Сообщения без ответов | Активные темы Текущее время: 09 июл 2020, 02:22



Ответить на тему  [ Сообщений: 3 ] 
route-map NAT 
Автор Сообщение

Зарегистрирован: 07 дек 2013, 22:27
Сообщения: 5
Добрый день!

Решаю задачу по настройке сервера телефонии за NAT Cisco 2911.
CISCO2911 MGMT_IP: 10.40.1.1
SIPSERVER_IP: 10.40.12.2
Нужно обеспечить доступность портов tcp/udp 5060,5061,5090 а так же диапазон для RTP udp 9000-10999.

Для этого использую route-map NAT. Порты видны из внешней сети, все отлично. Проблема была не сразу обнаружена - про добавлении
Код:
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
отваливается доступ к 2911 по SSH, а пинги проходят, но не от 2911, а сервера телефонии. Для доступа по SSH пришлось добавить костыль-строку
Код:
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
.
Посмотрел
Код:
sh ip nat tr
icmp перенаправляется на 10.40.12.2, видимо SSH уходит туда же.
Как только убираю route-map, все возвращается, пинги бегают, но соответственно теряю 9000-10999 udp порты. Добавлять 20 000 записей в конфиг нет никакого желания :)

В ACL SIP_PORTS указаны только необходимые порты и диапазоны, почему все уходит на 10.40.12.2?

Задача сделать так чтобы route-map на SIP-телефонию не влиял на работу остальных хостов. Пробовал уже по-всякому, не получается, такое ощущение что чего-то просто не понимаю. С route-map работаю впервые, обычно хватало nat inside static.


Код:
!
interface GigabitEthernet0/1
 description -==WAN2==-
 ip address 172.22.1.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2.112
 description -==SRV_SIP==-
 encapsulation dot1Q 112
 ip address 10.40.12.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no cdp enable
!
no ip nat service sip udp port 5060
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
ip nat inside source static tcp 10.40.12.2 3389 172.22.1.2 42721 extendable
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
!
ip access-list extended NAT
 permit ip 10.40.0.0 0.0.255.255 any
ip access-list extended SIP_PORTS
 permit tcp host 10.40.12.2 any eq 5060 5061 5090
 permit udp host 10.40.12.2 any eq 5060 5061 5090
 permit udp host 10.40.12.2 any range 9000 10999
!
route-map SIP_NAT permit 10
 match ip address SIP_PORTS


15 июн 2020, 20:28
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 117
Попробуйте сделать по этой статье http://www.anticisco.ru/forum/viewtopic.php?p=14358


16 июн 2020, 07:07
Профиль

Зарегистрирован: 07 дек 2013, 22:27
Сообщения: 5
Maxische писал(а):
Попробуйте сделать по этой статье viewtopic.php?p=14358

Спасибо, попробую соорудить что-то похожее.


17 июн 2020, 15:28
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 24


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB