Какой-то фантомный IP завелся, как найти?

[alibek]

Есть Cisco 7201 с такой примерно конфигурацией:

interface GigabitEthernet0/0 - аплинк
ip address xx.xx.124.242 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3.100 - подсеть для серверов
encapsulation dot1Q 100
ip address xx.xx.124.126 255.255.255.128
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no cdp enable
!
interface GigabitEthernet0/3.201 - транспорт и внутренняя сеть
encapsulation dot1Q 201
ip address 10.1.3.6 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
!
ip nat pool POOL-LOCAL xx.xx.124.224 xx.xx.124.239 prefix-length 28
ip nat inside source list NATLIST pool POOL-LOCAL overload
ip classless
ip route 0.0.0.0 0.0.0.0 xx.xx.124.241
ip route 10.1.0.0 255.255.0.0 10.1.3.5
ip route 10.1.255.0 255.255.255.255 10.1.3.5
!
! аплинк роутит на C7201 следующие подсети:
! xx.xx.124.0 255.255.255.128 xx.xx.124.242
! xx.xx.124.224 255.255.255.240 xx.xx.124.242

На одном из сервером обнаружил непонятный трафик с xx.xx.124.227.

Пингую с сервера (или с внутренней сети, которая натится) xx.xx.124.226 - пингуется.

Пингую xx.xx.124.227 - петля, кончается TTL.

Трассировка на xx.xx.124.226 не проходит.

Трассировка на xx.xx.124.227 вызывает петлю на аплинке (между xx.xx.124.241 и xx.xx.124.242).

 

Допустим на C7201 я забыл отправить xx.xx.124.224/28 в null, поэтому откуда петля вылезла понятно.

Исправил, теперь пинг на xx.xx.124.227 выдает таймаут, а не TTL.

Но на сервере по прежнему вижу трафик с xx.xx.124.227 (и входящий, и исходящий), откуда он берется? По содержимому это DNS-запросы.

И самое непонятное, xx.xx.124.226 по прежнему пингуется, как его найти?

 

Причем, что тоже непонятно:

CORE-BRAS00-C7201#ping xx.xx.124.226 source xx.xx.124.242
Sending 5, 100-byte ICMP Echos to xx.xx.124.226, timeout is 2 seconds:
Packet sent with a source address of xx.xx.124.242 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

CORE-BRAS00-C7201#sh arp | i xx.xx.124.226
(нет записей)

CORE-BRAS00-C7201#traceroute xx.xx.124.226
 1 10.1.3.5 0 msec 4 msec 4 msec
 2 10.1.3.14 0 msec 0 msec 4 msec
 3  *  *  * 
 4  *  *  * 
 5  *  *  * 

CORE-BRAS00-C7201#sh ip route xx.xx.124.226
Routing entry for xx.xx.124.224/28
 Known via "static", distance 1, metric 0 (connected)
 Routing Descriptor Blocks:
 * directly connected, via Null0
     Route metric is 0, traffic share count is 1

Почему пинги с C7201 вообще проходят и почему трассировка заворачивается на gi0/3.201 — у меня объяснений вообще нет.

[MMM]

Предполагаю, что дело nat pool с overload

[alibek]

Предполагаю, что дело nat pool с overload

Какое именно дело?

Трафик на сервере - с этим согласен, скорее всего это трафик из NAT.

А вот почему этот IP пингуется?

[MMM]

"пингуется" - это может быть не ответ на пинг, а TTL exceeded.

[alibek]

Нет, именно echo-reply.

[Tsvetkov]

sh ip nat translations | xx.xx.124.226

 

Смысл такой - у тебя пул для внешнего ната "ip nat pool POOL-LOCAL xx.xx.124.224 xx.xx.124.239 prefix-length 28". Когда начинает натится берется первый из пула аддрес и проприсывается на "interface GigabitEthernet0/0" первый ip xx.xx.124.224 (циска сама прописывает). Когда на xx.xx.124.224 заканчиваются сокеты (таблица ната для ip xx.xx.124.224), прописывается следующий из пула - xx.xx.124.225 и т.д. И когда приходит пинг циска видит, что ip проприсан на интерфейсе "interface GigabitEthernet0/0" и отпровляет ответ.

 

Т.е. из interface GigabitEthernet0/3.201 натится в "interface GigabitEthernet0/0" ,а потом роутится в "interface GigabitEthernet0/3.100"

 

show ip interface GigabitEthernet0/0 - поидее покажет все ip на интерфейсе

и еще попробуй - show ip nat statistics

 

ИМХО - я бы убрал бы с "interface GigabitEthernet0/3.100" команду " ip nat outside" , чтоб между "interface GigabitEthernet0/3.100" и "interface GigabitEthernet0/3.201" роутилось , а не натилось

 

зы под боком нет циски

Edited October 27, 2014 by Tsvetkov