Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 05:20



Ответить на тему  [ Сообщений: 14 ] 
Хитрый нат 
Автор Сообщение

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
Добрый день!
Есть 1811, за ней локалка, на внешнем интерфейсе есть два ip адреса, необходимо настроить nat таким образом, что-бы все компьютеры выходили под основным ip, а определенные компьютеры выходили под вторым адресом в сеть. В 112 ACL выбраны только определенные компы, а в 111 ACL описываются все остальные. pool external - для всех, pool east.krsk - для избранных


interface Vlan101
ip address 10.51.41.8 255.255.255.224 secondary
ip address 10.51.41.9 255.255.255.224 secondary
ip address 10.51.41.13 255.255.255.224 secondary
ip address 10.51.41.22 255.255.255.224
ip nat outside
ip virtual-reassembly
ip policy route-map ALL
!
interface Vlan100
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.51.41.1
!
!
ip nat pool external 10.51.41.22 10.51.41.22 prefix-length 22
ip nat pool east.krsk 10.51.41.8 10.51.41.8 prefix-length 24
!
access-list 111 deny ip host 192.168.0.16 host 10.88.122.81
access-list 111 deny ip host 192.168.0.20 host 10.88.122.81
access-list 111 deny ip host 192.168.0.42 host 10.88.122.81
access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

access-list 112 permit ip host 192.168.0.16 host 10.88.122.81
access-list 112 permit ip host 192.168.0.20 host 10.88.122.81
access-list 112 permit ip host 192.168.0.42 host 10.88.122.81
access-list 112 deny ip any any log-input


25 май 2009, 11:06
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
ip nat inside sou list 111 pool external overload
ip nat inside sou list 112 pool east.msk overload

Не работает?

Попробуйте убрать вот эту строчку

access-list 112 deny ip any any log-input

Думаю, что всё заработает.


Сорри, не всё сообщение сразу написал.


25 май 2009, 11:11
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
а как мне включать нат? ведь я его не указал.


25 май 2009, 11:12
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
нет, не помогло
да и удаление
access-list 112 deny ip any any log-input
роли не играет, ведь самое последнее правило по умолчанию deny any any

как мне кажется надо смотреть в сторону PBR, но у меня не хватает опыта правильно настроить его


25 май 2009, 12:37
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
вот вроде как решил:

ip nat inside source list 110 pool eastKRSK overload
ip nat inside source list 111 pool external overload
!
access-list 110 permit ip host 192.168.0.16 host 10.88.122.81
access-list 110 permit ip host 192.168.0.20 host 10.88.122.81
access-list 110 permit ip host 192.168.0.42 host 10.88.122.81
access-list 110 permit ip host 192.168.0.100 host 10.88.122.81
access-list 110 deny ip any any log
access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 111 deny ip any any log

т.е. сначала делаю нат для особенных, а потом для всех остальных.


25 май 2009, 13:26
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Не годится.

У правил НАТа нет приоритета. Все, что есть , записаны в конфиг и берется первое подошедшее. Для "избранных" в вашем конфиге подходят ОБА правила! Каким воспользуется циска?

Поэтому надо строчки "deny для избранных" обратно добавить.

И уберите строки deny ip any any log
Они мало того, что лишние, мало того, что log на ACL для НАТа ничего не учитывает, так скорее всего ещё и трансляции может не создать.


25 май 2009, 13:30
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
теперь вот так:
access-list 110 permit ip host 192.168.0.16 host 10.88.122.81
access-list 110 permit ip host 192.168.0.20 host 10.88.122.81
access-list 110 permit ip host 192.168.0.42 host 10.88.122.81
access-list 110 permit ip host 192.168.0.100 host 10.88.122.81

access-list 111 deny ip host 192.168.0.16 host 10.88.122.81
access-list 111 deny ip host 192.168.0.20 host 10.88.122.81
access-list 111 deny ip host 192.168.0.42 host 10.88.122.81
access-list 111 deny ip host 192.168.0.100 host 10.88.122.81
access-list 111 permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255

все-ли верно?


25 май 2009, 13:37
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, кмк.


25 май 2009, 14:42
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
тогда, попутно еще один вопрос.
На роутере сейчас используется 8 портов(2-vlan101,6-vlan100), те которые в свиче, а два Wan порта простаивают. Маршрутизация настроена через вланы. Т.к. портов не хватает, то можно как-либо перевести wan порты в тот-же влан, что и порты на коммутаторе? Хочется обойтись одной железякой, и не ставить дополнительно коммутатор.


25 май 2009, 14:50
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
А чего внешний канал не включить в wan?


25 май 2009, 15:13
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
у меня в коммутатор воткнуты серваки с внешними ипами, из той-же подсети, потому и спрашиваю, как wan порт загнать в тот-же влан что и порты коммутатора


25 май 2009, 15:16
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Если честно, не понял задачи: картинку не нарисуете?


25 май 2009, 16:31
Профиль

Зарегистрирован: 04 мар 2009, 21:06
Сообщения: 29
мой роутер выступает в качестве шлюза для локалки. как задействовать оставшиеся два порта для подключения локальных или внешних машин?


Вложения:
Drawing1.gif
Drawing1.gif [ 20.18 КБ | Просмотров: 14490 ]
26 май 2009, 08:00
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Подключить машины не сложно, но они не будут коммутироваться, а только маршрутизироваться, т.е. на порту циски надо будет задать ip адрес, на компе, воткнутом в эту дырку - адрес из этой же подсети и далее всё будет маршрутизироваться само.


28 май 2009, 15:38
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB