2bit Posted June 22, 2009 Posted June 22, 2009 На Cisco два внешних интерфейса. Dialer1 и FastEthernet0/0 Клиенты имеют пул 192.168.0.1-192.168.0.254 Вопрос как настроить NAT, чтобы все ходило по маршрутам: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ip route 10.168.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.169.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.170.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.171.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.172.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.173.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.174.0.0 255.255.0.0 FastEthernet0/0 50 -- Я так понимаю, банально так не выйдет: ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 1 interface FastEthernet0/0 overload Вставить ник Quote
Stak Posted June 22, 2009 Posted June 22, 2009 (edited) Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД. Edited June 22, 2009 by Stak Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 При добавлении вторго NAT пишет: Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload %Dynamic mapping in use, cannot change Router(config)# Вставить ник Quote
White_Alex Posted June 22, 2009 Posted June 22, 2009 При добавлении вторго NAT пишет: Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload %Dynamic mapping in use, cannot change Router(config)# list 2 создать с таким же как в 1 содержанием и его прицепить ко второму нату Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 (edited) Не работает. =( Правда я указал во так маршруты: ! -> Интернет: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ip route 10.168.0.0 255.255.0.0 172.18.1.2 50 Edited June 22, 2009 by 2bit Вставить ник Quote
White_Alex Posted June 22, 2009 Posted June 22, 2009 Не работает. =( что именно? второй нат? Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 (edited) Да второй нат. Вот кусок конфига. Я так понимаю пользователи могут пинговать и все чт опопадает в Dialer1 и то что попадает на внешний интерфйс FastEthernet0/0 (172.18.0.0/16) ! ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 ! ! Локальный интерфейс... interface FastEthernet0/1 ip address 172.31.254.254 255.255.255.0 no ip route-cache duplex full speed auto no mop enabled pppoe enable ! ! Внешний интерфейс... interface FastEthernet0/0 ip address 172.18.2.1 255.255.0.0 ip nat outside no ip route-cache duplex full speed auto no mop enabled pppoe enable pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip nat outside ip mtu 1492 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname lol ppp chap password lol dialer-list 1 protocol ip permit ! interface Virtual-Template1 ip unnumbered Loopback 1 ip nat inside ip mtu 1492 autodetect encapsulation ppp ppp authentication chap callin ! ! Конфигурация NAT... ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 2 interface FastEthernet0/0 overload ip classless ! ! Маршруты... ! -> Интернет: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ! ! Листы доступа... ! -> Виртуальная локальная сеть: access-list 1 permit 192.168.40.0 0.0.0.255 access-list 2 permit 192.168.40.0 0.0.0.255 ! -> access-list 101 deny ip 10.0.0.0 0.255.255.255 192.168.40.0 0.0.0.255 access-list 101 deny ip 192.168.40.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 192.168.40.0 0.0.0.255 0.0.0.0 255.255.255.255 ! -> access-list 102 permit ip 192.168.40.0 0.0.0.255 10.168.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.169.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.170.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.171.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.172.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.173.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.174.0.0 0.0.255.255 access-list 102 permit ip 10.168.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.169.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.170.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.171.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.172.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.173.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.174.0.0 0.0.255.255 192.168.40.0 0.0.0.255 ! Edited June 22, 2009 by 2bit Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 Это вопрос? Я уже не знаю что меня спасет. Такая ситуация: Dialer1 - инет работает у клиентов FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется? Вставить ник Quote
Alex Freeman Posted June 22, 2009 Posted June 22, 2009 Это вопрос? Я уже не знаю что меня спасет. Такая ситуация: Dialer1 - инет работает у клиентов FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется? Если я правильно понимаю нужно чтоб по разным каналам ходили пользователи? У меня года 2 назад была похожая задача. Вот по чему я route-map предложил. Картиночка - пример. Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 Cisco на помойку. Сил уже нет. Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров. А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера. Вставить ник Quote
Alex Freeman Posted June 22, 2009 Posted June 22, 2009 Cisco на помойку. Сил уже нет. Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров. А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера. А если прописать статически (если клиентов не много) маршрут в локалку, а все остальное - по умолчанию? Вставить ник Quote
Alex Freeman Posted June 22, 2009 Posted June 22, 2009 Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД. А зачем вообще указывать АД? Статика имеет наивысший приоритет, т. е. сначала будут обрабатываться статические записи потом всякие там RIP-ы и уж в последнюю очередь 0.0.0.0 Вставить ник Quote
Stak Posted June 22, 2009 Posted June 22, 2009 а если у вас два дефолта? и тракинг через СЛА? Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 Это конечно хорошо, знать бы что такое СЛА. В МикроТике я тупо маркировал пакеты по dst ip. Затем маркированные пакеты гонял на нужный шлюз. Также там можно было указать IP шлюза и Интерфейс шлюза в одном маршруте, на Циске либо то либо то. И вот Кошка это одни велосипеды, попой думать приходится. Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 И еще как посмотреть на Cisco загрузку памяти и CPU? Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 И вообще я вкурил почему такой шлак, в Циско нет Маскарадинга. Вставить ник Quote
ingress Posted June 22, 2009 Posted June 22, 2009 если будете выкидывать, то у меня балкон свободный :) Вставить ник Quote
2bit Posted June 22, 2009 Author Posted June 22, 2009 20касых. и он на вашем балконе. Подскажите как посмотреть загрузку CPU? Вставить ник Quote
chainick Posted June 22, 2009 Posted June 22, 2009 ***... Вместо того, чтобы пытаться обосрать иос, попытайтесь соответствовать. Ну мануалы там почитайте чтоли? Вам же написали решение проблемы - route-map, по-научному это называется ПБР (Policy-based Routing), гугл вам в стаксели. Загрузка цпу смотрится по sh proc cpu history. Вставить ник Quote
Sergey_Taurus Posted June 23, 2009 Posted June 23, 2009 (edited) Вариант: Маршруты все из первого сообщения + ip nat inside source route-map RMAP_NAT_Dialer1 interface Dialer1 overload ip nat inside source route-map RMAP_NAT_Fa0 interface FastEthernet0/0 overload ip access-list extended ACL_NAT permit ip 192.168.0.0 255.255.255.0 any route-map RMAP_NAT_Dialter1 permit 100 match ip address ACL_NAT match interface Dialer1 route-map RMAP_NAT_Fa0 permit 100 match ip address ACL_NAT match interface FastEthernet0/0 В этом варианте маршрутами указывается куда (через какой канал выходить), роутмап матчит общий акцесс+интерфейс и делает НАТ куда надо. Edited June 23, 2009 by Sergey_Taurus Вставить ник Quote
Sergey_Taurus Posted June 23, 2009 Posted June 23, 2009 У меня такая схема работает на Инете: два дефолта с IP SLA. Но думаю для вашего варианта тоже подойдет. Вставить ник Quote
2bit Posted June 23, 2009 Author Posted June 23, 2009 Спасибо Сергей! Работает как часы. Единственное в ACL маску не ту написали =). Спасибо большое. Интересно как это отразиться на производительности Кошки? Вставить ник Quote
Sergey_Taurus Posted June 23, 2009 Posted June 23, 2009 Работает как часы. Единственное в ACL маску не ту написали =). Да, сорри, там инверсный wildcard mask: ip access-list extended ACL_NAT permit ip 192.168.0.0 0.0.0.255 any Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.