Не претендуя на экспертизу, но вот что хотелось бы заметить:
Maxische писал(а):
action 20 cli command "clear ip nat translation *"
1. В EEM нужно использовать "clear ip nat translation
forced"
Да и в консоли. Т.к. "*" запрашивает подтверждение на удаление активных трансляций.
А forced - это * + Yes.
2. Про object-group:
Maxische писал(а):
ip access-list extended NAT
deny ip object-group NAT-DENY any
permit ip object-group NAT-PERMIT any
Как-то на форумах попадалось как народ жаловался, что это в IOS не работает. (В ASA работает.)
Т.е. синтаксически все Ок, все красиво, ... только не работает.
Причем не то, чтобы совсем не работает, а местами.
Т.е. типа в ACL на интерфейсах работает, а в route-map - нет, или наоборот.
И это "местами" разное в разных версиях IOS.
Может это уже и не актуально и наука с тех пор шагнула далеко вперед. А может ...
К тому же тут это вообще лишнее.
Код:
ip access-list extended NAT
deny ip any 10.0.0.0 0.255.255.255
permit ip 10.0.0.0 0.255.255.255 any
Этого будет достаточно на все (почти) случаи. Да и конфиг проще.
Т.е. то, что дошло до NAT, - должно NAT-иться. Ну, кроме внутреннего трафика.
NAT не нужно использовать как средство контроля доступа.
Для этого есть явно предназначенные средства - ACL и FW.
3. ip sla auto discovery
Вот это вам точно нужно?
Что вы там хотите auto надискаверить? И зачем?
https://www.cisco.com/c/en/us/td/docs/i ... _eng3.html