Jump to content
Калькуляторы

проблемы с NAT overload на ASR1002

Железка ASR1002 RP1 ESP10 non-crypto.

Конфиг простейший

!

interface GigabitEthernet0/0/0

ip address 172.16.0.1 255.255.255.0

ip nat outside

ip virtual-reassembly

!

interface GigabitEthernet0/0/1

ip address 10.10.0.1 255.255.0.0

ip nat inside

ip virtual-reassembly

!

ip nat pool NAT 172.16.0.2 172.16.0.254 prefix-length 24

ip nat inside source list NAT pool NAT overload

!

ip access-list extended NAT

permit ip 10.10.0.0 0.0.255.255 any

!

Без overload работает на ура, с overload первая трансляция открывается нормально, последующие трансляции на тот же адрес/порт от других клиентов не создаются до тех пор, пока не очистится по таймауту первая, либо до clear ip nat trans *.

Проверял на 2.03.02, 2.05.02, 2.06.02, 3.01.00 - одно и то же.

В чем грабли?

Кто пользует на ASR1K NAT с overload, отзовитесь!!!

Share this post


Link to post
Share on other sites

Работает.

 

ip nat pool POOL-200 94.x.x.35 94.x.x.36 prefix-length 27

ip nat inside source list nat_users_200 pool POOL-200 overload

!

ip access-list extended nat_users_200

permit ip 192.168.200.0 0.0.0.255 any

 

System image file is "bootflash:asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin"

Share this post


Link to post
Share on other sites
interface GigabitEthernet0/0/0

ip address 172.16.0.1 255.255.255.0

ip nat pool NAT 172.16.0.2 172.16.0.254 prefix-length 24
Позвольте спросить, а адрес шлюза какой?

И как вообще до Вас доходят пакеты, например на IP 172.16.0.3 со шлюза?

 

Вы как-то неправильно пример конфига привели...

 

 

Share this post


Link to post
Share on other sites
ip access-list extended NAT

permit ip 10.10.0.0 0.0.255.255 any

попробуйте сделать проще - используйте standard access-list'ы

 

и с адресами действительно странно

Share this post


Link to post
Share on other sites
ip access-list extended NAT

permit ip 10.10.0.0 0.0.255.255 any

попробуйте сделать проще - используйте standard access-list'ы

 

и с адресами действительно странно

всяко пробовал - и access-list 1, и access-list 199, и ip access-list standard, и ip access-list extended именованные и нет, и через роут-мап...

Один результат - без overload работает нормально, с overload отрабатывает только первая трансляция на адрес/порт, повторная трансляция на тот же адрес/порт с другого inside не происходит до тех пор, пока не умрет первая.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this