Jump to content
Калькуляторы

Cisco два шлюза.

На Cisco два внешних интерфейса.

Dialer1 и FastEthernet0/0

 

Клиенты имеют пул 192.168.0.1-192.168.0.254

 

Вопрос как настроить NAT, чтобы все ходило по маршрутам:

 

ip route 0.0.0.0 0.0.0.0 Dialer1 100
ip route 10.168.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.169.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.170.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.171.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.172.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.173.0.0 255.255.0.0 FastEthernet0/0 50
ip route 10.174.0.0 255.255.0.0 FastEthernet0/0 50

 

--

Я так понимаю, банально так не выйдет:

ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 1 interface FastEthernet0/0 overload

Share this post


Link to post
Share on other sites

Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД.

Edited by Stak

Share this post


Link to post
Share on other sites

При добавлении вторго NAT пишет:

Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload
%Dynamic mapping in use, cannot change
Router(config)#

Share this post


Link to post
Share on other sites
При добавлении вторго NAT пишет:

Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload
%Dynamic mapping in use, cannot change
Router(config)#

list 2 создать с таким же как в 1 содержанием и его прицепить ко второму нату

Share this post


Link to post
Share on other sites

Не работает. =(

Правда я указал во так маршруты:

!   -> Интернет:
ip route 0.0.0.0 0.0.0.0 Dialer1 100
ip route 10.168.0.0 255.255.0.0 172.18.1.2 50

Edited by 2bit

Share this post


Link to post
Share on other sites
Не работает. =(

что именно? второй нат?

Share this post


Link to post
Share on other sites

Да второй нат.

 

Вот кусок конфига.

Я так понимаю пользователи могут пинговать и все чт опопадает в Dialer1 и то что попадает на внешний интерфйс FastEthernet0/0 (172.18.0.0/16)

 

!
! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255
!
! Локальный интерфейс...
interface FastEthernet0/1
ip address 172.31.254.254 255.255.255.0
no ip route-cache
duplex full
speed auto
no mop enabled
pppoe enable
!
! Внешний интерфейс...
interface FastEthernet0/0
ip address 172.18.2.1 255.255.0.0
ip nat outside
no ip route-cache
duplex full
speed auto
no mop enabled
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip nat outside
ip mtu 1492
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname lol
ppp chap password lol
dialer-list 1 protocol ip permit
!
interface Virtual-Template1
ip unnumbered Loopback 1
ip nat inside
ip mtu 1492
autodetect encapsulation ppp
ppp authentication chap callin
!
! Конфигурация NAT...
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
ip classless
!
! Маршруты...
!   -> Интернет:
ip route 0.0.0.0 0.0.0.0 Dialer1 100
!
! Листы доступа...
!   -> Виртуальная локальная сеть:
access-list 1 permit 192.168.40.0 0.0.0.255
access-list 2 permit 192.168.40.0 0.0.0.255
!   -> 
access-list 101 deny ip 10.0.0.0 0.255.255.255 192.168.40.0 0.0.0.255
access-list 101 deny ip 192.168.40.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.40.0 0.0.0.255
access-list 101 permit ip 192.168.40.0 0.0.0.255 0.0.0.0 255.255.255.255
!   -> 
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.168.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.169.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.170.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.171.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.172.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.173.0.0 0.0.255.255
access-list 102 permit ip 192.168.40.0 0.0.0.255 10.174.0.0 0.0.255.255
access-list 102 permit ip 10.168.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.169.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.170.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.171.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.172.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.173.0.0 0.0.255.255 192.168.40.0 0.0.0.255
access-list 102 permit ip 10.174.0.0 0.0.255.255 192.168.40.0 0.0.0.255
!

Edited by 2bit

Share this post


Link to post
Share on other sites

Это вопрос? Я уже не знаю что меня спасет.

 

Такая ситуация:

Dialer1 - инет работает у клиентов

FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется?

Share this post


Link to post
Share on other sites
Это вопрос? Я уже не знаю что меня спасет.

 

Такая ситуация:

Dialer1 - инет работает у клиентов

FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется?

 

Если я правильно понимаю нужно чтоб по разным каналам ходили пользователи?

У меня года 2 назад была похожая задача. Вот по чему я route-map предложил.

Картиночка - пример.

post-5162-1245674561_thumb.jpg

Share this post


Link to post
Share on other sites

Cisco на помойку. Сил уже нет.

 

Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров.

А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера.

Share this post


Link to post
Share on other sites
Cisco на помойку. Сил уже нет.

 

Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров.

А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера.

 

А если прописать статически (если клиентов не много) маршрут в локалку, а все остальное - по умолчанию?

 

 

Share this post


Link to post
Share on other sites
Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД.

А зачем вообще указывать АД? Статика имеет наивысший приоритет, т. е. сначала будут обрабатываться статические записи потом всякие там RIP-ы и уж в последнюю очередь 0.0.0.0

Share this post


Link to post
Share on other sites

а если у вас два дефолта? и тракинг через СЛА?

Share this post


Link to post
Share on other sites

Это конечно хорошо, знать бы что такое СЛА.

 

В МикроТике я тупо маркировал пакеты по dst ip. Затем маркированные пакеты гонял на нужный шлюз.

Также там можно было указать IP шлюза и Интерфейс шлюза в одном маршруте, на Циске либо то либо то.

 

И вот Кошка это одни велосипеды, попой думать приходится.

Share this post


Link to post
Share on other sites

И еще как посмотреть на Cisco загрузку памяти и CPU?

Share this post


Link to post
Share on other sites

И вообще я вкурил почему такой шлак, в Циско нет Маскарадинга.

Share this post


Link to post
Share on other sites

если будете выкидывать, то у меня балкон свободный :)

Share this post


Link to post
Share on other sites

20касых. и он на вашем балконе.

 

Подскажите как посмотреть загрузку CPU?

Share this post


Link to post
Share on other sites

***... Вместо того, чтобы пытаться обосрать иос, попытайтесь соответствовать. Ну мануалы там почитайте чтоли?

 

Вам же написали решение проблемы - route-map, по-научному это называется ПБР (Policy-based Routing), гугл вам в стаксели.

 

 

 

Загрузка цпу смотрится по sh proc cpu history.

Share this post


Link to post
Share on other sites

Вариант:

 

Маршруты все из первого сообщения +

 

ip nat inside source route-map RMAP_NAT_Dialer1 interface Dialer1 overload

ip nat inside source route-map RMAP_NAT_Fa0 interface FastEthernet0/0 overload

 

ip access-list extended ACL_NAT

permit ip 192.168.0.0 255.255.255.0 any

 

route-map RMAP_NAT_Dialter1 permit 100

match ip address ACL_NAT

match interface Dialer1

 

route-map RMAP_NAT_Fa0 permit 100

match ip address ACL_NAT

match interface FastEthernet0/0

 

В этом варианте маршрутами указывается куда (через какой канал выходить), роутмап матчит

общий акцесс+интерфейс и делает НАТ куда надо.

Edited by Sergey_Taurus

Share this post


Link to post
Share on other sites

Интересно!

Сейчас проверю!

Share this post


Link to post
Share on other sites

У меня такая схема работает на Инете: два дефолта с IP SLA.

Но думаю для вашего варианта тоже подойдет.

Share this post


Link to post
Share on other sites

Спасибо Сергей!

 

Работает как часы. Единственное в ACL маску не ту написали =). Спасибо большое. Интересно как это отразиться на производительности Кошки?

 

Share this post


Link to post
Share on other sites
Работает как часы. Единственное в ACL маску не ту написали =).

Да, сорри, там инверсный wildcard mask:

 

ip access-list extended ACL_NAT

permit ip 192.168.0.0 0.0.0.255 any

 

 

 

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this