Сообщения без ответов | Активные темы Текущее время: 18 янв 2022, 04:43



Ответить на тему  [ Сообщений: 5 ] 
PAT на не connected сети 
Автор Сообщение
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1505
Есть сеть 100.123.0.0/25 терминирующаяся на c8000v и есть 10.255.255.0/27 терминирующаяся на свиче. NAT наружу работает отовсюду, а PAT обратно только на connected сети. В чем я накосячил?
Код:
COBALT-RTR#sh run int bdi1
Building configuration...

Current configuration : 183 bytes
!
interface BDI1
 description #-- WAN L3
 mac-address 0050.56a0.d9d7
 ip address dhcp
 ip nbar protocol-discovery
 ip nat outside
 load-interval 30
 no mop enabled
 no mop sysid
end

COBALT-RTR#sh run int g2
Building configuration...

Current configuration : 310 bytes
!
interface GigabitEthernet2
 description #-- Internal
 ip address 100.123.0.126 255.255.255.128
 ip nbar protocol-discovery
 ip nat inside
 load-interval 30
 negotiation auto
 cdp enable
 ipv6 address 2600:70FF:B018::/64 eui-64
 ipv6 enable
 no mop enabled
 no mop sysid
 service-policy output SHAPE-LAN
end

COBALT-RTR#sh run int g4
Building configuration...

Current configuration : 314 bytes
!
interface GigabitEthernet4
 description #-- COBALT Interconnect
 mtu 9000
 ip address 100.123.0.254 255.255.255.248
 ip nbar protocol-discovery
 ip nat inside
 load-interval 30
 negotiation auto
 cdp enable
 ipv6 address 2001:470:28:1B5::2/127
 no mop enabled
 no mop sysid
 service-policy output SHAPE-LAN
end

COBALT-RTR#sh ip route 10.255.255.2
Routing entry for 10.255.255.0/27
  Known via "ospf 65123", distance 110, metric 2, type inter area
  Redistributing via bgp 65123
  Advertised by bgp 65123 route-map RD-OUT
  Last update from 100.123.0.253 on GigabitEthernet4, 1w3d ago
  Routing Descriptor Blocks:
  * 100.123.0.253, from 100.123.15.11, 1w3d ago, via GigabitEthernet4
      Route metric is 2, traffic share count is 1
COBALT-RTR#sh ip route 100.123.0.2
Routing entry for 100.123.0.0/25
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Redistributing via bgp 65123
  Advertised by bgp 65123 route-map RD-OUT
  Routing Descriptor Blocks:
  * directly connected, via GigabitEthernet2
      Route metric is 0, traffic share count is 1
COBALT-RTR#sh run | i ip nat
 ip nat inside
 ip nat inside
 ip nat outside
no ip nat service all-algs
ip nat inside source static tcp 100.123.0.1 25 95.31.131.3 25 extendable
ip nat inside source static tcp 100.123.0.1 53 95.31.131.3 53 extendable
ip nat inside source static udp 100.123.0.1 53 95.31.131.3 53 extendable
ip nat inside source static tcp 100.123.0.5 80 95.31.131.3 80 extendable
ip nat inside source static udp 10.255.255.2 22 95.31.131.3 2222 extendable
ip nat inside source static tcp 10.255.255.25 32400 95.31.131.3 32400 extendable
ip nat inside source static udp 10.255.255.2 51402 95.31.131.3 51402 extendable
ip nat inside source static udp 10.255.255.3 51403 95.31.131.3 51403 extendable
ip nat inside source list NAT interface BDI1 overload
COBALT-RTR#


01 дек 2021, 07:51
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 804
Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них.


03 дек 2021, 00:44
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1505
Black Fox писал(а):
Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них.

Нет, nat наружу из 10.255.255.0/27 же работает, а она на свиче терминируется. Зачем ARP если есть запись запись в таблице маршрутизации? Думаю это баг, по крайней мере на асе такое работает.


03 дек 2021, 07:51
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 804
ARP затем, чтобы из локального сегмента узлы могли подключаться, то есть чтобы на них не писать роутинг (сетка для них коннектнутая же, они в ней и ищут по ARP).
После крайнего пояснения вообще ничего стало не понятно. Какие в итоге адреса-то должны быть на устройстве: inside local, inside global?..


05 дек 2021, 21:24
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1505
На inside global 95.31.131.3 с BDI1, на inside local connected 100.123.0.0/25 работает, а routed 10.255.255.0/27 нет. Изнутри наружу из обоих сетей ходит. Пробовал для nat наружу в acl разрешать только tcp, udp и icmp, пробовал nonpatdrop и cg-nat, так и не победилось.


06 дек 2021, 07:07
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB