2bit Опубликовано 22 июня, 2009 · Жалоба На Cisco два внешних интерфейса. Dialer1 и FastEthernet0/0 Клиенты имеют пул 192.168.0.1-192.168.0.254 Вопрос как настроить NAT, чтобы все ходило по маршрутам: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ip route 10.168.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.169.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.170.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.171.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.172.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.173.0.0 255.255.0.0 FastEthernet0/0 50 ip route 10.174.0.0 255.255.0.0 FastEthernet0/0 50 -- Я так понимаю, банально так не выйдет: ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 1 interface FastEthernet0/0 overload Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 22 июня, 2009 (изменено) · Жалоба Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД. Изменено 22 июня, 2009 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба При добавлении вторго NAT пишет: Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload %Dynamic mapping in use, cannot change Router(config)# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 22 июня, 2009 · Жалоба При добавлении вторго NAT пишет: Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload %Dynamic mapping in use, cannot change Router(config)# list 2 создать с таким же как в 1 содержанием и его прицепить ко второму нату Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 (изменено) · Жалоба Не работает. =( Правда я указал во так маршруты: ! -> Интернет: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ip route 10.168.0.0 255.255.0.0 172.18.1.2 50 Изменено 22 июня, 2009 пользователем 2bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 22 июня, 2009 · Жалоба Не работает. =( что именно? второй нат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 (изменено) · Жалоба Да второй нат. Вот кусок конфига. Я так понимаю пользователи могут пинговать и все чт опопадает в Dialer1 и то что попадает на внешний интерфйс FastEthernet0/0 (172.18.0.0/16) ! ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 ! ! Локальный интерфейс... interface FastEthernet0/1 ip address 172.31.254.254 255.255.255.0 no ip route-cache duplex full speed auto no mop enabled pppoe enable ! ! Внешний интерфейс... interface FastEthernet0/0 ip address 172.18.2.1 255.255.0.0 ip nat outside no ip route-cache duplex full speed auto no mop enabled pppoe enable pppoe-client dial-pool-number 1 ! interface Dialer1 ip address negotiated ip nat outside ip mtu 1492 encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname lol ppp chap password lol dialer-list 1 protocol ip permit ! interface Virtual-Template1 ip unnumbered Loopback 1 ip nat inside ip mtu 1492 autodetect encapsulation ppp ppp authentication chap callin ! ! Конфигурация NAT... ip nat inside source list 1 interface Dialer1 overload ip nat inside source list 2 interface FastEthernet0/0 overload ip classless ! ! Маршруты... ! -> Интернет: ip route 0.0.0.0 0.0.0.0 Dialer1 100 ! ! Листы доступа... ! -> Виртуальная локальная сеть: access-list 1 permit 192.168.40.0 0.0.0.255 access-list 2 permit 192.168.40.0 0.0.0.255 ! -> access-list 101 deny ip 10.0.0.0 0.255.255.255 192.168.40.0 0.0.0.255 access-list 101 deny ip 192.168.40.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 101 permit ip 0.0.0.0 255.255.255.255 192.168.40.0 0.0.0.255 access-list 101 permit ip 192.168.40.0 0.0.0.255 0.0.0.0 255.255.255.255 ! -> access-list 102 permit ip 192.168.40.0 0.0.0.255 10.168.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.169.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.170.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.171.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.172.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.173.0.0 0.0.255.255 access-list 102 permit ip 192.168.40.0 0.0.0.255 10.174.0.0 0.0.255.255 access-list 102 permit ip 10.168.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.169.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.170.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.171.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.172.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.173.0.0 0.0.255.255 192.168.40.0 0.0.0.255 access-list 102 permit ip 10.174.0.0 0.0.255.255 192.168.40.0 0.0.0.255 ! Изменено 22 июня, 2009 пользователем 2bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Freeman Опубликовано 22 июня, 2009 · Жалоба Route-map Вас спасет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба Это вопрос? Я уже не знаю что меня спасет. Такая ситуация: Dialer1 - инет работает у клиентов FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Freeman Опубликовано 22 июня, 2009 · Жалоба Это вопрос? Я уже не знаю что меня спасет. Такая ситуация: Dialer1 - инет работает у клиентов FastEthernet0/0 - пингуется только один адрес 172.18.1.2 (!) почему он только один пингуется? Если я правильно понимаю нужно чтоб по разным каналам ходили пользователи? У меня года 2 назад была похожая задача. Вот по чему я route-map предложил. Картиночка - пример. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба Cisco на помойку. Сил уже нет. Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров. А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Freeman Опубликовано 22 июня, 2009 · Жалоба Cisco на помойку. Сил уже нет. Я так понимаю у вас две группы пользователей ходит через 2х разных провайдеров. А у меня одна группа пользователей пользуется интернетом и локальной сетью соседнего провайдера. А если прописать статически (если клиентов не много) маршрут в локалку, а все остальное - по умолчанию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Freeman Опубликовано 22 июня, 2009 · Жалоба Выйдет, но ходить будет через тот куда дефолт смотрит с меньшей АД. А зачем вообще указывать АД? Статика имеет наивысший приоритет, т. е. сначала будут обрабатываться статические записи потом всякие там RIP-ы и уж в последнюю очередь 0.0.0.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 22 июня, 2009 · Жалоба а если у вас два дефолта? и тракинг через СЛА? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба Это конечно хорошо, знать бы что такое СЛА. В МикроТике я тупо маркировал пакеты по dst ip. Затем маркированные пакеты гонял на нужный шлюз. Также там можно было указать IP шлюза и Интерфейс шлюза в одном маршруте, на Циске либо то либо то. И вот Кошка это одни велосипеды, попой думать приходится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба И еще как посмотреть на Cisco загрузку памяти и CPU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба И вообще я вкурил почему такой шлак, в Циско нет Маскарадинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 22 июня, 2009 · Жалоба если будете выкидывать, то у меня балкон свободный :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 22 июня, 2009 · Жалоба 20касых. и он на вашем балконе. Подскажите как посмотреть загрузку CPU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 22 июня, 2009 · Жалоба ***... Вместо того, чтобы пытаться обосрать иос, попытайтесь соответствовать. Ну мануалы там почитайте чтоли? Вам же написали решение проблемы - route-map, по-научному это называется ПБР (Policy-based Routing), гугл вам в стаксели. Загрузка цпу смотрится по sh proc cpu history. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 23 июня, 2009 (изменено) · Жалоба Вариант: Маршруты все из первого сообщения + ip nat inside source route-map RMAP_NAT_Dialer1 interface Dialer1 overload ip nat inside source route-map RMAP_NAT_Fa0 interface FastEthernet0/0 overload ip access-list extended ACL_NAT permit ip 192.168.0.0 255.255.255.0 any route-map RMAP_NAT_Dialter1 permit 100 match ip address ACL_NAT match interface Dialer1 route-map RMAP_NAT_Fa0 permit 100 match ip address ACL_NAT match interface FastEthernet0/0 В этом варианте маршрутами указывается куда (через какой канал выходить), роутмап матчит общий акцесс+интерфейс и делает НАТ куда надо. Изменено 23 июня, 2009 пользователем Sergey_Taurus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 23 июня, 2009 · Жалоба Интересно! Сейчас проверю! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 23 июня, 2009 · Жалоба У меня такая схема работает на Инете: два дефолта с IP SLA. Но думаю для вашего варианта тоже подойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 23 июня, 2009 · Жалоба Спасибо Сергей! Работает как часы. Единственное в ACL маску не ту написали =). Спасибо большое. Интересно как это отразиться на производительности Кошки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey_Taurus Опубликовано 23 июня, 2009 · Жалоба Работает как часы. Единственное в ACL маску не ту написали =). Да, сорри, там инверсный wildcard mask: ip access-list extended ACL_NAT permit ip 192.168.0.0 0.0.0.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...