Jump to content

NAT + EIGRP на одном интерфейсе

megahertz0
 Share

Recommended Posts

megahertz0

megahertz0

Posted
Posted (edited)

Есть циска 3845 и есть 6509 в качестве ядра. 3845 терминирует кучку PPPoE сессий (штук 100). Между ними поднят EIGRP, по которому они обмениваются маршрутами. На 3845 надо поднять НАТ, чтобы трафик заворачивался на 6509.

Как бэ настраиваю вот так:

xx.xx.xx.131 - 3845
xx.xx.xx.130 - 6509

[b]3845:[/b]

interface GigabitEthernet0/1.9
encapsulation dot1Q 9
ip address xx.xx.xx.131 255.255.255.128
ip nat outside
!
router eigrp xxyzz
redistribute connected
redistribute static
passive-interface default
no passive-interface GigabitEthernet0/1.9
network xx.xx.xx.128 0.0.0.127
default-metric 1000 100 250 100 200
distribute-list prefix disable-def-prl in
eigrp router-id xx.xx.x.131
neighbor xx.xx.xx.130 GigabitEthernet0/1.9

ip nat inside source list nat-acl interface GigabitEthernet0/1.9 overload
!
ip access-list extended nat-acl
permit ip 10.201.1.0 0.0.0.255 any
permit ip 10.201.0.0 0.0.0.255 any
permit ip 10.0.100.0 0.0.0.255 any


[b]6509:[/b]

interface Vlan9
ip address xx.xx.xx.130 255.255.255.128
no ip proxy-arp

router eigrp xxyzz
distribute-list prefix disable-def-prl in
default-metric 1000 100 250 100 200
network xx.xx.xx.128 0.0.0.127
redistribute connected
redistribute static
neighbor xx.xx.xx.131 Vlan9
...................
neighbor xx.xx.xx.129 Vlan9
passive-interface default
no passive-interface Vlan9
eigrp router-id xx.xx.xx.130

 

Через 10 секунд у меня по таймауту отваливаестя сессия EIGRP. Я сначала не допер, потом дошло, что на интерфейсе с EIGRP на 3845 поднят он и он outside. Соответственно пакеты EIGRP тоже натятся, но так как им нету сопоставления, то они грохаются.

Соответственно надо циске указать, что входящий трафик именно на интерфейс не надо натить. Пока допер сделать только так:

 

ip access-list extended nat-acl
permit ip 10.201.1.0 0.0.0.255 any
permit ip 10.201.0.0 0.0.0.255 any
permit ip 10.0.100.0 0.0.0.255 any
deny   ip host xx.xx.xx.131 any

.

 

В общем, вопрос таков. Этот способ правильный? И как вообще циске указать, что часть пакетов по критерию надо не натить, и просто форвардить на другие интерфейсы?

 

Хотел повесить нат на loopback и избавиться от ip nat outside на внешнем интерфейсе. Но он нужен все равно.:(. Как бэ без ip nat outside на GigabitEthernet0/1.9 нат не вздетает.

Edited by megahertz0
leveler

leveler

Posted
Posted

Да не должны такие настройки NAT выключать EIGRP. Если только это не софтовая бага. Для того, чтобы понатиться, пакет должен с in интерфейса на out попадать и удовлетворять сорс листу.

Попробуйте сам EIGRP подебажить (show ip eigrp interface и всякие debug команды).

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.