Перейти к содержимому
Калькуляторы

Проброс порта только для одного IP (Cisco 2921)

Ответить

SlipKo   

SlipKo
Опубликовано · Жалоба

Добрый день!

 

Есть Cisco CISCO2921/K9

 

Technology Package License Information for Module:'c2900'

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
             Current       Type           Next reboot
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9_npeRightToUse     securityk9_npe
uc            None          None           None
data          datak9        RightToUse     datak9

 

Внешний IP адрес 1 штука. Есть за этим маршрутером FPSU IP компании Amicon для которого прописана строчка

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx

 

потому что он использует для связи 53 протокол, пробросить его отдельно я его не могу.

 

sh ip nat tr
53  xxx.xxx.xxx.xxx:0   172.16.128.2:0     yyy.yyy.yyy.yyy:0  yyy.yyy.yyy.yyy:0

 

нужно чтобы маршрутизатор через этот же белый IP делал GRE тунель до другого адреса в сети и пока я не убираю строчку для FPSU gre не поднимается.

 

Вопрос: как указать источник для проброса портов, чтобы правило ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx действовало только для адреса yyy.yyy.yyy.yyy?

 

P.S. адрес xxx.xxx.xxx.xxx - адрес моего роутера, yyy.yyy.yyy.yyy - адрес фпсу сервер с другой стороны.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

YuryD   

YuryD
Опубликовано · Жалоба

Я просто прописал acl, разрешающий для фпсу-клиента только обмен с сервером. а так амикон за любым натом вроде работать должен.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Smoke   

Smoke
Опубликовано · Жалоба

Делайте через route-map. Туда цепляйте extended ACL в котором задаете в вкачестве destination y.y.y.y source x.x.x.x. Тогда прежде чем натить роутер будет проверять SA и DA - что не подходит будеит рутится через через Routing Table.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

SlipKo   

SlipKo
Опубликовано (изменено) · Жалоба

Делал так:

 

ip nat inside source static 172.16.128.2 xxx.xxx.xxx.xxx route-map FPSU-NAT

route-map FPSU-NAT permit 10
match ip address 100

access-list 100 permit 53 host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx

 

YuryD, можете скинуть как у Вас сделано?

Изменено пользователем SlipKo

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...