|
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Автор |
Сообщение |
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Есть сеть 100.123.0.0/25 терминирующаяся на c8000v и есть 10.255.255.0/27 терминирующаяся на свиче. NAT наружу работает отовсюду, а PAT обратно только на connected сети. В чем я накосячил? Код: COBALT-RTR#sh run int bdi1 Building configuration...
Current configuration : 183 bytes ! interface BDI1 description #-- WAN L3 mac-address 0050.56a0.d9d7 ip address dhcp ip nbar protocol-discovery ip nat outside load-interval 30 no mop enabled no mop sysid end
COBALT-RTR#sh run int g2 Building configuration...
Current configuration : 310 bytes ! interface GigabitEthernet2 description #-- Internal ip address 100.123.0.126 255.255.255.128 ip nbar protocol-discovery ip nat inside load-interval 30 negotiation auto cdp enable ipv6 address 2600:70FF:B018::/64 eui-64 ipv6 enable no mop enabled no mop sysid service-policy output SHAPE-LAN end
COBALT-RTR#sh run int g4 Building configuration...
Current configuration : 314 bytes ! interface GigabitEthernet4 description #-- COBALT Interconnect mtu 9000 ip address 100.123.0.254 255.255.255.248 ip nbar protocol-discovery ip nat inside load-interval 30 negotiation auto cdp enable ipv6 address 2001:470:28:1B5::2/127 no mop enabled no mop sysid service-policy output SHAPE-LAN end
COBALT-RTR#sh ip route 10.255.255.2 Routing entry for 10.255.255.0/27 Known via "ospf 65123", distance 110, metric 2, type inter area Redistributing via bgp 65123 Advertised by bgp 65123 route-map RD-OUT Last update from 100.123.0.253 on GigabitEthernet4, 1w3d ago Routing Descriptor Blocks: * 100.123.0.253, from 100.123.15.11, 1w3d ago, via GigabitEthernet4 Route metric is 2, traffic share count is 1 COBALT-RTR#sh ip route 100.123.0.2 Routing entry for 100.123.0.0/25 Known via "connected", distance 0, metric 0 (connected, via interface) Redistributing via bgp 65123 Advertised by bgp 65123 route-map RD-OUT Routing Descriptor Blocks: * directly connected, via GigabitEthernet2 Route metric is 0, traffic share count is 1 COBALT-RTR#sh run | i ip nat ip nat inside ip nat inside ip nat outside no ip nat service all-algs ip nat inside source static tcp 100.123.0.1 25 95.31.131.3 25 extendable ip nat inside source static tcp 100.123.0.1 53 95.31.131.3 53 extendable ip nat inside source static udp 100.123.0.1 53 95.31.131.3 53 extendable ip nat inside source static tcp 100.123.0.5 80 95.31.131.3 80 extendable ip nat inside source static udp 10.255.255.2 22 95.31.131.3 2222 extendable ip nat inside source static tcp 10.255.255.25 32400 95.31.131.3 32400 extendable ip nat inside source static udp 10.255.255.2 51402 95.31.131.3 51402 extendable ip nat inside source static udp 10.255.255.3 51403 95.31.131.3 51403 extendable ip nat inside source list NAT interface BDI1 overload COBALT-RTR#
|
01 дек 2021, 07:51 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них.
|
03 дек 2021, 00:44 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Black Fox писал(а): Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них. Нет, nat наружу из 10.255.255.0/27 же работает, а она на свиче терминируется. Зачем ARP если есть запись запись в таблице маршрутизации? Думаю это баг, по крайней мере на асе такое работает.
|
03 дек 2021, 07:51 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
ARP затем, чтобы из локального сегмента узлы могли подключаться, то есть чтобы на них не писать роутинг (сетка для них коннектнутая же, они в ней и ищут по ARP). После крайнего пояснения вообще ничего стало не понятно. Какие в итоге адреса-то должны быть на устройстве: inside local, inside global?..
|
05 дек 2021, 21:24 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
На inside global 95.31.131.3 с BDI1, на inside local connected 100.123.0.0/25 работает, а routed 10.255.255.0/27 нет. Изнутри наружу из обоих сетей ходит. Пробовал для nat наружу в acl разрешать только tcp, udp и icmp, пробовал nonpatdrop и cg-nat, так и не победилось.
|
06 дек 2021, 07:07 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 57 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|