Anticisco
http://www.anticisco.ru/forum/

route-map NAT
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11341
Страница 1 из 1

Автор:  emmetoya [ 15 июн 2020, 20:28 ]
Заголовок сообщения:  route-map NAT

Добрый день!

Решаю задачу по настройке сервера телефонии за NAT Cisco 2911.
CISCO2911 MGMT_IP: 10.40.1.1
SIPSERVER_IP: 10.40.12.2
Нужно обеспечить доступность портов tcp/udp 5060,5061,5090 а так же диапазон для RTP udp 9000-10999.

Для этого использую route-map NAT. Порты видны из внешней сети, все отлично. Проблема была не сразу обнаружена - про добавлении
Код:
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
отваливается доступ к 2911 по SSH, а пинги проходят, но не от 2911, а сервера телефонии. Для доступа по SSH пришлось добавить костыль-строку
Код:
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
.
Посмотрел
Код:
sh ip nat tr
icmp перенаправляется на 10.40.12.2, видимо SSH уходит туда же.
Как только убираю route-map, все возвращается, пинги бегают, но соответственно теряю 9000-10999 udp порты. Добавлять 20 000 записей в конфиг нет никакого желания :)

В ACL SIP_PORTS указаны только необходимые порты и диапазоны, почему все уходит на 10.40.12.2?

Задача сделать так чтобы route-map на SIP-телефонию не влиял на работу остальных хостов. Пробовал уже по-всякому, не получается, такое ощущение что чего-то просто не понимаю. С route-map работаю впервые, обычно хватало nat inside static.


Код:
!
interface GigabitEthernet0/1
 description -==WAN2==-
 ip address 172.22.1.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2.112
 description -==SRV_SIP==-
 encapsulation dot1Q 112
 ip address 10.40.12.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
no ip nat service sip udp port 5060
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
ip nat inside source static tcp 10.40.12.2 3389 172.22.1.2 42721 extendable
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
!
ip access-list extended NAT
 permit ip 10.40.0.0 0.0.255.255 any
ip access-list extended SIP_PORTS
 permit tcp host 10.40.12.2 any eq 5060 5061 5090
 permit udp host 10.40.12.2 any eq 5060 5061 5090
 permit udp host 10.40.12.2 any range 9000 10999
!
route-map SIP_NAT permit 10
 match ip address SIP_PORTS

Автор:  Maxische [ 16 июн 2020, 07:07 ]
Заголовок сообщения:  Re: route-map NAT

Попробуйте сделать по этой статье http://www.anticisco.ru/forum/viewtopic.php?p=14358

Автор:  emmetoya [ 17 июн 2020, 15:28 ]
Заголовок сообщения:  Re: route-map NAT

Maxische писал(а):
Попробуйте сделать по этой статье viewtopic.php?p=14358

Спасибо, попробую соорудить что-то похожее.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/