форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"NAT. Помогите!"
Сообщение от Andrew on 30-Июн-03, 21:02  (MSK)
Здравствуйте уважаемые! Проблема возникла. Я делал следующее: 1. access-list 3 permit 100.150.200.0 0.0.0.31 2. ip nat pool my-nat 172.16.10.5 172.16.10.5 prefix 14 3. ip nat inside source list 7 pool may-nat overload Все работало прекрасно. Потребовалось из списка доступа высщелкнуть один адрес, скажем 100.150.200.10. Сделал следующее: 1. access-list 3 permit 100.150.200.0 0.0.0.10     access-list 3 permit 100.150.200.11 0.0.0.20 2. ip nat pool my-nat 172.16.10.5 172.16.10.5 prefix 14 3. ip nat inside source list 7 pool may-nat overload Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не смог найти подробное объяснение маски в CISCO. Смотрел несколько источников, везде по разному. Сделал так как я понял из доков с CISCO.COM. Помогите разобраться! Заранее благодарен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT. Помогите!"
Сообщение от ВОЛКА on 02-Июл-03, 00:02  (MSK)
access-list 3 deny host 100.150.200.10 access-list 3 permit 100.150.200.11 0.0.0.31
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "NAT. Помогите!"
Сообщение от ВОЛКА on 02-Июл-03, 00:02  (MSK)
access-list 3 deny host 100.150.200.10 access-list 3 permit 100.150.200.0 0.0.0.31
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "NAT. Помогите!"
	Сообщение от Andrew on 03-Июл-03, 08:58  (MSK)
	>access-list 3 deny host 100.150.200.10 >access-list 3 permit 100.150.200.0 0.0.0.31 Мысль интересная... Но я так уже делал. Не проходит. 100.150.200.10 все равно натится. Хотя... Попутно вопросик. Как удалить pool и access-list задействованные для трансляции? Мне циска пишет, что не может удалить, так как они активные. Но у меня кроме 100.150.200.10 не было включено ни одного клиента. Его я даже физически вырубал... ip nat тоже пытался убрать. Тоже самое пишет. Может у меня руки кривые?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "NAT. Помогите!"
	Сообщение от ВОЛКА on 03-Июл-03, 10:20  (MSK)
	clear ip nat tr *
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "NAT. Помогите!"
	Сообщение от Andrew on 03-Июл-03, 17:40  (MSK)
	Попробовал сделать еще раз следующее: access-list Y deny host X.X.X.10 access-list Y permit X.X.X.0 0.0.0.31 Заработало вроде. Но почему до этого не работало? Поднял свои записи, делал так и раньше и не работало. Странно...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "NAT. Помогите!"
Сообщение от Вячеслав on 07-Июл-03, 10:02  (MSK)
>Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не >смог найти подробное объяснение маски в CISCO. Может я не прав (т.к. не гуру :) ), но маска доступа в акцесс-листах циски есть ничто иное как двоичная инверсия привычной всем нам маски. Например 255.255.255.0 = 0.0.0.255 255.255.255.255 = 0.0.0.0 255.255.255.252 = 0.0.0.3 и т.д. и подчиняется тем же самым законам что и обычные маски. Если нуна выкусить хост или диапазон айпи, то пишем соответсвующее deny правило, а ПОТОМ разрешающее на весь диапазон, что Вы собственно и сделали. А не работало скорее всего потому, что правило deny  стояло после permit и соответственно не выполнялось. В конце всех правил вообще есть неявно заданное deny any any , но это не значит что каждый акцесс рубит адназначна весь траффик :) Акцесс листы это такая штука, в которой низя рубануть выборочно правило. Когда назревает рихтовка акцесс листа то его сначала удаляют, а потом набивают с нуля. Кому лень это делать кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее: no access-list 101 access-list 101 permit .... access-list 101 permit .... access-list 101 permit .... access-list 101 deny .... ..... ! no access-list 102 access-list 102 permit .... .....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "NAT. Помогите!"
	Сообщение от Andrew on 14-Июл-03, 08:49  (MSK)
	>Когда назревает рихтовка акцесс листа то его >сначала удаляют, а потом набивают с нуля. Кому лень это делать >кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее: > > >no access-list 101 >access-list 101 permit .... >access-list 101 permit .... >access-list 101 permit .... >access-list 101 deny .... >..... >! >no access-list 102 >access-list 102 permit .... >..... Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list активен поэтому удалить не могу :)) И что в это случае?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "NAT. Помогите!"
	Сообщение от Вячеслав on 14-Июл-03, 10:29  (MSK)
	>Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list >активен поэтому удалить не могу :)) И что в это случае? > Hi! ну первое что приходит в глову : а) временно отвинтить рихтуемый акцесс от соответсвующего интерфея б) на нужном интерфее сказать shut, рихтануть акцесс, сказать no shut в) забить на все и сказть reload, после чего сразу рихтовать лист :) .... Возможно есть более правильный путь, но я не гуру, не знаю :) Я лично с такой ситуацией пока не сталкивался, хотя у меня хватает листов и трафф по ним неслабый...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "NAT. Помогите!"
	Сообщение от Andrew on 15-Июл-03, 17:06  (MSK)
	Так и у меня листов хватает. И на одном интерфейсе сидят 5 ip-адресов. Поэтому обрубить линк просто так нельзя. Делал все как в доках написано. Но... Придется грубыми методами решать этот вопрос.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.