Danuuk Опубликовано 15 июля, 2011 · Жалоба День добрый. Имеется шасси с RSP720 и ES20+. Требуется занатить некоторое кол-во рабочих станций, трафика там мало. Задача банальная. Делаем nat inside, nat outside, прописываем пул и как бы всё должно работать: interface GigabitEthernet2/2.42 description /* test out */ encapsulation dot1Q 42 ip address *.*.230.254 255.255.255.252 ip nat outside interface GigabitEthernet2/13.300 description /* test in */ encapsulation dot1Q 300 ip address 192.168.3.254 255.255.255.0 ip nat inside ip nat pool test *.*.230.254 *.*.230.254 netmask 255.255.255.252 ip nat inside source list 100 pool test overload access-list 100 permit ip 192.168.3.0 0.0.0.255 any Однако, не смотря на тот факт, что схожие конфиги работают успешно на остальном железе (на 28-й с полпинка), тут они не заводятся. Т.е. в sh ip nat tr - пусто. В sh ip nat st - Outside interfaces: GigabitEthernet2/2.42 Inside interfaces: GigabitEthernet2/13.300 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 4257 Expired translations: 0 Dynamic mappings: -- Inside Source [id: 8] access-list 100 pool test refcount 0 pool icc_express: netmask 255.255.255.252 start *.*.230.254 end *.*.230.254 type generic, total addresses 1, allocated 0 (0%), misses 0 Пробовал запускать outside на interface vlan, на сабе, на лупбаке, везде одинаковая картина (inside соответственно проверялся на вланах и сабах). Даже в дебаг ничего не падает. Чувствуется что проблема банальная, но где именно... ios: c7600rsp72043-advipservices-mz.122-33.SRD5 Может ната тут вообще нет? Но в фичнавигаторе расписана вся его полная поддержка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepashka Опубликовано 15 июля, 2011 · Жалоба Я так, чисто на всякий случай уточнить, а про маршрут 0.0.0.0 в outside интерфейс не забыли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 15 июля, 2011 · Жалоба NAT тут точно есть. Смотрите маршруты. И еще не забудьте про команду mls ip nat netflow-frag-l4-zero, иначе потом долго будете искать проблемы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danuuk Опубликовано 15 июля, 2011 · Жалоба Я так, чисто на всякий случай уточнить, а про маршрут 0.0.0.0 в outside интерфейс не забыли? Проверил, маршрут есть, не пропал. :) Этот outside является дефолтным вланом наружу с этой железяки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepashka Опубликовано 15 июля, 2011 (изменено) · Жалоба Хм, а если так? ip nat inside source list 100 interface GigabitEthernet2/2.42 overload Изменено 15 июля, 2011 пользователем stepashka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Danuuk Опубликовано 16 июля, 2011 · Жалоба Хм, а если так? Да, конечно так пробовал. Вообще новости есть "интересные". Установлено, что с тестовой машины (пробовал и на другую циску заводить инсайд влан и там вешал адрес, не пашет, хотя в иной нат успешно вылетает) nat таки не работает. Однако с самой 76й, успешно всё пингует наружу. Естественно, что и с машины, и с другой циски пинговать inside адрес 76й вполне получается. А вот результат пинга до яндекса через нат: sh ip nat tr Pro Inside global Inside local Outside local Outside global icmp *.*.236.245:1024 192.168.4.254:1185 93.158.134.203:1185 93.158.134.203:1024 Т.е. всё красиво. Мне что-то подсказывает, что данное явление как-то связано с CEF или другой какой хардварной обработкой пакетов. На влане и сабе cef отключить нельзя. Может это не бага, а фича? Наверное надо как-то по особому готовить нат/cef. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 18 июля, 2011 (изменено) · Жалоба Давно нет NAT на RSP но когда надо было - он таки работал. Причем на PFC, с (d)CEF. Попробуйте в описании пула маску поменять на 255.255.255.255 И так же интересно глянуть на "sh tcam int GigabitEthernet2/13.300 acl in ip" Возможно у Вас NAT не включается из-за конфликта масок. Снимите опции "ip nat inside/outside" и снова назначьте и посмотрите что пишет мартшрутизатор в лог. Попробуйте активировать NAT без участия "ES20+" на портах самой фабрики. Изменено 18 июля, 2011 пользователем Tosha Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...