Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Есть схема сети Вложение:
NAT_EIGRP.jpg [ 8.58 КБ | Просмотров: 28246 ]
Есть кусочки конфига: CO: int f0/0 ip address 10.140.1.1 255.255.255.0 router eigrp 100 network 10.0.0.0 0.0.0.255 no auto-summary Region: int f0/0 ip nat outside ip address 10.140.1.2 255.255.255.0 int f0/1 ip nat inside ip addr 10.1.1.1 255.255.255.0 ip access-list standard NAT permit 10.0.0.0 0.255.255.255 ip nat inside source list NAT interface f0/0 overload router eigrp 100 network 10.0.0.0 0.255.255.255 no auto-summary ВОПРОС (с подковыркой): увидит ли СО сеть 10.1.1.0/24 в своей таблице маршрутизации? Дерзайте! ЗЫ Если не увидит, то почему и как починить?
|
09 фев 2009, 16:11 |
|
|
Theatralka
Зарегистрирован: 16 дек 2008, 23:29 Сообщения: 1
|
CO даже не завяжется по EIGRP с соседом, т.к. на СО неправильно написана команда network. Надо так: network 10.0.0.0 0.255.255.255
|
10 фев 2009, 16:58 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, сорри, опечатался. На СО читать: network 10.140.1.0 0.0.0.255 Спасибо. Продолжаем с поправками
|
10 фев 2009, 17:11 |
|
|
Theatralka
Зарегистрирован: 16 дек 2008, 23:29 Сообщения: 1
|
А я думала, это уже ответ ;-) Стесняюсь предположить-предложить свое решение. Тут написать или лучше почтой? Или лично сказать?..
|
10 фев 2009, 17:15 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Сюда, всё сюда! Не надо стесняться! Ещё пару дней назад я тоже дал бы ДРУГОЙ ответ Разберем, обсудим, мож чего придумаем
|
10 фев 2009, 20:04 |
|
|
Theatralka
Зарегистрирован: 16 дек 2008, 23:29 Сообщения: 1
|
На СО эта сеть и не нужна для нормальной работы, ибо не ее адреса будут появляться в адресе от тех хостов.
|
11 фев 2009, 14:01 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
А как же СО будет отношение соседства устанавливать?
|
11 фев 2009, 14:06 |
|
|
petrovsky
|
GRE надо поднять
|
25 фев 2009, 10:30 |
|
|
eugee
|
gre с overload не работает кажись.
|
25 фев 2009, 16:23 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Будьте проще!
Никаких GRE
Вопрос простой: будет ли видна сеть 10.1.1.0/24 на СО
|
25 фев 2009, 16:53 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Уточнение: видна в таблице маршрутизации
|
25 фев 2009, 16:54 |
|
|
locking2006
Зарегистрирован: 14 окт 2008, 22:21 Сообщения: 22
|
в аксесс листе deny host 10.140.1.2 и hello начнут ходить между роутерами, а так нет. соседства не будет. (и в нат трансляциях не появятся потому что это приведет к ошибке трансляций.т е проблему трудно диагностировать будет разве что посмотреть deb ip eigrp packet hello на первом роутере- увидим что не приходят они)
|
26 фев 2009, 19:49 |
|
|
locking2006
Зарегистрирован: 14 окт 2008, 22:21 Сообщения: 22
|
ну можно натить только сеть 10,1,1,0
|
26 фев 2009, 20:01 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Да, ответ верный.
Формально это звучит так: Если на интерфейсе запущена работа протокола EIGRP, а также он является внешним для трансляций NAT (ip nat outside) и адрес этого интерфейса попадает в диапазон транслируемых адресов (попадает в access-list, в котором описывается, что мы транслируем), то отношение соседства не устанавливается. Hello пакеты, приходящие на этот интерфейс не обрабатываются. Видимо, из-за того, что маршрутизатор пытается их обратно странслировать.
Решение простое: выкинуть адрес интерфейса маршрутизатора из списка транслируемых адресов ( например, добавить первой строкой deny ip h <int> any)
Данная проблема не описана нигде, т.е. фичей скорее всего не является.
ЗЫ Надо бы ещё с OSPF проверить...
|
27 фев 2009, 10:08 |
|
|
locking2006
Зарегистрирован: 14 окт 2008, 22:21 Сообщения: 22
|
уверен тоже самое будет тот же мультикаст хелло либо ip ospf network nonbroadcast- unicast будет попадать в нат и производить ошибку и ни нат трансляций не будет ни полезнолго ничего. Вообщем картина таже, если учесть способность eigrp работать и по мультикасту и по юникасту (он так же посылает разные типвы пакетов при неудаче - но автоматически это пронюхивает в отличии от оспфа)
|
02 мар 2009, 17:53 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Мне тоже так кажется Осталось только понять, почему эта хитрая циска пытается странслировать пакет, пришедший на внешний интерфейс... Ведь он помечен, как ip nat outside. Этого я понять не могу
|
02 мар 2009, 23:47 |
|
|
locking2006
Зарегистрирован: 14 окт 2008, 22:21 Сообщения: 22
|
[quote="Fedia"]Мне тоже так кажется :)
Осталось только понять, почему эта хитрая циска пытается странслировать пакет, пришедший на внешний интерфейс... Ведь он помечен, как ip nat outside. Этого я понять не могу[/quote]
Аналогично- видимо не продумана технология применения NAT всетаки. Интересно что бы ответила cisco по этому вопросу.
|
17 мар 2009, 16:57 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Скажет одно из двух: 1. Пацаны, это фича, а вы не догоняете! (Напимер, там какая-нить общая вещь типа ip nat enable так построена) 2. Спасибо, пацаны, бага, поправим 3. Ничего не скажет
|
17 мар 2009, 17:10 |
|
|