Jump to content
Калькуляторы

ASR1002 dynamic nat overload Не пробрасывает TCP/UDP

Добрый день!

 

Коллеги, имеется железка:

ASR1002

ASR1002-RP1

ASR1000-ESP10

 

есть несколько IOS:

asr1000rp1-adventerprisek9.03.13.01.S.154-3.S1-ext.bin

asr1000rp1-adventerprisek9.03.12.02.S.154-2.S2-std.bin

asr1000rp1-advipservicesk9.03.13.00.S.154-3.S-ext.bin

 

и имеем следующую конфигурацию NAT:

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end

sh ip access-lists ACL-TEST-NAT
Extended IP access list ACL-TEST-NAT
   10 permit ip 172.31.10.0 0.0.0.255 192.168.200.0 0.0.0.255
   20 permit ip 172.31.15.0 0.0.0.255 192.168.200.0 0.0.0.255

ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24
ip nat inside source list ACL-TEST-NAT pool TEST-NAT overload

 

При такой конфигурации, наблюдаю интересную особенность, ping до хостов из сети 192.168.200.0/24 есть, а вот tcp/udp не ходит.

При этом, вывод sh ip nat translations:

tcp  192.168.210.120:1172    172.31.10.64:41041  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1160    172.31.10.64:59670  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1174    172.31.10.64:42544  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1026    172.31.10.64:46491  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1163    172.31.10.64:59783  192.168.200.12:80       192.168.200.12:80
tcp  192.168.210.120:1182    172.31.10.64:36144  192.168.200.12:80       192.168.200.12:80

"Матчий" в ACL-TEST-NAT нет.

 

В debug видим следующие:

TCP: input 192.168.200.12(80) -> 59683: ACK while in LISTEN

TCP: sending RST, seq 1679007384, ack 0

TCP: sent RST to 192.168.200.12:80 from 172.31.10.64:59683

Released port 0 in Transport Port Agent for TCP IP type 0 delay 240000

 

Интересно то, что если натить в loopback или делать статическую трансляцию, то подобной проблемы не возникает.

Коллеги, кто с сталкивался с подобным поведением NAT на IOS XE? Как лечить?)

Edited by unfraget

Share this post


Link to post
Share on other sites

Кто пописал про cgn, спасибо помогло, но с одной стороны более походит на костыль :)

а есть ли возможность использовать nat в pool с overload без cgn?

Share this post


Link to post
Share on other sites

 

interface Loopback10
description TEST_NAT
ip address 192.168.210.120 255.255.255.255
end

 

ip nat pool TEST-NAT 192.168.210.120 192.168.210.120 prefix-length 24

 

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

Share this post


Link to post
Share on other sites

ShyLion

Зачем делать пул, используя адрес существующего интерфейса и зачем этот интерфейс вообще?

Про пул не скажу, сложилось исторически.

Интерфейс необходим для того, приватные адреса не пересекались с партнерами. (в примерах ваше, адреса заменены)

Edited by unfraget

Share this post


Link to post
Share on other sites

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

Share this post


Link to post
Share on other sites

Адреса из пула не должны пересекаться с адресом интерфейса. Все равно что попытаться на разные интерфейсы одинаковые адреса назначить.

ИМХО.

Эмм, нет.

если у вас на интерфейсе будет сеть /24 например, то pool например будет с 1-254.

Но пока вы первый адрес не забьёте 65k трансляциями, второй адрес использоваться не будет.

ИМХО ;)

Share this post


Link to post
Share on other sites

Фигня какая-то. Не надо интерфейс, если пул уже есть.

 

Не будет такого если включить pap.

Согласен, фигня. - ip nat settings pap включен

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.