kostas Опубликовано 13 августа, 2008 · Жалоба Коллеги, доброго времени суток. Есть здесь кто активно пользовал сабж? Не могу заставить работать NAT на этом чуде. Делал вроде все по документации. 1.Есть 2 вилана - один создал как outer, другой как inner. 2.Включил NAT - enable nat 3.Прописал рулес на внешний вилан для port mappig - map source 10.0.5.0/24 to 195.20.13.74/32 both portmap 4.Никаких ACL и чего либо другого не прописывал. Итого: пинг наружу не бегает. Может кто подскажет что я не докрутил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 14 августа, 2008 · Жалоба во-первых через такой rule не идет icmp траффик, поэтому пинг у Вас и не должен идти. во-вторых что у Вас с маршрутизацией? sh ip route Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 14 августа, 2008 · Жалоба во-первых через такой rule не идет icmp траффик, поэтому пинг у Вас и не должен идти.во-вторых что у Вас с маршрутизацией? sh ip route Для ICMP по документации нужен рул для динамического NAT, вторым рулом добавил - map source 10.0.5.0/24 to 195.20.13.74/32. Этот рул должен мапить ICMP? Маршрутизация * Summit24e3:3 # sh iproute OR Destination Gateway Mtr Flags Use M-Use VLAN Acct-1 *d 195.20.13.72/30 195.20.13.74 1 U------u- 0 0 Inet 0 d 192.168.1.0/24 192.168.1.1 1 -------u- 0 0 Default 0 *d 10.0.5.0/24 10.0.5.1 1 U------u- 47 0 Vlan1 0 *d 127.0.0.1/8 127.0.0.1 0 U-H----um 0 0 Default 0 *s Default Route 195.20.13.73 1 UG---S-um 2144 0 Inet 0 # # Origin(OR): b - BlackHole, bo - BOOTP, ct - CBT d - Direct, df - DownIF, h - Hardcoded, i - ICMP mo - MOSPF, o - OSPF, oa - OSPFIntra, or - OSPFInter oe - OSPFAsExt, o1 - OSPFExt1, o2 - OSPFExt2 r - RIP, ra - RtAdvrt, s - Static, un - UnKnown. Flags: U - Up, G - Gateway, H - Host Route, D - Dynamic, R - Modified, S - Static, B - BlackHole, u - Unicast, m - Multicast. # # Total number of routes = 6. Mask distribution: 1 default routes 1 routes at length 8 2 routes at length 24 1 routes at length 30 Route origin distribution: 4 routes from Direct 1 routes from Static Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 15 августа, 2008 · Жалоба D^2 что я не так делаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 15 августа, 2008 · Жалоба пинги с сетки 10.0.5.0/24 до 195.20.13.74 доходят, но не дальше :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 26 августа, 2008 · Жалоба Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем? Рулы на NAT пробовал прописывать разные map source 10.0.5.0/24 to 195.20.13.74/32 both portmap map source any to 195.20.13.74/32 both portmap map source 10.0.5.1/32 to 195.20.13.74/32 Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит). Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет. В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 26 августа, 2008 · Жалоба Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем? Рулы на NAT пробовал прописывать разные map source 10.0.5.0/24 to 195.20.13.74/32 both portmap map source any to 195.20.13.74/32 both portmap map source 10.0.5.1/32 to 195.20.13.74/32 Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит). Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет. В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто? Давно не настраивал железок, а саммитов тем более, но имхо, вы что-то не так делаете. Если вы хотите сделать нат в интернет (на любые дестинешны), то писать надо map source 10.0.5.0/24 to any both portmap иначе вы описываете только траффик, идущий к 195.20.13.74 - ну и логично, что он у вас натится и все пингуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 26 августа, 2008 · Жалоба Ребят, ну неужели никто с этими замечательными девайсами не работал? Может кто-нибудь объяснить как заставить работать NAT на нем? Рулы на NAT пробовал прописывать разные map source 10.0.5.0/24 to 195.20.13.74/32 both portmap map source any to 195.20.13.74/32 both portmap map source 10.0.5.1/32 to 195.20.13.74/32 Одна фигня - за пределы внешнего vlan'а пакеты не уходят (я так подозреваю, тк ни пинги ни что либо другое не проходит). Как можно отмониторить это дело? Была бы машинка и доступ под рукой, то можно было бы прослушать что на внешнем интерфейсе твориться, но доступа нет. В консоли нашел debug-trace nat - что это? Как с ним работать, знает кто? Давно не настраивал железок, а саммитов тем более, но имхо, вы что-то не так делаете. Если вы хотите сделать нат в интернет (на любые дестинешны), то писать надо map source 10.0.5.0/24 to any both portmap иначе вы описываете только траффик, идущий к 195.20.13.74 - ну и логично, что он у вас натится и все пингуется. Первой же мыслью у меня было использовать правило именно так как вы написали, но config nat [add | delete] vlan <outside_vlan> map source [any | <ipaddress> [/<bits>| <netmask>]] to <ipaddress> [/<mask> | <netmask> | - <ipaddress>] и пример использования Static NAT Rule Example config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32 Dynamic NAT Rule Example config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31 Но не воспринимает он такие правила. В статистике NAT по нулям # sh nat stat mapped in 0 out 0 added 0 expired 0 no memory 0 bad nat 0 inuse 0 rules 1 Выдержка из документации Configuring VLANs for NATYou must configure each VLAN participating in NAT as either an inside or outside VLAN. To configure a VLAN as an inside or outside VLAN, use the following command: config nat vlan <name> [inside | outside | none] When a VLAN is configured to be inside, traffic from that VLAN destined for an outside VLAN is translated only if it has a matching NAT rule. Any unmatched traffic will be routed normally and not be translated. Because all traffic destined for an outside VLAN runs through the central processing unit (CPU), it cannot run at line-rate. When a VLAN is configured to be outside, it routes all traffic destined for inside VLANs. Because the routed traffic runs through the CPU, it cannot run at line-rate. When a VLAN is configured to be none, all NAT functions are disabled and the VLAN operates normally. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 26 августа, 2008 · Жалоба Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :) При определении вилана как inside и прописи двух правил nat - все работает. Остался вопрос только как во внутрь прокидывать порты :) Не нравится мне чего-то сноска в документации The NAT modes in ExtremeWare support translating traffic initiating only from inside addresses. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 26 августа, 2008 · Жалоба Как думаете, неужели PAT Mapping не реализован на таком достаточно мощном оборудовании? Чего-то как-то даже в голове не укладывается... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 29 августа, 2008 · Жалоба PAT - этот девайс не поддерживает. Может все таки найдется спец по саммиту, поэтому на всякий случай задам вопрос :) Необходимо два вилана объединить в транк на одном интерфейсе. Саммит это умеет делать? Кто занималься подобный, дайте рецепт плиз,а ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 30 августа, 2008 · Жалоба Интересно, никто не пользует эти девайсы или просто не сталкивался с такой задачей? Удивляет крайне бедная информация по этому девайсу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 30 августа, 2008 · Жалоба мне вот интересно зачем в младшем L3 свиче NAT ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 30 августа, 2008 · Жалоба мне вот интересно зачем в младшем L3 свиче NAT ? :)Ну если он есть в нагрузку, почему бы не использовать? :) Но не в этом суть :) Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 сентября, 2008 · Жалоба Ну если он есть в нагрузку, почему бы не использовать? :) Потому что это угробит процессор на второй сотне килобит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 2 сентября, 2008 (изменено) · Жалоба Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit? create vlan vodka config vodka tag 120 config vodka add port 1 tagged config vodka add port 4,5 create vlan pivo config pivo tag 130 config pivo add port 1 tagged config pivo add port 6,7 не работает? Изменено 2 сентября, 2008 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 2 сентября, 2008 · Жалоба Вопрос все таки в VLAN - транк из нескольких vlan на один порт, это реально на Summit? create vlan vodka config vodka tag 120 config vodka add port 1 tagged config vodka add port 4,5 create vlan pivo config pivo tag 130 config pivo add port 1 tagged config pivo add port 6,7 не работает? Уже допер, спасибо :) Но пока не пробовал - небыло возможности. После проверки обязательно отпишусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichbinkubik Опубликовано 30 октября, 2010 · Жалоба Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :)При определении вилана как inside и прописи двух правил nat - все работает. Остался вопрос только как во внутрь прокидывать порты :) Не нравится мне чего-то сноска в документации The NAT modes in ExtremeWare support translating traffic initiating only from inside addresses. Izvinite, a ne mogli by vy utochnit kak nastroit' NAT na etom chude? Uzhe tretiy den' vozhus' bez polozhitelnogo rezultata. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichbinkubik Опубликовано 2 ноября, 2010 · Жалоба Разобрался. Тестировал с разных сеток просто и получалось так, что всегда чего нибудь да не прописано у очередной сетки :)При определении вилана как inside и прописи двух правил nat - все работает. Остался вопрос только как во внутрь прокидывать порты :) Не нравится мне чего-то сноска в документации Izvinite, a ne mogli by vy utochnit kak nastroit' NAT na etom chude? Uzhe tretiy den' vozhus' bez polozhitelnogo rezultata. В общем отвечаю самому себе. Для того чтобы на роутерах с ExtremeWare начал работать нат нужно сделать следующие действия: enable ipforwarding enable nat configure nat inner_net inside configure nat outer_net outside configure nat add vlan outer_net map source 192.168.0.0/24 to 212.154.189.21/32, где 192.168.0.0/24 - внутренняя сеть фирмы, повешанная на внутренний влан inner_net, а 212.154.189.21 - белый адрес сети на внешнем влане. У меня эта схема не работала из-за отключенной маршрутизации. Изначально эта сволочь работала как L2-свитч. Но теперь у меня другая проблема. При пинговании интернета с внутренней сети через настроенный таким образом нат постоянно пропадают пакеты. Притом после очередной пропажи в логах появляется запись <Crit:IPHS> Possible spoofing attack from 00:01:30:ff:7a:f0, port 48 Типа атака, причем с обоих портов: внешней и внутренней сети. А выводе команды show nat stats постоянно увеличивается число просроченных (expired) соединений. Помогите мне пожалуйста. В чем здесь дело? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichbinkubik Опубликовано 6 ноября, 2010 · Жалоба Опять отвечу самому себе, вдруг кому понадобится. В общем к конфигурации приведенной в предыдущем моем сообщении нужно добавить строку configure nat vlan outer_net inside где outer_vlan - внешний влан, через который роутер получает интернет. Тогда он перестанет обрывать соединения НАТ и все будет нормально. Правда я не знаю насколько канонiчно решение мое, но пока НАТ работает без перебоев. Подобная конфигурация должна работать на всех моделях серии под управлением ОС ExtremeWare 7.4 и старше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stacyadams Опубликовано 10 сентября, 2013 · Жалоба Первой же мыслью у меня было использовать правило именно так как вы написали, но Код config nat [add | delete] vlan <outside_vlan> map source [any | <ipaddress> [/<bits>| <netmask>]] to <ipaddress> [/<mask> | <netmask> | - <ipaddress>] и пример использования Код Static NAT Rule Example config nat add out_vlan_1 map source 192.168.1.12/32 to 216.52.8.32/32 Dynamic NAT Rule Example config nat add out_vlan_1 map source 192.168.1.0/24 to 216.52.8.1 - 216.52.8.31 Но не воспринимает он такие правила. configure nat add vlan outer_net map source 192.168.0.0/24 to 212.154.189.21/32, где 192.168.0.0/24 - внутренняя сеть фирмы, повешанная на внутренний влан inner_net, а 212.154.189.21 - белый адрес сети на внешнем влане. [удалено] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...