[Danuuk]

День добрый.

 

Имеется шасси с RSP720 и ES20+. Требуется занатить некоторое кол-во рабочих станций, трафика там мало. Задача банальная.

 

Делаем nat inside, nat outside, прописываем пул и как бы всё должно работать:

 

interface GigabitEthernet2/2.42
description /* test out */
encapsulation dot1Q 42
ip address *.*.230.254 255.255.255.252
ip nat outside


interface GigabitEthernet2/13.300
description /* test in */
encapsulation dot1Q 300
ip address 192.168.3.254 255.255.255.0
ip nat inside

ip nat pool test *.*.230.254 *.*.230.254 netmask 255.255.255.252
ip nat inside source list 100 pool test overload

access-list 100 permit ip 192.168.3.0 0.0.0.255 any

 

Однако, не смотря на тот факт, что схожие конфиги работают успешно на остальном железе (на 28-й с полпинка), тут они не заводятся. Т.е. в sh ip nat tr - пусто.

 

В sh ip nat st -

 

Outside interfaces:

GigabitEthernet2/2.42

Inside interfaces:

GigabitEthernet2/13.300

Hits: 0 Misses: 0

CEF Translated packets: 0, CEF Punted packets: 4257

Expired translations: 0

Dynamic mappings:

-- Inside Source

[id: 8] access-list 100 pool test refcount 0

pool icc_express: netmask 255.255.255.252

start *.*.230.254 end *.*.230.254

type generic, total addresses 1, allocated 0 (0%), misses 0

 

Пробовал запускать outside на interface vlan, на сабе, на лупбаке, везде одинаковая картина (inside соответственно проверялся на вланах и сабах). Даже в дебаг ничего не падает.

 

Чувствуется что проблема банальная, но где именно...

 

ios: c7600rsp72043-advipservices-mz.122-33.SRD5

 

Может ната тут вообще нет? Но в фичнавигаторе расписана вся его полная поддержка.

[stepashka]

Я так, чисто на всякий случай уточнить, а про маршрут 0.0.0.0 в outside интерфейс не забыли?

[Frau]

NAT тут точно есть. Смотрите маршруты. И еще не забудьте про команду mls ip nat netflow-frag-l4-zero, иначе потом долго будете искать проблемы :)

[Danuuk]

Я так, чисто на всякий случай уточнить, а про маршрут 0.0.0.0 в outside интерфейс не забыли?

 

Проверил, маршрут есть, не пропал. :) Этот outside является дефолтным вланом наружу с этой железяки.

[stepashka]

Хм, а если так?

 

ip nat inside source list 100 interface GigabitEthernet2/2.42 overload

Изменено 15 июля, 2011 пользователем stepashka

[Danuuk]

Хм, а если так?

 

Да, конечно так пробовал.

 

Вообще новости есть "интересные". Установлено, что с тестовой машины (пробовал и на другую циску заводить инсайд влан и там вешал адрес, не пашет, хотя в иной нат успешно вылетает) nat таки не работает. Однако с самой 76й, успешно всё пингует наружу. Естественно, что и с машины, и с другой циски пинговать inside адрес 76й вполне получается.

 

А вот результат пинга до яндекса через нат:

sh ip nat tr
Pro Inside global         Inside local          Outside local         Outside global
icmp *.*.236.245:1024 192.168.4.254:1185    93.158.134.203:1185   93.158.134.203:1024

Т.е. всё красиво.

 

Мне что-то подсказывает, что данное явление как-то связано с CEF или другой какой хардварной обработкой пакетов. На влане и сабе cef отключить нельзя. Может это не бага, а фича? Наверное надо как-то по особому готовить нат/cef.

[Tosha]

Давно нет NAT на RSP но когда надо было - он таки работал.

Причем на PFC, с (d)CEF.

 

Попробуйте в описании пула маску поменять на 255.255.255.255

 

И так же интересно глянуть на "sh tcam int GigabitEthernet2/13.300 acl in ip"

 

Возможно у Вас NAT не включается из-за конфликта масок. Снимите опции "ip nat inside/outside" и снова назначьте и посмотрите что пишет мартшрутизатор в лог.

 

Попробуйте активировать NAT без участия "ES20+" на портах самой фабрики.

Изменено 18 июля, 2011 пользователем Tosha