ledge5 Опубликовано 3 марта, 2010 · Жалоба cisco 7000 Cisco Internetwork Operating System Software IOS (tm) s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by cisco Systems, Inc. Compiled Tue 03-Mar-09 23:43 by kellythw Image text-base: 0x40101040, data-base: 0x42AB7AB0 ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1) BOOTLDR: s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2) sw1.1924.la3 uptime is 37 weeks, 1 day, 8 hours, 33 minutes Time since sw1.1924.la3 switched to active is 37 weeks, 1 day, 8 hours, 33 minutes System returned to ROM by power cycle at 21:44:39 UTC Mon Jun 15 2009 (SP by power on) System restarted at 04:34:59 UTC Tue Jun 16 2009 System image file is "sup-bootflash:s72033-ipservices_wan-mz.122-18.SXF16.bin" cisco WS-C6513 (R7000) processor (revision 1.0) with 458720K/65536K bytes of memory. Processor board ID SAL09274ZZ3 SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache Last reset from s/w reset SuperLAT software (copyright 1990 by Meridian Technology Corp). X.25 software, Version 3.0.0. Bridging software. TN3270 Emulation software. 22 Virtual Ethernet/IEEE 802.3 interfaces 192 FastEthernet/IEEE 802.3 interfaces 26 Gigabit Ethernet/IEEE 802.3 interfaces 4 Ten Gigabit Ethernet/IEEE 802.3 interfaces 1917K bytes of non-volatile configuration memory. 8192K bytes of packet buffer memory. 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 есть два влана vlan9 - внешний vlan15 - внутренний извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24) возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу. помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM serverfarm TESTHOST nat server no nat client real 10.40.115.30 health probe GENERIC-HTTP inservice real 10.40.115.31 health probe GENERIC-HTTP inservice и поднят HSRP interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15 interface Vlan105 ip nat outside ip address 153.17.17.113 255.255.255.248 standby 132 ip 153.17.17.115 standby 132 priority 120 standby 132 preempt interface Vlan15 ip address 10.40.115.2 255.255.255.0 secondary ip address 153.x.x.x 255.255.255.192 ip nat inside ip policy route-map nat15 no ip redirects standby 130 ip 10.40.115.1 standby 130 priority 110 standby 130 preempt route-map nat15 permit 10 match ip address 190 set interface vlan105 исключил локальные сетки из роут-мапа: access-list 190 deny ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255 access-list 190 deny ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255 access-list 190 deny ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255 access-list 190 permit ip 10.40.115.0 0.0.0.255 any создал аксесс лист для ната access-list 191 permit ip 10.40.115.0 0.0.0.255 any и, собственно, сам нат: ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248 ip nat inside source list 191 pool localsrvrs overload в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются. в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик. причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так: remote_server # tcpdump -ni eth0 host 153.17.17.115 TCP 153.17.17.115.23654 -> remote_server.80 SYN TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK TCP 153.17.17.115.23654 -> remote_server.80 RST такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его. пробовал в роутмапе вместо "set interface vlan105" ставить: set ip next-hop 153.17.17.115 set ip default next-hop 153.17.17.115 пробовал ip nat inside source route-map nat15 interface vlan405 overload и ip nat inside source route-map nat15 pool localsrvrs overload картина ровным счетом никак не меняется. что я сделал не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ledge5 Опубликовано 4 марта, 2010 · Жалоба ни у кого никаких мыслей нету? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 4 марта, 2010 · Жалоба попробуйте заменить ацесс-лист с 190 на access-list 99 permit 10.40.115.0 0.0.0.255 и задействовать его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ledge5 Опубликовано 5 марта, 2010 · Жалоба попробуйте заменить ацесс-лист с 190 наaccess-list 99 permit 10.40.115.0 0.0.0.255 и задействовать его. хмм, попробую, а в чем разница? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ledge5 Опубликовано 5 марта, 2010 · Жалоба попробуйте заменить ацесс-лист с 190 наaccess-list 99 permit 10.40.115.0 0.0.0.255 и задействовать его. хмм, попробую, а в чем разница? nevermind :) Protocol Range IP 1 to 99 Extended IP 100 to 199 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 6 марта, 2010 · Жалоба Маршрутизация у вас как устроена? Зачем в policy-map вы делаете set interface? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...