Автор |
Сообщение |
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
Добрый день! Есть 1811, за ней локалка, на внешнем интерфейсе есть два ip адреса, необходимо настроить nat таким образом, что-бы все компьютеры выходили под основным ip, а определенные компьютеры выходили под вторым адресом в сеть. В 112 ACL выбраны только определенные компы, а в 111 ACL описываются все остальные. pool external - для всех, pool east.krsk - для избранных
interface Vlan101 ip address 10.51.41.8 255.255.255.224 secondary ip address 10.51.41.9 255.255.255.224 secondary ip address 10.51.41.13 255.255.255.224 secondary ip address 10.51.41.22 255.255.255.224 ip nat outside ip virtual-reassembly ip policy route-map ALL ! interface Vlan100 ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.51.41.1 ! ! ip nat pool external 10.51.41.22 10.51.41.22 prefix-length 22 ip nat pool east.krsk 10.51.41.8 10.51.41.8 prefix-length 24 ! access-list 111 deny ip host 192.168.0.16 host 10.88.122.81 access-list 111 deny ip host 192.168.0.20 host 10.88.122.81 access-list 111 deny ip host 192.168.0.42 host 10.88.122.81 access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 112 permit ip host 192.168.0.16 host 10.88.122.81 access-list 112 permit ip host 192.168.0.20 host 10.88.122.81 access-list 112 permit ip host 192.168.0.42 host 10.88.122.81 access-list 112 deny ip any any log-input
|
25 май 2009, 11:06 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
ip nat inside sou list 111 pool external overload ip nat inside sou list 112 pool east.msk overload
Не работает?
Попробуйте убрать вот эту строчку
access-list 112 deny ip any any log-input
Думаю, что всё заработает.
Сорри, не всё сообщение сразу написал.
|
25 май 2009, 11:11 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
а как мне включать нат? ведь я его не указал.
|
25 май 2009, 11:12 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
нет, не помогло да и удаление access-list 112 deny ip any any log-input роли не играет, ведь самое последнее правило по умолчанию deny any any
как мне кажется надо смотреть в сторону PBR, но у меня не хватает опыта правильно настроить его
|
25 май 2009, 12:37 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
вот вроде как решил:
ip nat inside source list 110 pool eastKRSK overload ip nat inside source list 111 pool external overload ! access-list 110 permit ip host 192.168.0.16 host 10.88.122.81 access-list 110 permit ip host 192.168.0.20 host 10.88.122.81 access-list 110 permit ip host 192.168.0.42 host 10.88.122.81 access-list 110 permit ip host 192.168.0.100 host 10.88.122.81 access-list 110 deny ip any any log access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 111 deny ip any any log
т.е. сначала делаю нат для особенных, а потом для всех остальных.
|
25 май 2009, 13:26 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Не годится.
У правил НАТа нет приоритета. Все, что есть , записаны в конфиг и берется первое подошедшее. Для "избранных" в вашем конфиге подходят ОБА правила! Каким воспользуется циска?
Поэтому надо строчки "deny для избранных" обратно добавить.
И уберите строки deny ip any any log Они мало того, что лишние, мало того, что log на ACL для НАТа ничего не учитывает, так скорее всего ещё и трансляции может не создать.
|
25 май 2009, 13:30 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
теперь вот так: access-list 110 permit ip host 192.168.0.16 host 10.88.122.81 access-list 110 permit ip host 192.168.0.20 host 10.88.122.81 access-list 110 permit ip host 192.168.0.42 host 10.88.122.81 access-list 110 permit ip host 192.168.0.100 host 10.88.122.81
access-list 111 deny ip host 192.168.0.16 host 10.88.122.81 access-list 111 deny ip host 192.168.0.20 host 10.88.122.81 access-list 111 deny ip host 192.168.0.42 host 10.88.122.81 access-list 111 deny ip host 192.168.0.100 host 10.88.122.81 access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
все-ли верно?
|
25 май 2009, 13:37 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, кмк.
|
25 май 2009, 14:42 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
тогда, попутно еще один вопрос. На роутере сейчас используется 8 портов(2-vlan101,6-vlan100), те которые в свиче, а два Wan порта простаивают. Маршрутизация настроена через вланы. Т.к. портов не хватает, то можно как-либо перевести wan порты в тот-же влан, что и порты на коммутаторе? Хочется обойтись одной железякой, и не ставить дополнительно коммутатор.
|
25 май 2009, 14:50 |
|
|
none
Зарегистрирован: 18 май 2009, 14:00 Сообщения: 18
|
А чего внешний канал не включить в wan?
|
25 май 2009, 15:13 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
у меня в коммутатор воткнуты серваки с внешними ипами, из той-же подсети, потому и спрашиваю, как wan порт загнать в тот-же влан что и порты коммутатора
|
25 май 2009, 15:16 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Если честно, не понял задачи: картинку не нарисуете?
|
25 май 2009, 16:31 |
|
|
nroman
Зарегистрирован: 04 мар 2009, 21:06 Сообщения: 29
|
мой роутер выступает в качестве шлюза для локалки. как задействовать оставшиеся два порта для подключения локальных или внешних машин?
Вложения:
Drawing1.gif [ 20.18 КБ | Просмотров: 14490 ]
|
26 май 2009, 08:00 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Подключить машины не сложно, но они не будут коммутироваться, а только маршрутизироваться, т.е. на порту циски надо будет задать ip адрес, на компе, воткнутом в эту дырку - адрес из этой же подсети и далее всё будет маршрутизироваться само.
|
28 май 2009, 15:38 |
|
|