Jump to content
Калькуляторы

ASR1001 Не могу настроить NAT

sirmax   

sirmax
Posted

Тестирую NAT и внезапно - не работает совсем 😞

Пробую следующие сценарии:

Первый (без cg-nat пока) -  нат "в интерфейс":

  

ip nat translation timeout 120
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60

"Внешний" интерфейс: 

interface Port-channel1.54
 encapsulation dot1Q 54
 ip address 172.31.100.194 255.255.255.252
 ip nat outside
end

 

"Внутренний" инетерфейс к хосту, который надо натить (10.64.1.1

interface Loopback101
 ip address 100.64.255.254 255.255.0.0
end

  

interface Port-channel1.101
 encapsulation dot1Q 101
 ip unnumbered Loopback101 poll
 ip nat inside
end

  

ip nat inside source list allow-nat-for-100-64-1-0 interface Port-channel1.54 overload

  

ASR1001#show ip access-lists allow-nat-for-100-64-1-0
Extended IP access list allow-nat-for-100-64-1-0
    10 deny ip any 192.168.0.0 0.0.255.255
    20 deny ip any 172.16.0.0 0.15.255.255
    30 deny ip any 10.0.0.0 0.255.255.255
    40 permit ip 100.64.1.0 0.0.0.255 any
    50 deny ip any any

 

 

И при ping 172.31.100.193 с хоста 100.64.1.1  (попадает в ip access-lists allow-nat-for-100-64-1-0) на другом конце вижу 

tcpdump  -n -i vxlan54 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vxlan54, link-type EN10MB (Ethernet), capture size 262144 bytes
18:11:42.870280 IP 100.64.1.1 > 172.31.100.193: ICMP echo request, id 28773, seq 1, length 64


 

Другими словами - "не работает"


Если попробовать пинговать в сторону хоста (100.127.1.1) доступного через  ДРУГОЙ, (Po2.201) отличный от того "в куда" нат - то 

tcpdump -n -i ens5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5, link-type EN10MB (Ethernet), capture size 262144 bytes
15:15:39.549850 IP 172.31.100.194 > 100.127.1.1: ICMP echo request, id 28774, seq 76, length 64


Интерфейс в сторону хоста 100.127.1.1 

interface Port-channel2.201
 encapsulation dot1Q 201
 ip unnumbered Loopback102 poll
 ip nat outside
end

 

 

Второй сценарий:

Если же изменить и вместо попытки натить в интерфейс, натить в пул:

  

ip nat pool nat-pool-for-100-64-1-0 100.127.255.1 100.127.255.1 prefix-length 24

 

То нат начинает работать но только  в том случае если на роутере на интерфейсе отсутсвует адрес в который натить (100.127.255.1)
 Если этот адрес добавить на инетрфейс то tcp  нат ломается, ICMP  продолжает ходить
  

ASR1001(config-if)#int lo 102
ASR1001(config-if)#ip address 100.127.255.1 255.255.0.0 secondary

 

При этом в tcpdump видно что до получателя (100.127.1.1.22) пакеты доходят модифицированными 

tcpdump -n -i ens5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens5, link-type EN10MB (Ethernet), capture size 262144 bytes
15:22:15.345415 IP 100.127.255.1.36756 > 100.127.1.1.22: Flags [P.], seq 3579190893:3579190895, ack 3465434160, win 502, options [nop,nop,TS val 746694865 ecr 1754284676], length 2

 

но ответных пакетов не отправителе не видно

 

Трансляция выглядит вот так: 

ASR1001#show ip nat translations
Pro  Inside global         Inside local          Outside local         Outside global
tcp  100.127.255.1:36760   100.64.1.1:36760      100.127.1.1:22        100.127.1.1:22
Total number of translations: 1



Собственно, что я делаю тут не правильно?
и второй попутный вопрос - как сделать так что бы адрес в который делается нат зависил от исходящего интерфейса.

 

 

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

 читать всю, там полно примеров тупых ошибок. Например, 

 

3 часа назад, sirmax сказал:

нат начинает работать но только  в том случае если на роутере на интерфейсе отсутсвует адрес в который натить (100.127.255.1)

- это тупая ошибка, о которой даже в самом начале Библии написано.

 

3 часа назад, sirmax сказал:

как сделать так что бы адрес в который делается нат зависил от исходящего интерфейса.

 

Это тоже глупая затея, Библия намекает, а в той теме есть наглядный пример - самый быстрый способ просрать все ресурсы TCAM.

 

Просто привычные по ISR приемы на ASR или не работают вообще, или работают так, что лучше не связываться.

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted
59 минут назад, jffulcrum сказал:

тупых ошибок.

Это про меня, я как раз на роутере от cisco нат делал 0 раз, так что да, ошибки тупые точно будут 😞

спасибо

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...