[sirmax]

Прошу прощения, возможно вопрос тупой, но ответа я не нашел пока
(вроде бы я натыкался на примеры такой конфигурации, но по глупости не записал в склеорзник а теперь не уверен что это было)

Есть 3 пула адресов (внешние) в которые хочется делать нат

для простоты обозначим их

 

Pool 1 - 198.18.0.110-198.18.0.120
Pool 2 - 198.18.0.210-198.18.0.220

Клиентская сеть - 100.64.0.0/16

Вопрос
Как ВСЕХ всех клиентов натить в полный пул, состоящий из адресов Pool 1 + Pool 2 (очевидно с оверлоадом)

(очевидное решение резить клиентов на 2 диапазона и натить каждого в отдельный пул можно не озвучивать)

Возможно так сделать нельзя или есть причины так не делать?

[sirmax]

Отвечу сам себе

 

ip nat pool NAT-POOL-for-100-64-16-0 prefix-length 24
 address 198.18.0.110 198.18.0.120
 address 198.18.0.210 198.18.0.220

 

[Andrei]

В 16.03.2024 в 00:02, sirmax сказал:

Отвечу сам себе

 

ip nat pool NAT-POOL-for-100-64-16-0 prefix-length 24
 address 198.18.0.110 198.18.0.120
 address 198.18.0.210 198.18.0.220

 

А полное решение можно?
А то у меня просто натится в ip на интерфейсе:
 

ip nat inside source list 100 interface FastEthernet1/1.502 overload

access-list 100 permit ip 172.21.40.0 0.0.0.255 any

interface FastEthernet1/1.502
 encapsulation dot1Q 502
 ip address 62.ххх.ххх.ххх 255.255.255.252
 ip nat outside

 

[sirmax]

@Andrei

У меня есть следующая задача - заменить Nat на линуксе на железку

Сеть пользователей с серыми адресами - пусть будет 192.168.0.0/20

Сеть внешних адресов -  198.18.0.0/24

 

из сети внешних адресов часть уже использована (пусть будет выдана юрикам) и не должна быть использована в NAT

Внешний интерфейс:
 

interface Port-channel2.54
 encapsulation dot1Q 54
 ip address 172.31.100.194 255.255.255.252
 ip nat outside
!

Внутренние интерфейсы (один для примера):
 

interface Port-channel1.102
 encapsulation dot1Q 102
 ip dhcp relay information trusted
 ip dhcp relay information policy-action keep
 ip unnumbered Loopback101
 ip helper-address 100.100.100.1
 ip helper-address 100.100.100.11
 ip nat inside
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address ipv4

Пул адресов (состоит из 2 частей) (в этом месте у меня случился затык - я не знал как это сделать)
 

ip nat pool NAT-POOL-for-192.168.0.0 prefix-length 24
 address 198.18.0.101 198.18.0.116
 address 198.18.0.240 198.18.0.250

 

Правило NAT
 

ip nat inside source list ACL-allow-nat-for-all-customers-192.168.0.0 pool NAT-POOL-for-192.168.0.0 overload

ACL
 

ip access-list extended ACL-allow-nat-for-all-customers-192.168.0.0
 deny   ip any 192.168.0.0 0.0.255.255
 deny   ip any 172.16.0.0  0.15.255.255
 deny   ip any 10.0.0.0    0.255.255.255
 deny   ip any 100.64.0.0  0.0.255.255
 permit ip 192.168.0.0     0.0.255.255 any
 deny   ip any any

 

 

К вопросу о том что бы натить в интерфейс - это работает совсем не везде
Для ASR есть много ограничений https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/xe-16/nat-xe-16-book/iadnat-addr-consv.html
Например, 
 

Do not configure the interface IP address as part of the IP address NAT pool.

Если это сделать то у меня нат работал более чем странно - пинги ходили а tcp нет

[zhenya`]

Уберите deny из этого ацл. Оставьте один пермит и эффект будет тот же, а железке чуть проще.

[sirmax]

7 часов назад, zhenya` сказал:

Уберите deny из этого ацл. Оставьте один пермит и эффект будет тот же, а железке чуть проще.

Как измерять эффект? 
На стенде мне не удалось нагрузить железку так что бы был заметный эффект от включения НАТа