Jump to content
Калькуляторы

NAT c роут-мапом

cisco 7000

 

Cisco Internetwork Operating System Software
IOS (tm) s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by cisco Systems, Inc.
Compiled Tue 03-Mar-09 23:43 by kellythw
Image text-base: 0x40101040, data-base: 0x42AB7AB0

ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1)
BOOTLDR: s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2)

sw1.1924.la3 uptime is 37 weeks, 1 day, 8 hours, 33 minutes
Time since sw1.1924.la3 switched to active is 37 weeks, 1 day, 8 hours, 33 minutes
System returned to ROM by  power cycle at 21:44:39 UTC Mon Jun 15 2009 (SP by power on)
System restarted at 04:34:59 UTC Tue Jun 16 2009
System image file is "sup-bootflash:s72033-ipservices_wan-mz.122-18.SXF16.bin"

cisco WS-C6513 (R7000) processor (revision 1.0) with 458720K/65536K bytes of memory.
Processor board ID SAL09274ZZ3
SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache
Last reset from s/w reset
SuperLAT software (copyright 1990 by Meridian Technology Corp).
X.25 software, Version 3.0.0.
Bridging software.
TN3270 Emulation software.
22 Virtual Ethernet/IEEE 802.3 interfaces
192 FastEthernet/IEEE 802.3 interfaces
26 Gigabit Ethernet/IEEE 802.3 interfaces
4 Ten Gigabit Ethernet/IEEE 802.3 interfaces
1917K bytes of non-volatile configuration memory.
8192K bytes of packet buffer memory.

65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

 

 

есть два влана

 

vlan9 - внешний

vlan15 - внутренний

 

 

извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24)

 

возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу.

помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM

 

serverfarm TESTHOST
  nat server
  no nat client
  real 10.40.115.30
   health probe GENERIC-HTTP
   inservice
  real 10.40.115.31
   health probe GENERIC-HTTP
   inservice

 

и поднят HSRP

 

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt

 

для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15

 

interface Vlan105
ip nat outside
ip address 153.17.17.113 255.255.255.248
standby 132 ip 153.17.17.115
standby 132 priority 120
standby 132 preempt

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
ip nat inside
ip policy route-map nat15
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt


route-map nat15 permit 10
     match ip address 190
     set interface vlan105

 

исключил локальные сетки из роут-мапа:

access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255
access-list 190 permit ip 10.40.115.0 0.0.0.255 any

создал аксесс лист для ната

access-list 191 permit ip 10.40.115.0 0.0.0.255 any

 

и, собственно, сам нат:

ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248
ip nat inside source list 191 pool localsrvrs overload

 

в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются.

в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик.

 

причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так:

remote_server # tcpdump -ni eth0 host 153.17.17.115
TCP 153.17.17.115.23654 -> remote_server.80 SYN
TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK
TCP 153.17.17.115.23654 -> remote_server.80 RST

такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его.

 

пробовал в роутмапе вместо "set interface vlan105" ставить:

 

set ip next-hop 153.17.17.115

set ip default next-hop 153.17.17.115

 

пробовал

ip nat inside source route-map nat15 interface vlan405 overload

и

ip nat inside source route-map nat15 pool localsrvrs overload

 

картина ровным счетом никак не меняется.

что я сделал не так?

Share this post


Link to post
Share on other sites

ни у кого никаких мыслей нету? :)

Share this post


Link to post
Share on other sites

попробуйте заменить ацесс-лист с 190 на

access-list 99 permit 10.40.115.0 0.0.0.255

и задействовать его.

Share this post


Link to post
Share on other sites
попробуйте заменить ацесс-лист с 190 на

access-list 99 permit 10.40.115.0 0.0.0.255

и задействовать его.

 

хмм, попробую, а в чем разница?

Share this post


Link to post
Share on other sites
попробуйте заменить ацесс-лист с 190 на

access-list 99 permit 10.40.115.0 0.0.0.255

и задействовать его.

 

хмм, попробую, а в чем разница?

 

nevermind :)

 

Protocol Range

IP 1 to 99

Extended IP 100 to 199

Share this post


Link to post
Share on other sites

Маршрутизация у вас как устроена?

 

Зачем в policy-map вы делаете set interface?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this