[kostas]

Коллеги, доброго времени суток.

Есть здесь кто активно пользовал сабж? Не могу заставить работать NAT на этом чуде.

Делал вроде все по документации.

1.Есть 2 вилана - один создал как outer, другой как inner.

2.Включил NAT - enable nat

3.Прописал рулес на внешний вилан для port mappig - map source 10.0.5.0/24 to 195.20.13.74/32 both portmap

4.Никаких ACL и чего либо другого не прописывал.

 

Итого: пинг наружу не бегает.

Может кто подскажет что я не докрутил?

[D^2]

во-первых через такой rule не идет icmp траффик, поэтому пинг у Вас и не должен идти.

во-вторых что у Вас с маршрутизацией? sh ip route

[kostas]

во-первых через такой rule не идет icmp траффик, поэтому пинг у Вас и не должен идти.

во-вторых что у Вас с маршрутизацией? sh ip route

Для ICMP по документации нужен рул для динамического NAT, вторым рулом добавил - map source 10.0.5.0/24 to 195.20.13.74/32. Этот рул должен мапить ICMP?

 

Маршрутизация

* Summit24e3:3 # sh iproute

OR Destination        Gateway         Mtr   Flags     Use M-Use VLAN     Acct-1
*d  195.20.13.72/30    195.20.13.74      1 U------u-     0     0 Inet  0     
d  192.168.1.0/24     192.168.1.1       1 -------u-     0     0 Default  0     
*d  10.0.5.0/24        10.0.5.1          1 U------u-    47     0 Vlan1 0     
*d  127.0.0.1/8        127.0.0.1         0 U-H----um     0     0 Default  0     
*s  Default Route      195.20.13.73      1 UG---S-um  2144     0 Inet  0     
#
#

Origin(OR): b - BlackHole, bo - BOOTP, ct - CBT
            d - Direct, df - DownIF, h - Hardcoded, i - ICMP
            mo - MOSPF, o - OSPF, oa - OSPFIntra, or - OSPFInter
            oe - OSPFAsExt, o1 - OSPFExt1, o2 - OSPFExt2
            r - RIP, ra - RtAdvrt, s - Static, un - UnKnown.

Flags: U - Up, G - Gateway, H - Host Route, D - Dynamic, R - Modified,
       S - Static, B - BlackHole, u - Unicast, m - Multicast.
#
#

Total number of routes = 6.

Mask distribution:
    1 default routes             1 routes at length  8    
    2 routes at length 24        1 routes at length 30    

Route origin distribution:
    4 routes from Direct        1 routes from Static

 

[kostas]

D^2 что я не так делаю?

[kostas]

пинги с сетки 10.0.5.0/24 до 195.20.13.74 доходят, но не дальше :(

[kostas]

Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем?

 

Рулы на NAT пробовал прописывать разные

map source 10.0.5.0/24 to 195.20.13.74/32 both portmap
map source any to 195.20.13.74/32 both portmap
map source 10.0.5.1/32 to 195.20.13.74/32

Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит).

Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет.

В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто?

[Nailer]

Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем?

 

Рулы на NAT пробовал прописывать разные

map source 10.0.5.0/24 to 195.20.13.74/32 both portmap
map source any to 195.20.13.74/32 both portmap
map source 10.0.5.1/32 to 195.20.13.74/32

Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит).

Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет.

В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто?

Давно не настраивал железок, а саммитов тем более, но имхо, вы что-то не так делаете.

 

Если вы хотите сделать нат в интернет (на любые дестинешны), то писать надо

 

map source 10.0.5.0/24 to any both portmap

 

иначе вы описываете только траффик, идущий к 195.20.13.74 - ну и логично, что он у вас натится и все пингуется.

[kostas]

Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем?

 

Рулы на NAT пробовал прописывать разные

map source 10.0.5.0/24 to 195.20.13.74/32 both portmap
map source any to 195.20.13.74/32 both portmap
map source 10.0.5.1/32 to 195.20.13.74/32

Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит).

Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет.

В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто?

Давно не настраивал железок, а саммитов тем более, но имхо, вы что-то не так делаете.

 

Если вы хотите сделать нат в интернет (на любые дестинешны), то писать надо

 

map source 10.0.5.0/24 to any both portmap

 

иначе вы описываете только траффик, идущий к 195.20.13.74 - ну и логично, что он у вас натится и все пингуется.

Первой же мыслью у меня было использовать правило именно так как вы написали, но

config nat [add | delete] vlan <outside_vlan> map source [any | <ipaddress>
[/<bits>| <netmask>]] to <ipaddress> [/<mask> | <netmask> | - <ipaddress>]

и пример использования

Static NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32
Dynamic NAT Rule Example
config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31

Но не воспринимает он такие правила. В статистике NAT по нулям

# sh nat stat
mapped    in    0    out    0
added        0
expired        0
no memory    0    bad nat    0
inuse        0
rules        1

 

Выдержка из документации

Configuring VLANs for NAT

You must configure each VLAN participating in NAT as either an inside or outside VLAN. To configure

a VLAN as an inside or outside VLAN, use the following command:

config nat vlan <name> [inside | outside | none]

When a VLAN is configured to be inside, traffic from that VLAN destined for an outside VLAN is

translated only if it has a matching NAT rule. Any unmatched traffic will be routed normally and not be

translated. Because all traffic destined for an outside VLAN runs through the central processing unit

(CPU), it cannot run at line-rate.

When a VLAN is configured to be outside, it routes all traffic destined for inside VLANs. Because the

routed traffic runs through the CPU, it cannot run at line-rate.

When a VLAN is configured to be none, all NAT functions are disabled and the VLAN operates

normally.

[kostas]

Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :)

При определении вилана как inside и прописи двух правил nat - все работает.

Остался вопрос только как во внутрь прокидывать порты :)

Не нравится мне чего-то сноска в документации

The NAT modes in ExtremeWare support translating traffic initiating only from inside addresses.

[kostas]

Как думаете, неужели PAT Mapping не реализован на таком достаточно мощном оборудовании? Чего-то как-то даже в голове не укладывается...

[kostas]

PAT - этот девайс не поддерживает.

 

Может все таки найдется спец по саммиту, поэтому на всякий случай задам вопрос :)

 

Необходимо два вилана объединить в транк на одном интерфейсе. Саммит это умеет делать?

Кто занималься подобный, дайте рецепт плиз,а ?

[kostas]

Интересно, никто не пользует эти девайсы или просто не сталкивался с такой задачей? Удивляет крайне бедная информация по этому девайсу.

[ingress]

мне вот интересно зачем в младшем L3 свиче NAT ? :)

[kostas]

мне вот интересно зачем в младшем L3 свиче NAT ? :)

Ну если он есть в нагрузку, почему бы не использовать? :)

Но не в этом суть :) Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit?

[Nag]

Ну если он есть в нагрузку, почему бы не использовать? :)

Потому что это угробит процессор на второй сотне килобит...

[D^2]

Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit?

create vlan vodka
config vodka tag 120
config vodka add port 1 tagged
config vodka add port 4,5

create vlan pivo
config pivo tag 130
config pivo add port 1 tagged
config pivo add port 6,7

 

не работает?

Изменено 2 сентября, 2008 пользователем D^2

[kostas]

Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit?

create vlan vodka
config vodka tag 120
config vodka add port 1 tagged
config vodka add port 4,5

create vlan pivo
config pivo tag 130
config pivo add port 1 tagged
config pivo add port 6,7

 

не работает?

Уже допер, спасибо :)

Но пока не пробовал - небыло возможности. После проверки обязательно отпишусь.

[ichbinkubik]

Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :)

При определении вилана как inside и прописи двух правил nat - все работает.

Остался вопрос только как во внутрь прокидывать порты :)

Не нравится мне чего-то сноска в документации

The NAT modes in ExtremeWare support translating traffic initiating only from inside addresses.

Izvinite, a ne mogli by vy utochnit kak nastroit' NAT na etom chude? Uzhe tretiy den' vozhus' bez polozhitelnogo rezultata.

[ichbinkubik]

Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :)

При определении вилана как inside и прописи двух правил nat - все работает.

Остался вопрос только как во внутрь прокидывать порты :)

Не нравится мне чего-то сноска в документации

Izvinite, a ne mogli by vy utochnit kak nastroit' NAT na etom chude? Uzhe tretiy den' vozhus' bez polozhitelnogo rezultata.

В общем отвечаю самому себе. Для того чтобы на роутерах с ExtremeWare начал работать нат нужно сделать следующие действия:

enable ipforwarding
enable nat
configure nat inner_net inside
configure nat outer_net outside
configure nat add vlan outer_net map source 192.168.0.0/24 to 212.154.189.21/32,

 

где 192.168.0.0/24 - внутренняя сеть фирмы, повешанная на внутренний влан inner_net, а 212.154.189.21 - белый адрес сети на внешнем влане.

У меня эта схема не работала из-за отключенной маршрутизации. Изначально эта сволочь работала как L2-свитч.

 

Но теперь у меня другая проблема. При пинговании интернета с внутренней сети через настроенный таким образом нат постоянно пропадают пакеты. Притом после очередной пропажи в логах появляется запись

<Crit:IPHS> Possible spoofing attack from 00:01:30:ff:7a:f0, port 48

Типа атака, причем с обоих портов: внешней и внутренней сети.

 

А выводе команды show nat stats постоянно увеличивается число просроченных (expired) соединений. Помогите мне пожалуйста. В чем здесь дело?

[ichbinkubik]

Опять отвечу самому себе, вдруг кому понадобится.

В общем к конфигурации приведенной в предыдущем моем сообщении нужно добавить строку

configure nat vlan outer_net inside

где outer_vlan - внешний влан, через который роутер получает интернет.

 

Тогда он перестанет обрывать соединения НАТ и все будет нормально. Правда я не знаю насколько канонiчно решение мое, но пока НАТ работает без перебоев.

Подобная конфигурация должна работать на всех моделях серии под управлением ОС ExtremeWare 7.4 и старше.

[stacyadams]

Первой же мыслью у меня было использовать правило именно так как вы написали, но

Код

config nat [add | delete] vlan <outside_vlan> map source [any | <ipaddress>

[/<bits>| <netmask>]] to <ipaddress> [/<mask> | <netmask> | - <ipaddress>]

и пример использования

Код

Static NAT Rule Example

config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32

Dynamic NAT Rule Example

config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31

Но не воспринимает он такие правила.

configure nat add vlan outer_net map source 192.168.0.0/24 to 212.154.189.21/32,

 

где 192.168.0.0/24 - внутренняя сеть фирмы, повешанная на внутренний влан inner_net, а 212.154.189.21 - белый адрес сети на внешнем влане.

[удалено]