[unfraget]

Добрый день!

 

Коллеги, имеется железка:

ASR1002

ASR1002-RP1

ASR1000-ESP10

 

есть несколько IOS:

asr1000rp1-adventerprisek9.03.13.01.S.154-3.S1-ext.bin

asr1000rp1-adventerprisek9.03.12.02.S.154-2.S2-std.bin

asr1000rp1-advipservicesk9.03.13.00.S.154-3.S-ext.bin

 

и имеем следующую конфигурацию NAT:

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end

sh ip access-lists ACL-TEST-NAT
Extended IP access list ACL-TEST-NAT
   10 permit ip 172.31.10.0 0.0.0.255 192.168.200.0 0.0.0.255
   20 permit ip 172.31.15.0 0.0.0.255 192.168.200.0 0.0.0.255

ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24
ip nat inside source list ACL-TEST-NAT pool TEST-NAT overload

 

При такой конфигурации, наблюдаю интересную особенность, ping до хостов из сети 192.168.200.0/24 есть, а вот tcp/udp не ходит.

При этом, вывод sh ip nat translations:

tcp  192.168.210.120:1172    172.31.10.64:41041  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1160    172.31.10.64:59670  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1174    172.31.10.64:42544  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1026    172.31.10.64:46491  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1163    172.31.10.64:59783  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1182    172.31.10.64:36144  192.168.200.12:80       192.168.200.12:80

"Матчий" в ACL-TEST-NAT нет.

 

В debug видим следующие:

TCP: input 192.168.200.12(80) -> 59683: ACK while in LISTEN

TCP: sending RST, seq 1679007384, ack 0

TCP: sent RST to 192.168.200.12:80 from 172.31.10.64:59683

Released port 0 in Transport Port Agent for TCP IP type 0 delay 240000

 

Интересно то, что если натить в loopback или делать статическую трансляцию, то подобной проблемы не возникает.

Коллеги, кто с сталкивался с подобным поведением NAT на IOS XE? Как лечить?)

Изменено 22 июня, 2016 пользователем unfraget

[unfraget]

Кто пописал про cgn, спасибо помогло, но с одной стороны более походит на костыль :)

а есть ли возможность использовать nat в pool с overload без cgn?

[ShyLion]

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end

 

ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24

 

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

[unfraget]

ShyLion

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

Про пул не скажу, сложилось исторически.

Интерфейс необходим для того, приватные адреса не пересекались с партнерами. (в примерах ваше, адреса заменены)

Изменено 30 июня, 2016 пользователем unfraget

[ShyLion]

в примерах ваше, адреса заменены

 

Таки пул совпадает с интерфейсом или нет?

[unfraget]

ShyLion

Да

Не совсем понимаю что Вас смутило в pool'е?

Изменено 30 июня, 2016 пользователем unfraget

[ShyLion]

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

[unfraget]

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

Эмм, нет.

если у вас на интерфейсе будет сеть /24 например, то pool например будет с 1-254.

Но пока вы первый адрес не забьёте 65k трансляциями, второй адрес использоваться не будет.

ИМХО ;)

[zhenya`]

Фигня какая-то. Не надо интерфейс, если пул уже есть.

 

Не будет такого если включить pap.

[unfraget]

Фигня какая-то. Не надо интерфейс, если пул уже есть.

 

Не будет такого если включить pap.

Согласен, фигня. - ip nat settings pap включен