Jump to content
Калькуляторы

Маршрутизация LAN to WAN 2851

Добро времени суток!

Имею кошку 2851 IOS 15.1(4)M7

В кошке установлены 2 HWIC-3G с симками разных провайдеров. Так же имеем 2 LAN подключенные к 2-м гигабитным портам (LAN1 и LAN2). Есть задача чтобы LAN1 натился только в WAN1, соответсвенно LAN2 в WAN2. Проблема в том, что на обоих WAN1 ип динамический, а на WAN2 статический. Я понимаю, что тут нужно пользоваться route-map'ми, но вот никак не могу понять как именно, т.к. если для LAN2-WAN2 я могу прописать next-hope, то как это сделать для LAN1-WAN1 я понять не могу.

Подскажите как разрулить такую ситуацию.

Share this post


Link to post
Share on other sites

гугл в сторону

set ip next-hop dynamic dhcp

+

set interface

 

Честно говоря, в голове уже каша, от кол-ва перебранных вариантов...

Вот конфиг

interface GigabitEthernet0/0

description $ETH-LAN$

ip address 192.168.8.10 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip policy route-map LAN0

duplex auto

speed auto

!

interface GigabitEthernet0/1

description $ETH-LAN$

ip address 192.168.9.10 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip policy route-map LAN1

duplex auto

speed auto

!

interface Cellular0/2/0

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly in

encapsulation ppp

load-interval 30

dialer in-band

dialer idle-timeout 0

dialer string MEG

dialer-group 2

async mode interactive

ppp chap hostname megafon

ppp chap password 7 03095E0C07092E42

ppp ipcp dns request

!

interface Cellular0/3/0

ip address negotiated

ip mtu 1492

ip nat outside

ip virtual-reassembly in

encapsulation ppp

load-interval 60

dialer in-band

dialer idle-timeout 0

dialer string MTS

dialer-group 1

async mode interactive

ppp chap hostname mts

ppp chap password 7 11040D16

ppp ipcp dns request

!

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

!

!

ip dns server

ip nat inside source route-map ISP0 interface Cellular0/3/0 overload

ip nat inside source route-map ISP1 interface Cellular0/2/0 overload

!

access-list 1 permit 192.168.8.0 0.0.0.255

access-list 2 permit 192.168.9.0 0.0.0.255

access-list 108 permit ip 192.168.8.0 0.0.0.255 any

access-list 109 permit ip 192.168.9.0 0.0.0.255 any

access-list 110 permit ip any any

dialer-list 1 protocol ip list 1

dialer-list 2 protocol ip list 2

!

!

!

!

route-map LAN1 permit 20

match ip address 109

set ip default next-hop 78.25.109.64

!

route-map LAN0 permit 10

match ip address 108

set ip next-hop dynamic dhcp

set interface Cellular0/3/0

!

route-map ISP0 permit 10

match ip address 110

match interface Cellular0/3/0

!

route-map ISP1 permit 10

match ip address 110

match interface Cellular0/2/0

Share this post


Link to post
Share on other sites

Сорри... Сам разобрался Route-map для LAN1 был неверно указан... там так же нужно как и для LAN0...

Share this post


Link to post
Share on other sites

Хотелось бы вернуться к разговору. Route-map работают, но возникла проблема, мне необходимо запрос с одно внешнего ip транслировать к себе на внутренний ip (телефония). И тут я даже не знаю куда копать. От меня звонок идет - ко мне нет.... Выкладываю свой конфиг, может кто-нибудь подскажет что-то...

 

Current configuration : 6142 bytes

!

! Last configuration change at 21:35:04 Moscow Thu Dec 5 2013 by admin

version 15.1

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname f3-nw

!

boot-start-marker

boot-end-marker

!

!

logging buffered 51200 warnings

enable secret 4 VG10MazJL5eJrfgJPRAkkLn4LiQjs2c7zaNGXsCUqIs

enable password 7 ##########################

!

aaa new-model

!

!

!

!

!

!

!

aaa session-id common

!

clock timezone Moscow 3 0

!

dot11 syslog

ip source-route

!

!

ip cef

!

ip dhcp excluded-address 192.168.8.1 192.168.8.99

ip dhcp excluded-address 192.168.8.250 192.168.8.254

!

ip dhcp pool F3

network 192.168.8.0 255.255.255.0

default-router 192.168.8.10

dns-server 192.168.8.10

!

!

ip domain name local

ip name-server 217.66.145.1

ip name-server 217.66.145.2

ip name-server 8.8.8.8

no ipv6 cef

!

multilink bundle-name authenticated

!

!

!

!

!

chat-script MEG "" "ATDT*99***1#" TIMEOUT 60 "CONNECT"

chat-script MTS "" "ATDT*99***1#" TIMEOUT 60 "CONNECT"

!

!

!

!

!

!

voice-card 0

!

crypto pki token default removal timeout 0

!

crypto pki trustpoint TP-self-signed-951996981

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-951996981

revocation-check none

rsakeypair TP-self-signed-951996981

!

!

!

license udi pid CISCO2851 sn FTX1211A39G

username admin privilege 15 password 7 ######################

!

redundancy

!

!

controller Cellular 0/2

!

controller Cellular 0/3

!

no ip ftp passive

ip ssh version 1

!

!

!

!

!

!

!

!

interface GigabitEthernet0/0

description $ETH-LAN$

ip address 192.168.8.10 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip policy route-map LAN0

duplex auto

speed auto

!

interface GigabitEthernet0/1

description $ETH-LAN$

ip address 192.168.9.10 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip policy route-map LAN1

duplex auto

speed auto

!

interface Cellular0/2/0

ip unnumbered Dialer1

ip nat outside

ip virtual-reassembly in

encapsulation ppp

load-interval 60

dialer in-band

dialer pool-member 1

dialer-group 2

async mode interactive

ppp chap hostname megafon

ppp chap password 7 082C4949081F0A19

ppp ipcp dns request

!

interface Cellular0/3/0

ip unnumbered Dialer2

ip nat outside

ip virtual-reassembly in

encapsulation ppp

load-interval 60

dialer in-band

dialer pool-member 2

dialer-group 1

async mode interactive

ppp chap hostname mts

ppp chap password 7 11040D16

ppp ipcp dns request

!

interface Dialer1

ip address negotiated

ip nat outside

ip virtual-reassembly in

encapsulation ppp

dialer pool 1

dialer idle-timeout 0 either

dialer string MEG

dialer persistent delay initial 2

dialer-group 2

ppp chap hostname megafon

ppp chap password 7 04560E010E274340

!

interface Dialer2

ip address negotiated

ip nat outside

ip virtual-reassembly in

encapsulation ppp

dialer pool 2

dialer idle-timeout 0 either

dialer string MTS

dialer persistent delay initial 2

dialer-group 1

ppp chap hostname mts

ppp chap password 7 11040D16

!

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

!

!

ip dns server

ip nat inside source route-map ISP0 interface Dialer2 overload

ip nat inside source route-map ISP1 interface Dialer1 overload reversible

ip route 0.0.0.0 0.0.0.0 Dialer2

!

access-list 1 permit 192.168.8.0 0.0.0.255

access-list 2 permit 80.246.240.202

access-list 2 permit 192.168.9.0 0.0.0.255

access-list 108 permit ip 192.168.8.0 0.0.0.255 any

access-list 109 permit ip 192.168.9.0 0.0.0.255 any

access-list 109 permit ip host 80.246.240.202 any

access-list 110 permit ip any any

dialer-list 1 protocol ip list 1

dialer-list 2 protocol ip list 2

!

!

!

!

route-map ADD permit 10

match ip address 110

match interface Dialer1

!

route-map LAN1 permit 20

match ip address 109

set ip next-hop dynamic dhcp

set interface Dialer1

!

route-map LAN0 permit 10

match ip address 108

set ip next-hop dynamic dhcp

set interface Dialer2

!

route-map ISP0 permit 10

match ip address 108

match interface Dialer2

!

route-map ISP1 permit 10

match ip address 109

match interface Dialer1

!

!

!

!

!

control-plane

!

!

!

!

mgcp profile default

!

!

!

!

!

!

line con 0

password 7 ########################

line aux 0

line 0/2/0

exec-timeout 0 0

script dialer MEG

login ctrlc-disable

modem InOut

no exec

transport input all

transport output all

rxspeed 7200000

txspeed 384000

line 0/3/0

script dialer MTS

login ctrlc-disable

modem InOut

no exec

rxspeed 3600000

txspeed 384000

line vty 0 4

privilege level 15

transport input telnet ssh

line vty 5

transport input ssh

!

scheduler allocate 20000 1000

end

Edited by aivengoff

Share this post


Link to post
Share on other sites

Так и задумано?

ip nat outside source static 80.246.240.202 192.168.9.2

 

Может вам нужно все-таки вот это

ip nat inside source static 192.168.9.2 80.246.240.202

Share this post


Link to post
Share on other sites

Так и задумано?

ip nat outside source static 80.246.240.202 192.168.9.2

 

Может вам нужно все-таки вот это

ip nat inside source static 192.168.9.2 80.246.240.202

 

На самом деле, сейчас удалено из конфига

ip nat outside source static 80.246.240.202 192.168.9.2

и

ip route 80.246.240.202 255.255.255.255 Dialer1

 

То что Вы говорите, абсолютно верно, при прописывании такого ната ничего не работает (честно говоря это первый вариант который я пробовал прописать)

У меня складывается впечатление (судя по дебагу), что при попадании запроса с внешнего ip, кошак просто не понимает что с ним делать.

Т.е. ip nat inside source route-map ISP1 interface Dialer1 overload reversible отлично работает для запрос из LAN, но не знает что делать с запросами из интернета. А весь нат рулится засчет rout-map ISP1. Наверное что-то нужно менять в этом route-map, а не прописывать новые правила трансляции.

Share this post


Link to post
Share on other sites

Привык я уже отвечать сам себе...

Все решается прописыванием следующей строчки:

ip nat inside source static tcp 192.168.9.2 1720 interface Dialer1 1720

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this