Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 01:10



Ответить на тему  [ Сообщений: 3 ] 
ip nat outside source static network для connected сети 
Автор Сообщение

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 55
Добрый день.
Есть подключение к чужой сети, нужно ее целиком оттранслировать на собственное адресное пространство.

Код:
interface Gi0/0.1001
 encap dot1q 1001
 descr Our network
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 vrf forwarding Partner_1
!
interface Gi0/1.1101
 encap dot1q 1101
 descr Their network
 ip address 192.168.0.254 255.255.255.0
 ip nat outside
 vrf forwarding Partner_1
!
ip access list ext nat_Partner_1
  permit ip any 10.100.1.0 0.0.0.255
!
ip nat inside source list nat_Partner_1 interface Gi0/1.1101 vrf Partner_1 overload
ip nat outside source static network 192.168.0.0 10.100.1.0 /24 vrf Partner_1


такая конструкция работает только если добавить
Код:
ip route vrf Partner_1 10.100.1.1 255.255.255.255 192.168.0.1
ip route vrf Partner_1 10.100.1.x 255.255.255.255 192.168.0.x
и т.д.
ip route vrf Partner_1 10.100.1.253 255.255.255.255 192.168.0.253


что в общем-то слишком громоздко

Код:
ip route vrf Partner_1 10.100.1.0 255.255.255.0 Gi0/1.1101

В VRF не добавляется вообще, а без VRF работает коряво - пакеты через один теряются.
Но мне без VRF нельзя, партнеров с пересекающимися сетями предполагается много.

Все отлично работает, если со стороны партнера есть промежуточный шлюз, когда маршрут на всю виртуальную сеть прописывается в сторону одного IP, но в общем случае предполагается что у партнера не будет шлюза.

Пока на ум приходит еще один VRF и физическая петля, но это тоже слишком громоздко и двойной траффик.


08 июл 2021, 08:20
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
ShyLion писал(а):
Есть подключение к чужой сети, нужно ее целиком оттранслировать на собственное адресное пространство.

ShyLion писал(а):
партнеров с пересекающимися сетями предполагается много.

Тут нужно определиться с задачей.
Вы к ним подключаетесь, или они к вам?
Если вы центральный узел, то вы и задаете правила, в соответствии с общей топологией своей сети.
Т.е. вы раздаете Ethernet-ы (VLAN-ы) со своими адресами.
Если партнер хочет, то сидит в этой вашей подсети.
А если не хочет, то пусть ставит свою железку, которая будет NAT-ить его сеть в вашу.
Вот и все. И не нужно тут городить такой дикий огород.

_________________
Knowledge is Power


09 июл 2021, 02:30
Профиль

Зарегистрирован: 31 янв 2017, 12:21
Сообщения: 55
Silent_D писал(а):
Тут нужно определиться с задачей.


Нужно получить доступ к хостам в чужих сетях, в условиях, когда партнер ничего дополнительно делать/переделывать не хочет/не может/не умеет. Дает согласие только при условии, что на его стороне НИЧЕГО менятся не будет.
Это сети видеонаблюдения, которые нужно свести в единый центр. Из самих сетей никуда ходить не будут, им это не надо.
Такие сети 95% 192.168.1.0/24 или 192.168.0.0/24.
По этой причине нужны и VRF и оба типа NAT'а.


09 июл 2021, 09:33
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 62


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB