Доброго времени суток. Возникла проблема. Есть Cisco 3825:
Cisco IOS Software, 3800 Software (C3825-SPSERVICESK9-M), Version 12.4(25b), RELEASE SOFTWARE (fc1)
Задача такая: в интернет должна вылазить только одна машина по влану 101, которая через свич воткнута в роутер. Машина находится в подсетке, которая указана в secondary IP адресе.Внутренний интерфейс:
!
interface GigabitEthernet0/0
description LAN
no ip address
load-interval 30
duplex full
speed 100
media-type rj45
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address yyy.yyy.yyy.254 255.255.255.0 secondary
ip address zzz.zzz.zzz.zzz zzz.zzz.zzz.zzz
ip accounting output-packets
ip nat inside
!
WAN интерфейс:
interface GigabitEthernet0/1
description Internet
no ip address
duplex full
speed auto
media-type rj45
!
interface GigabitEthernet0/1.111
description internet_vlan
encapsulation dot1Q 111
ip address xxx.xxx.xxx.42 255.255.255.252
ip nat outside
Нат описывает только данную машину:
ip nat inside
ip nat outside
ip nat inside source list 101 interface GigabitEthernet0/1.111 overload
destination-pattern .T
destination-pattern 50...
Extended IP access list 101
10 permit ip host yyy.yyy.yyy.248 any
статическая маршрутизация:
S* 0.0.0.0/0 [1/0] via xxx.xxx.xxx.41
==========
Между двумя сабинтерфейсами пинги не ходят:
Router#ping xxx.xxx.xxx.41
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.41, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 44/46/52 ms
Router#ping xxx.xxx.xxx.41 source yyy.yyy.yyy.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.41, timeout is 2 seconds:
Packet sent with a source address of yyy.yyy.yyy.254
.....
Success rate is 0 percent (0/5)
Router#ping yyy.yyy.yyy.248 source yyy.yyy.yyy.254
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to yyy.yyy.yyy.248, timeout is 2 seconds:
Packet sent with a source address of yyy.yyy.yyy.254
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Router#ping yyy.yyy.yyy.248 source xxx.xxx.xxx.42
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to yyy.yyy.yyy.248, timeout is 2 seconds:
Packet sent with a source address of xxx.xxx.xxx.42
.....
Success rate is 0 percent (0/5)
В НАТе команда ip virtual-reassembly недоступна.
Router#sh ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
GigabitEthernet0/1.111
Inside interfaces:
GigabitEthernet0/0.101
Hits: 171297 Misses: 288
CEF Translated packets: 169630, CEF Punted packets: 2016
Expired translations: 897
Dynamic mappings:
-- Inside Source
[Id: 5] access-list 101 interface GigabitEthernet0/1.111 refcount 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Если между роутером и интернет шлюзом поставить свич, который тегирует траффик и на WAN убрать сабинтерфейс, то все работает. Подскажите что неправильно или что нужно сделать, чтобы такая схема работала?