Проблема с натом в cisco 2811

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Garra-67
Advanced member
Сообщения: 111
Зарегистрирован: 20 янв 2008, 14:48
Откуда: Smolensk

Проблема с натом в cisco 2811

Сообщение Garra-67 » 19 окт 2010, 12:50

Доброго времени суток!
Есть цизка с настроенным натом от провайдера в лок сеть. Все работает нормально.
Стала задача пустить один адрес через другую подсеть. Эта подсеть по факту является локальной сетью и с нее нужен только один адрес. У этой цизки только 2 физ. интерфейса поэтому пришлось использовать вланы.
Кусок конфига:

interface FastEthernet0/0
no ip address
no ip redirects
no ip proxy-arp
ip virtual-reassembly
load-interval 30
duplex auto
speed auto
!
interface FastEthernet0/0.288
encapsulation dot1Q 288
ip address 10.127.196.32 255.255.255.128
!
interface FastEthernet0/0.488
encapsulation dot1Q 488
ip address 11.22.33.44 255.255.255.240
ip nat outside
ip virtual-reassembly
crypto map smolensk_local
!
interface FastEthernet0/1
ip address 172.20.27.1 255.255.255.224
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 11.22.33.44
ip route 172.20.3.19 255.255.255.255 10.127.196.126
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0.488 overload
!
access-list 23 permit 172.20.27.0 0.0.0.31
access-list 103 permit ip 172.20.27.0 0.0.0.31 any
snmp-server community public RO
!
route-map SDM_RMAP_1 permit 1
match ip address 103
!
здесь FastEthernet0/0.488 провайдер, FastEthernet0/1 лок сеть, FastEthernet0/0.288 - локальная сеть с которой нужен доступ на дрес 172.20.3.19

С самой цизки адрес 172.20.3.19 пингуется, из сети 172.20.27.0 нет, при трассировке затык происходит на цизке.
Пробовал создавать второй нат, тоже не раотает. Цизку особо не знаю тк ооочень редко приходится с ней работать.
Что делаю не так?

Valery12
Junior member
Сообщения: 12
Зарегистрирован: 17 июн 2008, 09:32
Откуда: Владимир

Re: Проблема с натом в cisco 2811

Сообщение Valery12 » 19 окт 2010, 15:45

а на 172.20.3.19 какие сетевые настройки?
ведь между ним и интерфейсом циски 10.127.196.32 есть еще как минимум один маршрутизатор (10.127.196.126)
значит что бы пинговалось без использования NAT нужно
1. на 172.20.3.19
наличие маршрута 172.20.27.0 255.255.255.224 через второй интерфейс маршрутизатора 10.127.196.126, который на нее смотрит, или дефолтный маршрут на него
2. на 10.127.196.126
наличие маршрута 172.20.27.0 255.255.255.224 10.127.196.32

Если поднимать второй NAT то достаточно
на 172.20.3.19
наличие маршрута 10.127.196.0 255.255.255.128 через второй интерфейс маршрутизатора 10.127.196.126, который на нее смотрит, или дефолтный маршрут на него, хотя судя по
Garra-67 писал(а): С самой цизки адрес 172.20.3.19 пингуется, из сети 172.20.27.0 нет, при трассировке затык происходит на цизке.
такой маршрут есть
в этом случае
на interface FastEthernet0/0.288 тоже ip nat outside
вместо
access-list 103 permit ip 172.20.27.0 0.0.0.31 any

access-list 103 deny ip 172.20.27.0 0.0.0.31 host 172.20.3.19
access-list 103 permit ip 172.20.27.0 0.0.0.31 any

добавить
access-list 104 permit ip 172.20.27.0 0.0.0.31 host 172.20.3.19

сделать второй route-map с match ip address 104

ну и

ip nat inside source route-map SDM_RMAP_2 interface FastEthernet0/0.288 overload

Garra-67
Advanced member
Сообщения: 111
Зарегистрирован: 20 янв 2008, 14:48
Откуда: Smolensk

Re: Проблема с натом в cisco 2811

Сообщение Garra-67 » 19 окт 2010, 17:55

Спасибо!!! Заработало!
Ошибка была в том, что при создании второго ната я ему вешал access-list 104 permit ip 172.20.27.0 0.0.0.31 any
и на 1м не запрещал 172.20.3.19.

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей