vevilz Posted February 14, 2019 · Report post Добрый день. Проблема в настройке NAT на cisco ASR1002 (2RU) processor (revision 2RU) c версией ПО asr1000rp1-adventerprisek9.03.13.10.S.154-3.S10-ext ip vrf net_840 interface TenGigabitEthernet0/1/0.840 description =====# net_840 to ul #===== encapsulation dot1Q 840 ip vrf forwarding net_840 ....вся подсеть на этом интефейсе secondary ip address 100.50.6.3 255.255.255.128 secondary ip address 100.50.6.4 255.255.255.128 secondary ip address 100.50.6.5 255.255.255.128 secondary ip address 100.50.6.6 255.255.255.128 secondary ip address 100.50.6.7 255.255.255.128 secondary ip address 100.50.6.8 255.255.255.128 secondary ip address 100.50.6.9 255.255.255.128 secondary ip address 100.50.6.2 255.255.255.128 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly interface TenGigabitEthernet0/1/1.101 description =====# net_840 to ul_101 #===== encapsulation dot1Q 101 ip vrf forwarding net_840 ip address 10.1.1.254 255.255.255.0 ip nat inside ip nat pool NAT_DMZ_10.1.1.0/24_new_AS 100.50.6.11 100.50.6.11 netmask 255.255.255.128 ip nat inside source list NAT_DMZ_10.1.1.0/24 pool NAT_DMZ_10.1.1.0/24_new_AS vrf net_840 overload ip access-list extended NAT_DMZ_10.9.1.0/24 permit ip 10.1.1.0 0.0.0.255 any ip route vrf net_840 0.0.0.0 0.0.0.0 100.50.6.1 При таком конфиге создаются только udp и icmp трансляции, cgn пробовал, так же не заработало, подозреваю что проблема в vrf или я не знаю тонкостей NAT на платформе IOS XE. Подскажите в какую сторону смотреть, читал темы тут, ничего сверхъестественного не увидел, прошивка вроде как рабочая. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 14, 2019 · Report post ip nat inside source list NAT_DMZ_10.1.1.0/24 pool NAT_DMZ_10.1.1.0/24_new_AS vrf net_840 match-in-vrf overload п.с. secondary адреса не нужны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vevilz Posted February 14, 2019 · Report post 8 минут назад, zhenya` сказал: ip nat inside source list NAT_DMZ_10.1.1.0/24 pool NAT_DMZ_10.1.1.0/24_new_AS vrf net_840 match-in-vrf overload п.с. secondary адреса не нужны. Спасибо, сегодня прочитал тут, попробую, секондари прописаны для пробросов, некоторые хотят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted February 14, 2019 · Report post оно не нужно. при добавлении статик трансляции циска сама начинает отвечать на арп запросы снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vevilz Posted February 14, 2019 · Report post 7 минут назад, zhenya` сказал: оно не нужно. при добавлении статик трансляции циска сама начинает отвечать на арп запросы снаружи. Спасибо за уточнение, а то всё время прописываю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...