https://www.opennet.ru/openforum/vsluhforumID6/22630.html Имею 7204vxr. Из железяки делаю NAS для абонентов PPPoE: VLAN219, кучка пользователей, aaa работает нормально. Если абоненту атрибутом присваивается реальный адрес, то вопросов не возникает. Но если назначается серый, например, из сети 10.99.1.0/24 то пингуются все адреса в VLAN184 (интерфейс fa0/0.184), но выше пакеты не уходят (не происходит маршрутизации по правилу ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.14). <br>Маршрутизация статических адресов из class-c (блок 256 реальных адресов) сети происходит нормально, через адрес на fa0/0.184 и далее уходит по выше обозначеному правилу.<br><br>Подскажите, где в конфиге допущена ошибка?<br><br>7204_XXXXX_NAS#sh run<br>Building configuration...<br><br>Current configuration : 6063 bytes<br>!<br>! Last configuration change at 07:59:56 YSD Sun May 15 2011 by aerounit<br>! NVRAM config last updated at 22:14:04 YSD Wed May 11 2011 by aerounit<br>!<br>version 12.3<br>service timestamps debug datetime localtime<br>service timestamps log datetime localtime<br>service password-encryption<br>!<br>hostname 7204_XX https://www.opennet.ru/openforum/vsluhforumID6/22630.html#22 Mon, 23 May 2011 05:00:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip <br>&gt;&gt;&gt; nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают <br>&gt;&gt;&gt; ходить, а пакеты с серых адресов перестают.<br>&gt;&gt;&gt; Видимо нужно уходить от static route к динамическому route-map. К сожалению получить <br>&gt;&gt;&gt; AS и блоки адресов пока не можем =( <br>&gt;&gt; Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один <br>&gt;&gt; vrf, NAT и второй интерфейя в другой vrf или оставить в <br>&gt;&gt; глобале, будет у вас 2 независимые таблицы маршрутизации.<br>&gt; Помоему VRF будет не к месту, да и через чур. Думаю решение <br>&gt; проблемы таится в route-map.<br><br>Как правило есть более одного способа решения практически любой задачи.<br>роут-мап даст большую нагрузку на кошку, чем врф при том же обьеме трафика.<br>Кроме того при использовании врф sh ip rout будет показывать действительное положение вещей, а при роут-мап sh ip rout не соответствует фактическому направлению движения пакетов.<br>Хотя решение естественно за вами.<br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#21 Mon, 23 May 2011 03:17:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; и обратно.<br>&gt;&gt; Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то <br>&gt;&gt; не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip <br>&gt;&gt; nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают <br>&gt;&gt; ходить, а пакеты с серых адресов перестают.<br>&gt;&gt; Видимо нужно уходить от static route к динамическому route-map. К сожалению получить <br>&gt;&gt; AS и блоки адресов пока не можем =( <br>&gt; Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один <br>&gt; vrf, NAT и второй интерфейя в другой vrf или оставить в <br>&gt; глобале, будет у вас 2 независимые таблицы маршрутизации.<br><br>Помоему VRF будет не к месту, да и через чур. Думаю решение проблемы таится в route-map.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#20 Sun, 22 May 2011 05:54:29 GMT &gt;[оверквотинг удален]<br>&gt; Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес <br>&gt; в сети ТТК и через которую сеть маршрутизируется мой блок адресов <br>&gt; XXX.XXX.XXX.XXX/24 и стали бегать пакеты с серых адресов в мир <br>&gt; и обратно.<br>&gt; Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то <br>&gt; не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip <br>&gt; nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают <br>&gt; ходить, а пакеты с серых адресов перестают.<br>&gt; Видимо нужно уходить от static route к динамическому route-map. К сожалению получить <br>&gt; AS и блоки адресов пока не можем =( <br><br>Можно попробовать поиграться с vrf-ами, реал ip-ы и один интрфейс в один vrf, NAT и второй интерфейя в другой vrf или оставить в глобале, будет у вас 2 независимые таблицы маршрутизации.<br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#19 Sat, 21 May 2011 05:48:00 GMT &gt;&gt; Перевесил ip nat outside на fa0/0.470 и нат заработал.<br>&gt;&gt; Осталось настроить route-map и все будет хорошо. всем спасибо.<br>&gt; Т.е. NAT висел не на том интерфейсе?<br><br>На том. На интерфейсе присоединенном к сети состоящей из блока реальных адресов ( По идее должна была быть маршрутизация запросов с fa0/0.184 в 0.0.0.0 0.0.0.0 через YYY.YYY.YYY.14, но этого не происходило (толи я дурак, то ли конфигурация не правильная). <br>Перевесил на интерфейс присоединения к ТТК на котором висит мой внутренний адрес в сети ТТК и через которую сеть маршрутизируется мой блок адресов XXX.XXX.XXX.XXX/24 и стали бегать пакеты с серых адресов в мир и обратно.<br><br>Но! Если радиус выдает клиенту белый адрес из нашего /24 блока, то не ходят пакеты через выше описанный интерфейс. Но стоит перевесить ip nat outside обратно на fa0/0.184 как пакеты с выданного адреса начинают ходить, а пакеты с серых адресов перестают. <br><br>Видимо нужно уходить от static route к динамическому route-map. К сожалению получить AS и блоки адресов пока не може https://www.opennet.ru/openforum/vsluhforumID6/22630.html#18 Fri, 20 May 2011 05:48:21 GMT &gt; Перевесил ip nat outside на fa0/0.470 и нат заработал.<br>&gt; Осталось настроить route-map и все будет хорошо. всем спасибо.<br><br>Т.е. NAT висел не на том интерфейсе?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#17 Fri, 20 May 2011 05:36:54 GMT Перевесил ip nat outside на fa0/0.470 и нат заработал.<br><br>Осталось настроить route-map и все будет хорошо. всем спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#16 Thu, 19 May 2011 11:36:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; и <br>&gt;&gt;&gt;&gt; sh ip nat trans вы не показали.<br>&gt;&gt;&gt;&gt; попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.<br>&gt;&gt;&gt; молчок там и там <br>&gt;&gt; В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего <br>&gt;&gt; не попадает...<br>&gt;&gt; А у вас NAT без pppoe вообще работает?<br>&gt;&gt; ИОС может поменять?<br>&gt; опытном выяснилось что с натом, что без него - все однохренно: наш <br>&gt; блок PI-адресов /24 пингуется и без ната, адреса резолвятся.<br><br>Ночью буду перезагружать циску.<br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#15 Thu, 19 May 2011 11:36:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; deb ip nat <br>&gt;&gt;&gt; что говорит в процессе?<br>&gt;&gt;&gt; и <br>&gt;&gt;&gt; sh ip nat trans вы не показали.<br>&gt;&gt;&gt; попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.<br>&gt;&gt; молчок там и там <br>&gt; В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего <br>&gt; не попадает...<br>&gt; А у вас NAT без pppoe вообще работает?<br>&gt; ИОС может поменять?<br><br>опытном выяснилось что с натом, что без него - все однохренно: наш блок PI-адресов /24 пингуется и без ната, адреса резолвятся.<br> https://www.opennet.ru/openforum/vsluhforumID6/22630.html#14 Thu, 19 May 2011 07:37:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; вопрос с обработкой пакетов в обход цпу. на явную маршрутизацию оно <br>&gt;&gt;&gt;&gt; не влияет.<br>&gt;&gt;&gt; Ну есть определенные закономерности - mpls например без cef вообще не работает <br>&gt;&gt;&gt; :) <br>&gt;&gt; deb ip nat <br>&gt;&gt; что говорит в процессе?<br>&gt;&gt; и <br>&gt;&gt; sh ip nat trans вы не показали.<br>&gt;&gt; попробуйте занатить не адресом провайдера, а одним из ваших 256 адресов.<br>&gt; молчок там и там <br><br>В таком случае причем тут маршрутизация? по какой-то причине в NAT ничего не попадает...<br><br>А у вас NAT без pppoe вообще работает?<br>ИОС может поменять?<br><br>