|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Marat Sadykov 2:5049/157.2 10 Apr 2006 20:22:59
To : All
Subject : Помогите с NAT-ом
--------------------------------------------------------------------------------
Hа Cisco приходит через Ethernet Инет (канал 1Мбит) на подинтерфейс, так как
помимо него еще и внутренний канал есть.
nterface FastEthernet0/0
description Link to WAN
no ip address
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0.313
description Internet
encapsulation dot1Q 31
ip address a1.a2.a3.226 255.255.255.224
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
Также к Cisco подключены 8 локальных подсетей
interface FastEthernet0/1.101
description K1
encapsulation dot1Q 101
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
....
interface FastEthernet0/1.108
description K8
encapsulation dot1Q 108
ip address 192.168.8.1 255.255.255.0
ip access-group 108 in
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
Объявлены
access-list 11 permit 192.168.1.0 0.0.0.255
...
access-list 18 permit 192.168.8.0 0.0.0.255
Для взаимной защиты локалок созданы:
access-list 101 permit ip any host 192.168.1.1
access-list 101 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
...
access-list 108 permit ip any host 192.168.8.1
access-list 108 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
Для NATа создано (необходимо чтобы каждая подсеть выходила только под своим
внешним определенным IP - требование внешнего биллинга):
ip nat pool Net1 a1.a2.a3.229 a1.a2.a3.229 netmask 255.255.255.0
ip nat pool Net2 a1.a2.a3.233 a1.a2.a3.233 netmask 255.255.255.0
...
ip nat pool Net8 a1.a2.a3.241 a1.a2.a3.241 netmask 255.255.255.0
Hу и собственно связывание с локальными сетями:
ip nat inside source list 11 pool Net1 overload
ip nat inside source list 18 pool Net8 overload
Ситуация - 192.168.1.0/24 LAN выходит в инет всегда, а дальше чудеса:
если выходит 192.168.2.0/24 и 192.168.6.0/24 то не выходят 192.168.3.0/24 и
192.168.6.0/24 и наоборот (и аналогично с другими сетями локальными - стоит
сделать clear ip nat tra * и ситуация меняется).
Замена конструкций на
ip nat pool NET2N a1.a2.a3.233 a1.a2.a3.233 prefix-length 24
"прореживание" - выдача IP-внешних адресов с шагом=4 + смена 255.255.255.0 на
255.255.255.252 в netmask ситации не помогают.
Параметры рутера:
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(3),
RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Fri 22-Jul-05 00:32 by hqluong
ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
c1841-K uptime is 6 weeks, 2 days, 16 hours, 33 minutes
System returned to ROM by reload at 18:05:52 MSK Tue Feb 21 2006
System image file is "flash:c1841-advsecurityk9-mz.124-3.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 1841 (revision 5.0) with 116736K/14336K bytes of memory.
Processor board ID FCZ094521BR
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31744K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102
Hагрузка CPU и памяти минимальны
-----------
Может я не прав, как бы Вы решили ситуации когда
на интерфейс приходит сеть a1.a2.a3.226 255.255.255.224
и в идеале надо ПРОСТО выпускать в инет локальные сети с маскарадингом:
192.168.1.0/24 -> a1.a2.a3.230
192.168.2.0/24 -> a1.a2.a3.231
...
192.168.8.0/24 -> a1.a2.a3.237
Прошу совета и помощи.
Спасибо.
Good luck,
Marat Sadykov.
--- marats@tatnet.ru
* Origin: (2:5049/157.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Помогите с NAT-ом |
Marat Sadykov |
10 Apr 2006 20:22:59 |
 Re: Помогите с NAT-ом |
Andrew Lutov |
11 Apr 2006 08:27:46 |
|
|
