Имеется свитч 3-го уровня (6500) с кучей вланов и гигабитных и 10-ти гигабитных портов, объединенных во vlan'ы. на нем же подняты влан-интерфейсы с ip адресами и аксес-листами:interface vlan108
ip address 2.2.2.1 255.255.255.0
interface vlan109
ip address 2.2.3.1 255.255.255.0
и т.д
Один из интерфейсов смотрит в провайдера:
interface TenGigabitEthernet10/4
ip address 1.1.1.1 255.255.255.252
На этот свитч зароучено несколько реальных сетей статически, условно говоря это 2.2.2.0/24 и 2.2.3.0/24
Возникла необходимость на один из серверов(2.2.3.100) в 109м влане сделать проброс порта из 2.2.2.0 сети.
сконфигурировал это следующим образом:
interface vlan108
ip address 2.2.2.1 255.255.255.0
ip address 2.2.2.3 255.255.255.0 secondary
ip nat outside
interface vlan109
ip address 2.2.3.1 255.255.255.0
ip nat inside
ip nat inside source static tcp 2.2.3.100 80 2.2.2.3 80 extendable
вроде бы всё сделал правильно, но адреса почему-то не транслируются.
на все tcp пакеты с флагом SYN, приходящие извне на 2.2.2.3:80 циска отвечает RST и соединение сбрасывается. в show ip nat translation пустота. 2.2.2.3 и 2.2.2.1 при этом извне пингаются.
если же пытаться инициировать соединения с самой циски:
rp6000# telnet 2.2.2.3 80
то в sh ip nat translation появляется запись трансляции, пакет до сервера доходит, и сервер на него отвечает, но циска почему-то сразу же шлет RST после первого пришедшего с сервера пакета.
аксесс листы с этих вланов временно убрал.
где может быть затык?
у меня только одно подозрение, что может надо было NAT-адрес вешать на TenGigabitEthernet10/4 и определять его как ip nat outside, а не на какой-то один из вланов, куда пакет уже попал пройдя 10гигабитный интерфейс, но даже если и так, как мне организовать nat правильно между вланами, не трогая внешний интерфейс? возможно ли это?
делал всё по этой доке: http://www.cisco.com/en/US/products/hw/switches/ps708/produc...
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 16-Янв-10, 13:17 
