aivengoff Posted December 4, 2013 Posted December 4, 2013 Добро времени суток! Имею кошку 2851 IOS 15.1(4)M7 В кошке установлены 2 HWIC-3G с симками разных провайдеров. Так же имеем 2 LAN подключенные к 2-м гигабитным портам (LAN1 и LAN2). Есть задача чтобы LAN1 натился только в WAN1, соответсвенно LAN2 в WAN2. Проблема в том, что на обоих WAN1 ип динамический, а на WAN2 статический. Я понимаю, что тут нужно пользоваться route-map'ми, но вот никак не могу понять как именно, т.к. если для LAN2-WAN2 я могу прописать next-hope, то как это сделать для LAN1-WAN1 я понять не могу. Подскажите как разрулить такую ситуацию. Вставить ник Quote
darkagent Posted December 4, 2013 Posted December 4, 2013 гугл в сторону set ip next-hop dynamic dhcp + set interface Вставить ник Quote
aivengoff Posted December 4, 2013 Author Posted December 4, 2013 гугл в сторону set ip next-hop dynamic dhcp + set interface Честно говоря, в голове уже каша, от кол-ва перебранных вариантов... Вот конфиг interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.8.10 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map LAN0 duplex auto speed auto ! interface GigabitEthernet0/1 description $ETH-LAN$ ip address 192.168.9.10 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map LAN1 duplex auto speed auto ! interface Cellular0/2/0 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp load-interval 30 dialer in-band dialer idle-timeout 0 dialer string MEG dialer-group 2 async mode interactive ppp chap hostname megafon ppp chap password 7 03095E0C07092E42 ppp ipcp dns request ! interface Cellular0/3/0 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly in encapsulation ppp load-interval 60 dialer in-band dialer idle-timeout 0 dialer string MTS dialer-group 1 async mode interactive ppp chap hostname mts ppp chap password 7 11040D16 ppp ipcp dns request ! ip forward-protocol nd ip http server ip http authentication local ip http secure-server ! ! ip dns server ip nat inside source route-map ISP0 interface Cellular0/3/0 overload ip nat inside source route-map ISP1 interface Cellular0/2/0 overload ! access-list 1 permit 192.168.8.0 0.0.0.255 access-list 2 permit 192.168.9.0 0.0.0.255 access-list 108 permit ip 192.168.8.0 0.0.0.255 any access-list 109 permit ip 192.168.9.0 0.0.0.255 any access-list 110 permit ip any any dialer-list 1 protocol ip list 1 dialer-list 2 protocol ip list 2 ! ! ! ! route-map LAN1 permit 20 match ip address 109 set ip default next-hop 78.25.109.64 ! route-map LAN0 permit 10 match ip address 108 set ip next-hop dynamic dhcp set interface Cellular0/3/0 ! route-map ISP0 permit 10 match ip address 110 match interface Cellular0/3/0 ! route-map ISP1 permit 10 match ip address 110 match interface Cellular0/2/0 Вставить ник Quote
aivengoff Posted December 4, 2013 Author Posted December 4, 2013 Сорри... Сам разобрался Route-map для LAN1 был неверно указан... там так же нужно как и для LAN0... Вставить ник Quote
aivengoff Posted December 5, 2013 Author Posted December 5, 2013 (edited) Хотелось бы вернуться к разговору. Route-map работают, но возникла проблема, мне необходимо запрос с одно внешнего ip транслировать к себе на внутренний ip (телефония). И тут я даже не знаю куда копать. От меня звонок идет - ко мне нет.... Выкладываю свой конфиг, может кто-нибудь подскажет что-то... Current configuration : 6142 bytes ! ! Last configuration change at 21:35:04 Moscow Thu Dec 5 2013 by admin version 15.1 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname f3-nw ! boot-start-marker boot-end-marker ! ! logging buffered 51200 warnings enable secret 4 VG10MazJL5eJrfgJPRAkkLn4LiQjs2c7zaNGXsCUqIs enable password 7 ########################## ! aaa new-model ! ! ! ! ! ! ! aaa session-id common ! clock timezone Moscow 3 0 ! dot11 syslog ip source-route ! ! ip cef ! ip dhcp excluded-address 192.168.8.1 192.168.8.99 ip dhcp excluded-address 192.168.8.250 192.168.8.254 ! ip dhcp pool F3 network 192.168.8.0 255.255.255.0 default-router 192.168.8.10 dns-server 192.168.8.10 ! ! ip domain name local ip name-server 217.66.145.1 ip name-server 217.66.145.2 ip name-server 8.8.8.8 no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! chat-script MEG "" "ATDT*99***1#" TIMEOUT 60 "CONNECT" chat-script MTS "" "ATDT*99***1#" TIMEOUT 60 "CONNECT" ! ! ! ! ! ! voice-card 0 ! crypto pki token default removal timeout 0 ! crypto pki trustpoint TP-self-signed-951996981 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-951996981 revocation-check none rsakeypair TP-self-signed-951996981 ! ! ! license udi pid CISCO2851 sn FTX1211A39G username admin privilege 15 password 7 ###################### ! redundancy ! ! controller Cellular 0/2 ! controller Cellular 0/3 ! no ip ftp passive ip ssh version 1 ! ! ! ! ! ! ! ! interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.8.10 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map LAN0 duplex auto speed auto ! interface GigabitEthernet0/1 description $ETH-LAN$ ip address 192.168.9.10 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map LAN1 duplex auto speed auto ! interface Cellular0/2/0 ip unnumbered Dialer1 ip nat outside ip virtual-reassembly in encapsulation ppp load-interval 60 dialer in-band dialer pool-member 1 dialer-group 2 async mode interactive ppp chap hostname megafon ppp chap password 7 082C4949081F0A19 ppp ipcp dns request ! interface Cellular0/3/0 ip unnumbered Dialer2 ip nat outside ip virtual-reassembly in encapsulation ppp load-interval 60 dialer in-band dialer pool-member 2 dialer-group 1 async mode interactive ppp chap hostname mts ppp chap password 7 11040D16 ppp ipcp dns request ! interface Dialer1 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer idle-timeout 0 either dialer string MEG dialer persistent delay initial 2 dialer-group 2 ppp chap hostname megafon ppp chap password 7 04560E010E274340 ! interface Dialer2 ip address negotiated ip nat outside ip virtual-reassembly in encapsulation ppp dialer pool 2 dialer idle-timeout 0 either dialer string MTS dialer persistent delay initial 2 dialer-group 1 ppp chap hostname mts ppp chap password 7 11040D16 ! ip forward-protocol nd ip http server ip http authentication local ip http secure-server ! ! ip dns server ip nat inside source route-map ISP0 interface Dialer2 overload ip nat inside source route-map ISP1 interface Dialer1 overload reversible ip route 0.0.0.0 0.0.0.0 Dialer2 ! access-list 1 permit 192.168.8.0 0.0.0.255 access-list 2 permit 80.246.240.202 access-list 2 permit 192.168.9.0 0.0.0.255 access-list 108 permit ip 192.168.8.0 0.0.0.255 any access-list 109 permit ip 192.168.9.0 0.0.0.255 any access-list 109 permit ip host 80.246.240.202 any access-list 110 permit ip any any dialer-list 1 protocol ip list 1 dialer-list 2 protocol ip list 2 ! ! ! ! route-map ADD permit 10 match ip address 110 match interface Dialer1 ! route-map LAN1 permit 20 match ip address 109 set ip next-hop dynamic dhcp set interface Dialer1 ! route-map LAN0 permit 10 match ip address 108 set ip next-hop dynamic dhcp set interface Dialer2 ! route-map ISP0 permit 10 match ip address 108 match interface Dialer2 ! route-map ISP1 permit 10 match ip address 109 match interface Dialer1 ! ! ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! ! line con 0 password 7 ######################## line aux 0 line 0/2/0 exec-timeout 0 0 script dialer MEG login ctrlc-disable modem InOut no exec transport input all transport output all rxspeed 7200000 txspeed 384000 line 0/3/0 script dialer MTS login ctrlc-disable modem InOut no exec rxspeed 3600000 txspeed 384000 line vty 0 4 privilege level 15 transport input telnet ssh line vty 5 transport input ssh ! scheduler allocate 20000 1000 end Edited December 6, 2013 by aivengoff Вставить ник Quote
Merridius Posted December 5, 2013 Posted December 5, 2013 Так и задумано? ip nat outside source static 80.246.240.202 192.168.9.2 Может вам нужно все-таки вот это ip nat inside source static 192.168.9.2 80.246.240.202 Вставить ник Quote
aivengoff Posted December 6, 2013 Author Posted December 6, 2013 Так и задумано? ip nat outside source static 80.246.240.202 192.168.9.2 Может вам нужно все-таки вот это ip nat inside source static 192.168.9.2 80.246.240.202 На самом деле, сейчас удалено из конфига ip nat outside source static 80.246.240.202 192.168.9.2 и ip route 80.246.240.202 255.255.255.255 Dialer1 То что Вы говорите, абсолютно верно, при прописывании такого ната ничего не работает (честно говоря это первый вариант который я пробовал прописать) У меня складывается впечатление (судя по дебагу), что при попадании запроса с внешнего ip, кошак просто не понимает что с ним делать. Т.е. ip nat inside source route-map ISP1 interface Dialer1 overload reversible отлично работает для запрос из LAN, но не знает что делать с запросами из интернета. А весь нат рулится засчет rout-map ISP1. Наверное что-то нужно менять в этом route-map, а не прописывать новые правила трансляции. Вставить ник Quote
aivengoff Posted December 6, 2013 Author Posted December 6, 2013 Привык я уже отвечать сам себе... Все решается прописыванием следующей строчки: ip nat inside source static tcp 192.168.9.2 1720 interface Dialer1 1720 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.