The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Посоветуйте пжста, что предпринять с secondary IP address"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 08-Дек-03, 23:46  (MSK)
На внутреннем интерфейсе висят две сетки одна за NATится на наружный реальный адрес - 10.10.10.0 (она же primary),другая -из реальных адресов (она же secondary). Проблема в том, что из фейковской сетки пинги на адреса реальной сети идут с 25-50% потерями, тоже и наоборот. Добавления дополнительных маршрутов типа:
ip route фейковская сеть реальная сеть
ситуацию не меняют. Догадываюсь, что пакеты, идущие даже в соседнюю сеть тем не менее NATятся, но как поправить (сделать исключение) не знаю.
Заранее благодарен.  
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от Volume Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 09:48  (MSK)
>На внутреннем интерфейсе висят две сетки одна за NATится на наружный реальный
>адрес - 10.10.10.0 (она же primary),другая -из реальных адресов (она же
>secondary). Проблема в том, что из фейковской сетки пинги на адреса
>реальной сети идут с 25-50% потерями, тоже и наоборот. Добавления дополнительных
>маршрутов типа:
>ip route фейковская сеть реальная сеть
>ситуацию не меняют. Догадываюсь, что пакеты, идущие даже в соседнюю сеть тем
>не менее NATятся, но как поправить (сделать исключение) не знаю.
>Заранее благодарен.

а конфиг показать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 10:28  (MSK)
Вот
no ip bootp server
ip cef    
ip dhcp-server 10.10.10.1
ip address-pool local
!        
!        
!        
interface Loopback0
ip address 217.168.55.111 255.255.255.255
ip route-cache flow
ip route-cache policy
!        
interface Ethernet0
ip address 111.222.333.444 255.255.255.248 secondary
ip address 10.10.10.1 255.255.255.0
ip access-group 105 in
ip nat inside
ip route-cache flow
ip route-cache policy
no cdp enable
!        
interface Ethernet1
ip address ааа.bbb.ccc.ddd 255.255.255.252
ip nat outside
ip route-cache flow
ip route-cache policy
ip policy route-map MAP
no cdp enable
!        
ip nat inside source list 102 interface Ethernet1 overload
ip nat inside source static tcp 10.10.10.100 8080 interface Ethernet1 8080
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 111.222.333.444
ip route 111.222.333.444 255.255.255.248 Ethernet1
no ip http server
ip flow-export version 5
ip flow-export destination 10.10.10.100 9996
!        
access-list 11 permit 10.10.10.100
access-list 11 deny   any
access-list 102 permit ip any 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 13:30  (MSK)
Мне тут посоветовали поменять местами - для реальных адресов сделать
primary адрес, а фейковскую сетку повесить на secondary. Но что-то у меня сомнения на этот случай, а свободно эксперементировать на маршрутизаторе я не могу. Хелп!
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от vega emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 13:55  (MSK)
Вопрос можно?
строки
ip route 10.10.10.0 255.255.255.0 Ethernet1
ip route 10.10.10.0 255.255.255.0 111.222.333.444
если у вас подсеть 10.10.10.0 находится за eth0?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 14:06  (MSK)
>Вопрос можно?
>строки
>ip route 10.10.10.0 255.255.255.0 Ethernet1
>ip route 10.10.10.0 255.255.255.0 111.222.333.444
>если у вас подсеть 10.10.10.0 находится за eth0?
первая строка конечно смысла не имеет,
а второй маршрут - это попытка сдружить эти две сетки за eth0
Это последствия агонии, поэтому прошу не судить строго :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от vega emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 14:12  (MSK)
>>Вопрос можно?
>>строки
>>ip route 10.10.10.0 255.255.255.0 Ethernet1
>>ip route 10.10.10.0 255.255.255.0 111.222.333.444
>>если у вас подсеть 10.10.10.0 находится за eth0?
>первая строка конечно смысла не имеет,
>а второй маршрут - это попытка сдружить эти две сетки за eth0
>
>Это последствия агонии, поэтому прошу не судить строго :)

Ну тогда можно начать с того, чтоб их удалить, для того, чтоб все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9 нужно искать за интерфейсом eth1 а второй строкой за eth0. два одинаковых марштура с разным направлением. И не будет работать. Для начала оставьте один маршрут по умолчанию

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 14:37  (MSK)
>Ну тогда можно начать с того, чтоб их удалить, для того, чтоб
>все функционировало, они не нужны. Вы же указываете, что сеть 10.10.10.9
>нужно искать за интерфейсом eth1 а второй строкой за eth0. два
>одинаковых марштура с разным направлением. И не будет работать. Для начала
>оставьте один маршрут по умолчанию

Убрать - убрал, полностью согласен - это мусор.
Все работает, но
ping 217.xxx.xxx.xxx с машины находящейся в 10.10.10.0
Превышен интервал ожидания для запроса.
Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127
Превышен интервал ожидания для запроса.
Ответ от 217.ххх.ххх.ххх число байт=32 время<10мс TTL=127
Таким образом 50% потерь.
Аналогично если пинговать машину в 10.10.10.0 с реальных адресов.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 16:38  (MSK)
Как говорится, в правильно заданном вопросе содержиться 70% ответа.
Попробую уточнить свой вопрос:
ip nat inside source list 102 interface Ethernet1 overload
# данная строка говорит, что все что описано 102-м ACL натить на
адрес Eth1
access-list 102 permit ip any 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
Можно ли исключить из этого условия пакеты направляемые в сеть
217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от vega emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 16:59  (MSK)
>Как говорится, в правильно заданном вопросе содержиться 70% ответа.
>Попробую уточнить свой вопрос:
>ip nat inside source list 102 interface Ethernet1 overload
># данная строка говорит, что все что описано 102-м ACL натить на
>
>адрес Eth1
>access-list 102 permit ip any 10.10.10.0 0.0.0.255
>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>Можно ли исключить из этого условия пакеты направляемые в сеть
>217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
>или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
>из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
>

Исключить можно.Н-р с помошью route-map

ip nat inside source route-map NONAT interface Ethernet0 overload

route-map NONAT permit 10
match ip address 102

access-list 102 deny   ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any

У меня так сделано применительно к тунелю - запрещена трансляция адресов при обращении к локальной сеть, расположенной на другом конце тунеля, а в других случаях натится без проблем

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 17:31  (MSK)
>>Как говорится, в правильно заданном вопросе содержиться 70% ответа.
>>Попробую уточнить свой вопрос:
>>ip nat inside source list 102 interface Ethernet1 overload
>># данная строка говорит, что все что описано 102-м ACL натить на
>>
>>адрес Eth1
>>access-list 102 permit ip any 10.10.10.0 0.0.0.255
>>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>>Можно ли исключить из этого условия пакеты направляемые в сеть
>>217.ххх.ххх.ххх, висящую на secondary адресе того же интерфейса (Eth0),
>>или это противоречит IP-адресации. Тогда как сделать, чтобы пакеты
>>из сети 10.10.10.0 ходили в 217.ххх.ххх.ххх пусть с NAT-ом но без потерь?
>>
>Спасибо, обязательно попробую, пока
люди работают циска не дает мне срубить прежний ip nat inside,
ругается : %Dynamic mapping in use, cannot remove
видимо без shutdown интерфейса не обойтись.
>Исключить можно.Н-р с помошью route-map
>
>ip nat inside source route-map NONAT interface Ethernet0 overload
>
>route-map NONAT permit 10
> match ip address 102
>
>access-list 102 deny   ip 10.10.10.0 0.0.0.255 217.xxx.xxx.xxx 0.0.0.255
>access-list 102 permit ip 10.10.10.0 0.0.0.255 any
>
>У меня так сделано применительно к тунелю - запрещена трансляция адресов при
>обращении к локальной сеть, расположенной на другом конце тунеля, а в
>других случаях натится без проблем


  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от vega emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 17:35  (MSK)
Ну почему же, можно и без shutdown-а обойтись
для начала clear ip nat tr * . По моему так... а потом удаляем...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 18:33  (MSK)
>Ну почему же, можно и без shutdown-а обойтись
>для начала clear ip nat tr * . По моему так... а
>потом удаляем...
Все сделал, теперь
ip nat inside source route-map NONAT interface Ethernet1 overload
но ситуация не изменилась, мало того при
sh route-map NONAT
route-map NONAT, permit, sequence 10
  Match clauses:
    ip address (access-lists): 102
  Set clauses:
  Policy routing matches: 0 packets, 0 bytes
т.е. она как бы и не работает.
А как еще можно посмотреть как пакетики через NAT/не через NAT ходят?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Посоветуйте пжста, что предпринять с secondary IP address" 
Сообщение от hobbit Найти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 09-Дек-03, 20:41  (MSK)
Вобщем вывод такой, из приватной сетки вот так просто
в сетку реальных адресов не попасть, нужен NAT на реальный адрес -
это аксиома.
Но черт возьми, почему пакеты проходя через NAT и возвращаясь обратно за маршрутизатор в сеть реальных адресов так безбожно теряются - каждый второй? Неужели ничего нельзя сделать?
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру