP2 88.xx.xx.85   88.xx.xx.85   netmask 255.255.255.252 ip nat inside source list LocalNet pool InetISP1 overload ip nat inside source static tcp 192.168.0.20 1665 217.xx.xx.115 1665 extendable ' Добавленная строчка ip nat inside source static tcp 192.168.0.20 1665 88.xx.x.85 1194 extendable ip access-list extended LocalNet permit ip 192.168.0.0 0.0.0.255 any =============================================== Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"

Сообщение от CrAzOiD (ok) on 06-Фев-08, 19:54

>Вопрос сделать: >1-й вариант: Что бы Циска подменяла src адрес на свой локальный, например >как это можно сделать в Kerio Winroute, Wingate.... ТОгда все   >будет возвращаться на е интерфейс, даже если она неявляется Основным шлюзом >в сети, и все обратно НАТ-тися. >2-й вариант: Что бы Циска отдавала обратно пакет на тот интерфейс с >которого он пришел. 1. Это NAT (PAT) именно так он и работает. На какой адрес укажите, на тот и подменит. Вопрос в другом. У вас маршрут по умолчанию есть, вот в него все и валится. route-map вас спасет 2. а как это она вам сделает? Только если есть AS и BGP. В вашем случае только route-map Примеров в инете и здесь масса. Ищите по фразе "2 ISP"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"
	Сообщение от Claymen (ok) on 07-Фев-08, 00:21
	> >1. Это NAT (PAT) именно так он и работает. На какой адрес >укажите, на тот и подменит. Вопрос в другом. У вас маршрут >по умолчанию есть, вот в него все и валится. >route-map вас спасет > >2. а как это она вам сделает? Только если есть AS и >BGP. В вашем случае только route-map > >Примеров в инете и здесь масса. Ищите по фразе "2 ISP" Про №1 Вот как это работет на Kerio Winroute Kerio Winroute 6.0 ------------------------------------------------------------ ------------------------------------------------------------ Source NAT (Internet Sharing/IP Masquerade) ( ) No Translation ( ) Translate to IP address of outgoing interface (typical settings) (x) Translate to IP address of Interface [ LAN ] ( ) Translate to IP address _______________ ------------------------------------------------------------ Destanation NAT (Port Mapping) ( ) No Translation (x) Translate to _192.168.0.20___     [ ] Translate port to __1665____ ------------------------------------------------------------ ------------------------------------------------------------ Что происходит с пакетом ======================== Что делает Winroute -------------------- Слиент                       src 135.151.25.15:1025 dst 217.xx.xx.115:1665 Далее Winroute MAP WAN 1665 - > LAN 192.168.0.20:1665 src 192.168.0.1:33050 dst 192.168.0.20:1665 Сервер Что делает Cisco -------------------- Слиент                       src 135.151.25.15:1025 dst 217.xx.xx.115:1665 Далее Winroute MAP WAN 1665 - > LAN 192.168.0.20:1665 src 135.151.25.15:1025 dst 192.168.0.20:1665 Сервер Как я понимаю Kerio Winroute делает полный NAT(PAT) - подмену и Src и dst, и пакет вернется, даже если этот софт-маршрутизатор неявляется шлюзом по умолчанию, и на сервере нет доп маршрутов, ибо сервер отдаст ему как локальному клиенту, а дальше произойдет обратная подстановка. Как работает Cisco ? Почему нельзя реализовать на ней такую простую схему, зачем нужна комманда "ip nat outside soutce ......" (невидел ниодного рабочего примера, на самом ciso.com только хелп и опять же ни одного примера.) В чем я ошибаюсь ? 2. про Route-map, много читал, почти все примеры для выхода в инет через 2-х провайдеров, но практически нет для проброса пакетов в локалку... и если пакет пройдет через route-map, то route-map  работает по входящим пакетам, как он решит что надо его вернуть на другой интерфейс, пакет при возврате пакет будет исходящий, сработает то же принцип маршрутизации на активный канал, неговоря уже что маршрутизатор не основной шлюз в сети, тогда к нему пакет вообще никогда неприйдет. очень хочу разобраться, но что то у меня в голове не сходится, по идее простые вещи, но в чем то я видимо ощибаюсь.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"
	Сообщение от CrAzOiD (ok) on 07-Фев-08, 01:14
	>[оверквотинг удален] > >Как я понимаю Kerio Winroute делает полный NAT(PAT) - подмену и Src >и dst, и пакет вернется, даже если этот софт-маршрутизатор неявляется шлюзом >по умолчанию, и на сервере нет доп маршрутов, ибо сервер отдаст >ему как локальному клиенту, а дальше произойдет обратная подстановка. >Как работает Cisco ? Почему нельзя реализовать на ней такую простую схему, >зачем нужна комманда "ip nat outside soutce ......" (невидел ниодного рабочего >примера, на самом ciso.com только хелп и опять же ни одного >примера.) >В чем я ошибаюсь ? nat outside это и есть переписывание destination адресов. Примеров мало потому что не так часто требуется по сравнения с nat inside. >2. про Route-map, много читал, почти все примеры для выхода в инет >через 2-х провайдеров, но практически нет для проброса пакетов в локалку... >и если пакет пройдет через route-map, то route-map  работает по >входящим пакетам, как он решит что надо его вернуть на другой >интерфейс, пакет при возврате пакет будет исходящий, сработает то же принцип >маршрутизации на активный канал, неговоря уже что маршрутизатор не основной шлюз >в сети, тогда к нему пакет вообще никогда неприйдет. > >очень хочу разобраться, но что то у меня в голове не сходится, >по идее простые вещи, но в чем то я видимо ощибаюсь. В голове не сходится потому что вы отталкиваетесь от неверного принципа: кидай что ходешь в нужный вам интерфейс и будет счастье. У исходящих с вашего маршрутизатора пакетов должны быть адреса "правильные" для интерфейса и провайдера который за этим интерфейсом (упрощенно ессно). Просто поймите, что если пакет уходит от вас он должен иметь правилный адрес что бы правильно вернулся ответ. Поэтому и придумывают схемы с routе-map (позволяющие маршрутизировать по сложным условиям source, destination и пр) А насчет входящего к вам пакета. Так не надо его никуда уже возвращять. Все, он пришел и он в маршрутизаторе. Обрабатывайте :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]