Jump to content

ASR1002 dynamic nat overload

unfraget
 Share

Recommended Posts

unfraget

unfraget

Posted
Posted (edited)

Добрый день!

 

Коллеги, имеется железка:

ASR1002

ASR1002-RP1

ASR1000-ESP10

 

есть несколько IOS:

asr1000rp1-adventerprisek9.03.13.01.S.154-3.S1-ext.bin

asr1000rp1-adventerprisek9.03.12.02.S.154-2.S2-std.bin

asr1000rp1-advipservicesk9.03.13.00.S.154-3.S-ext.bin

 

и имеем следующую конфигурацию NAT:

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end


sh ip access-lists ACL-TEST-NAT
Extended IP access list ACL-TEST-NAT
   10 permit ip 172.31.10.0 0.0.0.255 192.168.200.0 0.0.0.255
   20 permit ip 172.31.15.0 0.0.0.255 192.168.200.0 0.0.0.255


ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24
ip nat inside source list ACL-TEST-NAT pool TEST-NAT overload

 

При такой конфигурации, наблюдаю интересную особенность, ping до хостов из сети 192.168.200.0/24 есть, а вот tcp/udp не ходит.

При этом, вывод sh ip nat translations:

tcp  192.168.210.120:1172    172.31.10.64:41041  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1160    172.31.10.64:59670  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1174    172.31.10.64:42544  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1026    172.31.10.64:46491  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1163    172.31.10.64:59783  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1182    172.31.10.64:36144  192.168.200.12:80       192.168.200.12:80

"Матчий" в ACL-TEST-NAT нет.

 

В debug видим следующие:

TCP: input 192.168.200.12(80) -> 59683: ACK while in LISTEN

TCP: sending RST, seq 1679007384, ack 0

TCP: sent RST to 192.168.200.12:80 from 172.31.10.64:59683

Released port 0 in Transport Port Agent for TCP IP type 0 delay 240000

 

Интересно то, что если натить в loopback или делать статическую трансляцию, то подобной проблемы не возникает.

Коллеги, кто с сталкивался с подобным поведением NAT на IOS XE? Как лечить?)

Edited by unfraget
unfraget

unfraget

Posted
  • Author
Posted

Кто пописал про cgn, спасибо помогло, но с одной стороны более походит на костыль :)

а есть ли возможность использовать nat в pool с overload без cgn?

ShyLion

ShyLion

Posted
Posted

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end

 

ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24

 

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

unfraget

unfraget

Posted
  • Author
Posted (edited)

ShyLion

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

Про пул не скажу, сложилось исторически.

Интерфейс необходим для того, приватные адреса не пересекались с партнерами. (в примерах ваше, адреса заменены)

Edited by unfraget
ShyLion

ShyLion

Posted
Posted

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

unfraget

unfraget

Posted
  • Author
Posted

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

Эмм, нет.

если у вас на интерфейсе будет сеть /24 например, то pool например будет с 1-254.

Но пока вы первый адрес не забьёте 65k трансляциями, второй адрес использоваться не будет.

ИМХО ;)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.