Автор |
Сообщение |
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Ранее на 15.0 и 15.1 версиях IOS когда я прилепливал ACL к NAT, при срабатывании тикал таймер, а вот на новых маршрутизаторах 4331 с IOS 15.5 не срабатывает. Если ACL цепляю на интерфейс, счетчик тикает, счетчик не увеличивается только с ACL которые относятся к NAT Версия IOS была - 15.5(3)s4b, обновил до 15.5(3)s6 - ничего не изменилось Может кто знает в чём суть ? На версиях 15.0 и 15.1 Просматриваю с помощью команды: show ip access-lists [имя листа] Конфиг на 4331 - IOS 15.5(3)s6
|
23 окт 2017, 13:40 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Ну хоть кто нибудь, подскажите.
|
24 окт 2017, 09:37 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
|
24 окт 2017, 10:18 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
|
25 окт 2017, 10:42 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Что бы не создавать еще одну тему, опишу вторую проблему здесь. Ранее на 2921 все работало нормально, пока я не поставил 4331. Что было на 2921: От провайдера получал пул, делал два НАТа, один для пользователей и один для серверов Код: ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248 ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248 ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload ip access-list extended ACL_NAT_SELFEXTIP ip access-list extended ACL_NAT_SERVERS
- через один адрес пользователи заворачивались на прокси и далее выходили в инет. - сервера по своим правилам так же выходили в инет [правила описанные в ACL который я прилепливал к НАТ] Что есть сейчас на 4331: Тот же пул, разбитый на два НАТа, но работает только один, понять не могу почему так Даже если я пишу в ACL вот такое правило, все равно нихрена не заводится. Оно будет работать только если я перенесу его в ACL для серверов - из за этой фигни, мне кучу правил пришлось передислоцировать в один ACL :/ Код: ip access-list extended ACL_NAT_SELFEXTIP permit ip host 10.0.0.100 any Может тут детская ошибка которую я просто не вижу ? Спасибо за помощь
|
30 окт 2017, 18:21 |
|
|
amir
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 227
|
|
31 окт 2017, 09:47 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Мой английский не настолько хорош как хотелось бы, надеюсь я все понял. У меня собственно есть две мысли. Из статьи:1) Do not configure the interface IP address as part of the IP address NAT pool. Странно конечно, а если провайдер мне дает один адрес ? То он будет и интерфейсу принадлежать и пулу. Или я чёто не догоняю. В моем случае, я не должен использовать 242 адрес в пуле потому, что я использую его на интерфейсе ? 2) Using any IP address configured of a device as an address pool or in a NAT static rule is not supported. NAT can share the physical interface address (not any other IP address) of a device only by using the NAT interface overload configuration. A device uses the ports of its physical interface and NAT must receive communication about the ports that it can safely use for translation. This communication happens only when the NAT interface overload is configured. Вот тут я не совсем понимаю, что имеется ввиду. Но у меня оба пула сконфигурированы как overload Повторюсь, у меня IOS: isr4300-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bin Полная настройка НАТов выглядит у меня вот так: Код: ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248 ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248 ip nat pool Asterisk 213.ХХХ.ХХ.246 213.ХХХ.ХХ.246 netmask 255.255.255.248 ip nat inside source static tcp 10.ХХ.3.33 25 213.ХХХ.ХХ.244 25 extendable ip nat inside source static tcp 10.ХХ.2.39 80 213.ХХХ.ХХ.244 80 extendable ip nat inside source static tcp 10.ХХ.2.39 443 213.ХХХ.ХХ.244 443 extendable ip nat inside source static tcp 10.ХХ.3.42 443 213.ХХХ.ХХ.245 443 extendable ip nat inside source static tcp 10.ХХ.3.113 22 213.ХХХ.ХХ.245 2202 extendable ip nat inside source static tcp 10.ХХ.3.51 22 213.ХХХ.ХХ.245 3022 extendable ip nat inside source static 10.ХХ.3.113 213.ХХХ.ХХ.246 extendable ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload ip nat inside source list Asterisk pool Asterisk overload Код: interface GigabitEthernet0/0/1.12 description Connect to ISP1 encapsulation dot1Q 12 ip address 213.XXX.XX.242 255.255.255.248 no ip redirects no ip proxy-arp ip nat outside ip nbar protocol-discovery ip authentication mode eigrp 1 md5 ip authentication key-chain eigrp 1 KEY no cdp enable
|
31 окт 2017, 11:30 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
Jasson писал(а): Странно конечно, а если провайдер мне дает один адрес ? То он будет и интерфейсу принадлежать и пулу. Или я чёто не догоняю. В моем случае, я не должен использовать 242 адрес в пуле потому, что я использую его на интерфейсе ? тогда указывайте не пул, а имя интерфейса. В чем проблема то?
|
31 окт 2017, 12:47 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Код: ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248 ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248 ip nat pool Asterisk 213.ХХХ.ХХ.246 213.ХХХ.ХХ.246 netmask 255.255.255.248 ip nat inside source static tcp 10.ХХ.3.33 25 213.ХХХ.ХХ.244 25 extendable ip nat inside source static tcp 10.ХХ.2.39 80 213.ХХХ.ХХ.244 80 extendable ip nat inside source static tcp 10.ХХ.2.39 443 213.ХХХ.ХХ.244 443 extendable ip nat inside source static tcp 10.ХХ.3.42 443 213.ХХХ.ХХ.245 443 extendable ip nat inside source static tcp 10.ХХ.3.113 22 213.ХХХ.ХХ.245 2202 extendable ip nat inside source static tcp 10.ХХ.3.51 22 213.ХХХ.ХХ.245 3022 extendable ip nat inside source static 10.ХХ.3.113 213.ХХХ.ХХ.246 extendable ip nat inside source list ACL_NAT_SELFEXTIP interface GigabitEthernet0/0/1.12 overload ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload ip nat inside source list Asterisk pool Asterisk overload Последовательность моих действий: - Убрал правила с ACL_NAT_SERVERS которые должны пренадлежать ACL_NAT_SELFEXTIP - Добавил в ACL_NAT_SELFEXTIP правила - Удалил правило ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload - Добавил правило ACL_NAT_SELFEXTIP interface GigabitEthernet0/0/1.12 overload Что получилось ? пользователи все равно пошли через 213.ХХХ.ХХ.244, а не через 242 Времени было мало, надо было все делать шустро, так как это не тестовое железо. Может где то допустил ошибку.
|
07 ноя 2017, 10:24 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Да хз, такое ощущение, что у вас ACL "ACL_NAT_SELFEXTIP" не матчит пользователей. NAT_SERVERS матчит пользователей. А еще возможно у вас пользователи выходят через прокси-сервер по WEB. Из за этого, у пользунов, 2ip(или чем вы там проверяете) показывает айпишник из серверного пула. Вообще, правила скиньте сюда ACL , далее sh ip nat tran | i "сетка пользователей.X"
|
07 ноя 2017, 12:32 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
У Вас сервера и юзерские тачки лежат в одной сети? Правильно? Если да, то в ACL надо вносить изменения: типа deny IP адреса которые не должны попасть в NAT, а потом разрешаем все остальное. ip access-list extended VLAN_1_OLD deny ip host 192.168.0.166 host 10.0.0.4 deny ip host 192.168.0.166 host 10.0.0.3 deny ip host 192.168.0.166 host 10.0.0.2 permit ip 192.168.0.0 0.0.0.255 any
|
07 ноя 2017, 13:13 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
В общем к ACL прицепил себя и выпустил в инет Что я вижу и что есть: -icmp запросы к разным сайтам проходят, причём по имени -skype воркает -но сайты как не открывались так и не открываются - настройки "без прокси и тд" я это уже смотрел Настройки интерфейса:
|
07 ноя 2017, 14:51 |
|
|
Jasson
Зарегистрирован: 18 окт 2016, 17:25 Сообщения: 84
|
Добавляю ACL: Вообще в принципе, я уже готов удалить ACL_NAT_SELFEXTIP - так как в такой конфигурации он вообще бесполезен
|
07 ноя 2017, 15:12 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Jasson писал(а): В общем к ACL прицепил себя и выпустил в инет Что я вижу и что есть: -icmp запросы к разным сайтам проходят, причём по имени -skype воркает -но сайты как не открывались так и не открываются - настройки "без прокси и тд" я это уже смотрел
MTU? tcp adjust-mss ???
|
07 ноя 2017, 17:31 |
|
|