Anticisco http://anticisco.ru/forum/ |
|
PAT на не connected сети http://anticisco.ru/forum/viewtopic.php?f=2&t=11649 |
Страница 1 из 1 |
Автор: | Bessmertniy [ 01 дек 2021, 07:51 ] |
Заголовок сообщения: | PAT на не connected сети |
Есть сеть 100.123.0.0/25 терминирующаяся на c8000v и есть 10.255.255.0/27 терминирующаяся на свиче. NAT наружу работает отовсюду, а PAT обратно только на connected сети. В чем я накосячил? Код: COBALT-RTR#sh run int bdi1 Building configuration... Current configuration : 183 bytes ! interface BDI1 description #-- WAN L3 mac-address 0050.56a0.d9d7 ip address dhcp ip nbar protocol-discovery ip nat outside load-interval 30 no mop enabled no mop sysid end COBALT-RTR#sh run int g2 Building configuration... Current configuration : 310 bytes ! interface GigabitEthernet2 description #-- Internal ip address 100.123.0.126 255.255.255.128 ip nbar protocol-discovery ip nat inside load-interval 30 negotiation auto cdp enable ipv6 address 2600:70FF:B018::/64 eui-64 ipv6 enable no mop enabled no mop sysid service-policy output SHAPE-LAN end COBALT-RTR#sh run int g4 Building configuration... Current configuration : 314 bytes ! interface GigabitEthernet4 description #-- COBALT Interconnect mtu 9000 ip address 100.123.0.254 255.255.255.248 ip nbar protocol-discovery ip nat inside load-interval 30 negotiation auto cdp enable ipv6 address 2001:470:28:1B5::2/127 no mop enabled no mop sysid service-policy output SHAPE-LAN end COBALT-RTR#sh ip route 10.255.255.2 Routing entry for 10.255.255.0/27 Known via "ospf 65123", distance 110, metric 2, type inter area Redistributing via bgp 65123 Advertised by bgp 65123 route-map RD-OUT Last update from 100.123.0.253 on GigabitEthernet4, 1w3d ago Routing Descriptor Blocks: * 100.123.0.253, from 100.123.15.11, 1w3d ago, via GigabitEthernet4 Route metric is 2, traffic share count is 1 COBALT-RTR#sh ip route 100.123.0.2 Routing entry for 100.123.0.0/25 Known via "connected", distance 0, metric 0 (connected, via interface) Redistributing via bgp 65123 Advertised by bgp 65123 route-map RD-OUT Routing Descriptor Blocks: * directly connected, via GigabitEthernet2 Route metric is 0, traffic share count is 1 COBALT-RTR#sh run | i ip nat ip nat inside ip nat inside ip nat outside no ip nat service all-algs ip nat inside source static tcp 100.123.0.1 25 95.31.131.3 25 extendable ip nat inside source static tcp 100.123.0.1 53 95.31.131.3 53 extendable ip nat inside source static udp 100.123.0.1 53 95.31.131.3 53 extendable ip nat inside source static tcp 100.123.0.5 80 95.31.131.3 80 extendable ip nat inside source static udp 10.255.255.2 22 95.31.131.3 2222 extendable ip nat inside source static tcp 10.255.255.25 32400 95.31.131.3 32400 extendable ip nat inside source static udp 10.255.255.2 51402 95.31.131.3 51402 extendable ip nat inside source static udp 10.255.255.3 51403 95.31.131.3 51403 extendable ip nat inside source list NAT interface BDI1 overload COBALT-RTR# |
Автор: | Black Fox [ 03 дек 2021, 00:44 ] |
Заголовок сообщения: | Re: PAT на не connected сети |
Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них. |
Автор: | Bessmertniy [ 03 дек 2021, 07:51 ] |
Заголовок сообщения: | Re: PAT на не connected сети |
Black Fox писал(а): Так NAT/PAT и делается на адреса, которые есть на самой железке. В случае же коннектнутых сетей, роутер считает, что все адреса NAT/PAT на нём - отвечает на ARP о них. Нет, nat наружу из 10.255.255.0/27 же работает, а она на свиче терминируется. Зачем ARP если есть запись запись в таблице маршрутизации? Думаю это баг, по крайней мере на асе такое работает. |
Автор: | Black Fox [ 05 дек 2021, 21:24 ] |
Заголовок сообщения: | Re: PAT на не connected сети |
ARP затем, чтобы из локального сегмента узлы могли подключаться, то есть чтобы на них не писать роутинг (сетка для них коннектнутая же, они в ней и ищут по ARP). После крайнего пояснения вообще ничего стало не понятно. Какие в итоге адреса-то должны быть на устройстве: inside local, inside global?.. |
Автор: | Bessmertniy [ 06 дек 2021, 07:07 ] |
Заголовок сообщения: | Re: PAT на не connected сети |
На inside global 95.31.131.3 с BDI1, на inside local connected 100.123.0.0/25 работает, а routed 10.255.255.0/27 нет. Изнутри наружу из обоих сетей ходит. Пробовал для nat наружу в acl разрешать только tcp, udp и icmp, пробовал nonpatdrop и cg-nat, так и не победилось. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |