форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"pix515: два NATа из одной и той же сети"

Сообщение от www_tank (ok) on 27-Окт-08, 16:52

схема: с2821 с двумя интерфейсами на двух провайдеров. от каждого из провайдеров получает по две белых сетки с маской /30. одна из этих сеток использется для линка с провайдером, вторая отруливается маршрутом на pix515. итого на pix515 приходят две сеточки 1.1.1.0/30 и 2.2.2.0/30. которые должны быть на нем обNATены в 192.168.0.0/24. одновременно!! на c2821 поднят sla monitor и он замечательно отрабатывает резервирование каналов. дефолтовый маршрут каждый раз правильный и инет на с2821 есть всегда. а как быть с НАТами на pix? когда-то у меня случайно накосячились два НАТ-правила в одну сеть, так работало одно - первое! заранее благодарю.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "pix515: два NATа из одной и той же сети"

Сообщение от GolDi (??) on 27-Окт-08, 17:48

>[оверквотинг удален] >итого на pix515 приходят две сеточки 1.1.1.0/30 и 2.2.2.0/30. которые должны быть >на нем обNATены в 192.168.0.0/24. одновременно!! > >на c2821 поднят sla monitor и он замечательно отрабатывает резервирование каналов. >дефолтовый маршрут каждый раз правильный и инет на с2821 есть всегда. > >а как быть с НАТами на pix? >когда-то у меня случайно накосячились два НАТ-правила в одну сеть, так работало >одно - первое! >заранее благодарю. Как вариант NAT-ить на 2821

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "pix515: два NATа из одной и той же сети"
	Сообщение от www_tank (??) on 27-Окт-08, 20:54
	>Как вариант NAT-ить на 2821 как вариант, принят а повторить принцип sla только для НАТа как-нибудь можно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "pix515: два NATа из одной и той же сети"
	Сообщение от GolDi (??) on 28-Окт-08, 09:12
	>>Как вариант NAT-ить на 2821 > >как вариант, принят > >а повторить принцип sla только для НАТа как-нибудь можно?   Поищите по форуму, не раз уже обсуждалось.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "pix515: два NATа из одной и той же сети"
	Сообщение от www_tank (??) on 28-Окт-08, 11:33
	>  Поищите по форуму, не раз уже обсуждалось. прошу прощения, не раз обсуждалось как делать SLA+NAT на ОДНОЙ железяке. этот вариант держу в запасе. У нас принимает каналы c2821, а NATит и защищает pix515, стоящий за с2821. итого две РАЗНЫЕ железяки. тут прошу меня не пинать, не мое решение так сделать(2 железяки), и не первый раз оно сидит у меня в печенках.... За pix515 дальше идет с3745, назначение которого разруливать внутреннюю корпоративную сеть, но можно его тоже использовать при необходимости. пока три варианта: 1)на pix515 поднять SLA с реакцией типа: ip sla monitor 2 type echo protocol ipIcmpEcho 194.х.х.х track 124 rtr 2 reachability event manager applet ISP_SWITCHED_20 event track 124 action 1.0 cli command "enable" action 2.0 cli command "no global (outside) 1 194.x.x.x" action 3.0 cli command "global (outside) 1 85.y.y.y" проблема в том, что на pix515 Cisco PIX Firewall Version 6.1(2) нет ни одной из этих команд :) 2)на с3745 поднять sla и NAT, зависимый от track, который будет дополнительно транслировать 192.168.0.0 в 192.168.2.1 тогда на pix515 сделать два правила трансляции для 192.168.0.0 и 192.168.2.1. тут проблема как настроить эту зависимость НАТа 3) НАТить на с2821. тут вопросов нет Есть еще варианты? насколько смешны и нереальны 1) и 2) ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "pix515: два NATа из одной и той же сети"
	Сообщение от GolDi (??) on 28-Окт-08, 11:48
	>[оверквотинг удален] >нет ни одной из этих команд :) > >2)на с3745 поднять sla и NAT, зависимый от track, который будет дополнительно >транслировать 192.168.0.0 в 192.168.2.1 >тогда на pix515 сделать два правила трансляции для 192.168.0.0 и 192.168.2.1. >тут проблема как настроить эту зависимость НАТа > >3) НАТить на с2821. тут вопросов нет > >Есть еще варианты? насколько смешны и нереальны 1) и 2) ? Вы бы хоть схему нарисовали и конфиг 2821, а то что-то я не понимаю как на PIX приходят сети, которые вам выдали провайдеры.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "pix515: два NATа из одной и той же сети"
	Сообщение от www_tank (ok) on 28-Окт-08, 13:02
	срочно нарисованная схема вот: http://ifolder.ru/8783228 как сюда выложить, сорри - не знаю
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "pix515: два NATа из одной и той же сети"
	Сообщение от GolDi (??) on 28-Окт-08, 13:43
	>срочно нарисованная схема вот: http://ifolder.ru/8783228 >как сюда выложить, сорри - не знаю   Мне кажется исходить надоиз того, что на том устройстве   где работает sla, там должен быть и NAT. А по другому, видимо   не получиться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "pix515: два NATа из одной и той же сети"
	Сообщение от www_tank (ok) on 30-Окт-08, 10:36
	Спасибо большое за помощь. Решение нашлось легкое и красивое: на  pix затранслировала 192.168.0.0/24 в промежуточную сеть (pix-c2821) 10.10.10.3, а на с2821 из 10.10.10.3 двойной НАТ по известной схеме. вот цитаты с с2821: #sh run ip sla monitor 1 type echo protocol ipIcmpEcho 85.y.y.y-1 timeout 2000 threshold 40 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 194.x.x.x-1 timeout 2000 threshold 40 ip sla monitor schedule 2 life forever start-time now ! track 100 rtr 1 reachability delay down 15 up 10 ! track 200 rtr 2 reachability delay down 15 up 10 ! interface FastEthernet0/0.2nn ip address 85.y.y.y 255.255.255.252 ip nat outside ! interface FastEthernet0/0.7xx ip address 194.x.x.x 255.255.255.252 ip nat outside ! interface FastEthernet0/1 ip address 10.10.10.1 255.255.255.0   промежуточная сеть pix-c2821 ip nat inside ! ip route 0.0.0.0 0.0.0.0 85.y.y.y-1 10 track 100 ip route 0.0.0.0 0.0.0.0 194.x.x.x-1 200 track 200 ip nat inside source route-map ISP1 interface FastEthernet0/0.2xx overload ip nat inside source route-map ISP2 interface FastEthernet0/0.7xx overload access-list 110 permit ip host 10.10.10.3 any route-map ISP2 permit 10 match ip address 110 match interface FastEthernet0/0.7xx ! route-map ISP1 permit 10 match ip address 110 match interface FastEthernet0/0.2xx Все работает, только вот после переключения: 1) новые сессии транслируются и обрабатываются нармально в новый канал 2) старые сессии, если нет динамики обрываются через 2 минуты. 3) старые сессии, если клиент продолжает ломится, висят вечно!! лечится 2) и 3) или clear xlate на pix. или clear ip nat trans * на с2821 Вопросы: а) можно ли таймаут из 2х минут (2) сделать 20 секунд?  т.е. указать НАТу через 20 секунд грохать простаивающие сопоставления б) как сделать автоматом или clear xlate на pix или clear ip nat trans * на с2821? на с 2821 есть решение через event manager applet ISP_SWITCHED_20 event track 200 action 1.0 cli command "enable" action 2.0 cli command "clear ip nat trans forced" но у меня нет команды в аплете event track. хотя написано, что она введена гораздо раньше моей версии Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(13a) может еще есть варианты? заранее еще раз благодарю!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]