Добрый день!Возможно, кто-нибудь сталкивался с подобной проблемой, был бы крайне благодарен за помощь, т.к. обыскал весь cisco.com и ничего не нашел по этому поводу.
На маршрутизаторе C7206-VXR NPE-G1 (IOS c7200-adventerprisek9-mz.122-33.SRD2) не создается статическая PAT-трансляция на внешний "белый" адрес (при условии указания некоторой группы dest-портов). При попытке создания static NAT tcp/udp выдается ошибка:
(config)#ip nat inside source static tcp 10.41.0.29 4662 x.x.x.74 4662 extendable
%Port 4662 is being used by system
(config)#ip nat inside source static tcp 10.41.0.29 4662 x.x.x.74 4661 extendable
%Port 4661 is being used by systemнесмотря на то, что такой трансляции в конфиг не заведено:
#sh run | i ip nat
ip nat outside
ip nat pool 123 x.x.x.65 x.x.x.78 netmask 255.255.255.240
ip nat inside source list 181 pool 123 overload
ip nat inside source static tcp 10.41.0.254 3389 x.x.x.75 3389 extendable
ip nat inside source static tcp 10.41.0.121 50 x.x.x.77 50 extendable
ip nat inside source static tcp 10.41.0.121 51 x.x.x.77 51 extendable
ip nat inside source static udp 10.41.0.121 500 x.x.x.77 500 extendable
ip nat inside source static tcp 10.41.0.30 3389 x.x.x.78 3389 extendable
ip nat inside source static tcp 10.41.0.30 15000 x.x.x.78 15000 extendable#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp x.x.x.78:3389 10.41.0.30:3389 --- ---
tcp x.x.x.78:15000 10.41.0.30:15000 --- ---
tcp x.x.x.77:50 10.41.0.121:50 --- ---
tcp x.x.x.77:51 10.41.0.121:51 --- ---
udp x.x.x.77:500 10.41.0.121:500 --- ---
tcp x.x.x.75:3389 10.41.0.254:3389 --- ---
при всем при этом трансляция на другой dest tcp порт (при тех же остальных параметрах) заводится вполне нормально:
(config)#ip nat inside source static tcp 10.41.0.29 4662 x.x.x.74 466 extendable
(config)#do sh ip nat trans
Pro Inside global Inside local Outside local Outside global
tcp x.x.x.74:466 10.41.0.29:4662 --- ---
tcp x.x.x.78:3389 10.41.0.30:3389 --- ---
tcp x.x.x.78:15000 10.41.0.30:15000 --- ---
tcp x.x.x.77:50 10.41.0.121:50 --- ---
tcp x.x.x.77:51 10.41.0.121:51 --- ---
udp x.x.x.77:500 10.41.0.121:500 --- ---
tcp x.x.x.75:3389 10.41.0.254:3389 --- ---Получается что на некоторую "группу" dest-портов port-forwarding невозможен?
PortForwarding настраивал много раз на разном оборудовании, но других версиях IOS, и не разу ранее не сталкивался с такой ошибкой.P.S. аналогичная ситуация и для udp-портов, например, udp 4500.
Столкнулся с таким же траблом, тот же роутер, только иос c7200-advipservicesk9-mz.122-33.SRC2.bin, тоже не нашел ничего.
Порты были проброшены на один адрес, а когда возникла необходимость перебросить на другой - получил "Port ххх is being used by system"
Пофиксилось ребутом и повтором попытки, после ребута все сконфигурилось. Вероятно, все таки остается какая-то запись о трансляции, дальше не разбирался
Пробовал с утра ребутнуть и завести трансляцию еще раз, ребут не помог(( Буду пробовать другие варианты
>На маршрутизаторе C7206-VXR NPE-G1 (IOS c7200-adventerprisek9-mz.122-33.SRD2)А возможно поделиться иосом?
>>На маршрутизаторе C7206-VXR NPE-G1 (IOS c7200-adventerprisek9-mz.122-33.SRD2)
>
>А возможно поделиться иосом?Да, если еще актуально - для этой железки есть
c7200-adventerprisek9-mz.122-33.SRD2.bin и
c7200-spservicesk9-mz.122-33.SRD2a.bin (сейчас на ней работает как раз этот)Каждый весит примерно 30Mb, могу залить куда-нить если надо.
>>А возможно поделиться иосом?
>Да, если еще актуально - для этой железки естьВсё ещё актуально.
Куда залить и какой из IOS?
>Куда залить и какой из IOS?На любой удобный файловый сервер, adventerprise. Меня интересует ISG с IP сессиями, а в sp нужного функционала нет.
http://rapidshare.com/files/269713974/c7200-adventerprisek9-...Так подойдет? Просто под рукой FTPшника никакого рабочего нет, и поднимать сейчас тоже нет времени(
>[оверквотинг удален]
> ---
>tcp x.x.x.75:3389 10.41.0.254:3389 ---
>
> ---
>
>Получается что на некоторую "группу" dest-портов port-forwarding невозможен?
>PortForwarding настраивал много раз на разном оборудовании, но других версиях IOS, и
>не разу ранее не сталкивался с такой ошибкой.
>
>P.S. аналогичная ситуация и для udp-портов, например, udp 4500.Попробуй снять с интерфейсов ip nat inside outside и ребутнуть, возможно рутер успевает занять для трансляции данные порты до того, как успеваешь подключится.
>[оверквотинг удален]
>>
>>Получается что на некоторую "группу" dest-портов port-forwarding невозможен?
>>PortForwarding настраивал много раз на разном оборудовании, но других версиях IOS, и
>>не разу ранее не сталкивался с такой ошибкой.
>>
>>P.S. аналогичная ситуация и для udp-портов, например, udp 4500.
>
>Попробуй снять с интерфейсов ip nat inside outside и ребутнуть, возможно рутер
>успевает занять для трансляции данные порты до того, как успеваешь подключится.
>Все оказалось гораздо печальнее - это баг, подобный описанным в
- CSCsj29841
- CSCsu59515
на Cisco Bug Toolkit
(аналогичный тред в Cisco NetPro Forum - WAN, Routing and Switching: Static PAT problem in Cisco 7206-VXR)Так что пришлось обходиться другими методами(
Спасибо всем, кто пытался помочь.
Есть решение на данную проблему.
Дело в том, что когда вы используете в статик нате global ip физического/логичкого интерфеса железки.Так получается,что циска в глубине себя прослушивает свои интерфейсы и юзает какой-то диапозон портов.
Чтобы создать статический нат,нужно удалить интерфейс,либо снять с ip,создать нат трансляцию ,а после этого вернуть интерфейс.
P.S даже если вы зашутите интерфейс,он все равно не даст создать нат трансляцию с определенными портами.
> Чтобы создать статический нат,нужно удалить интерфейс,либо снять с ip,создать нат трансляцию
> ,а после этого вернуть интерфейс.
> P.S даже если вы зашутите интерфейс,он все равно не даст создать нат
> трансляцию с определенными портами.Мне помогло!
Снял IP адрес с обоих внешних интерфейсов, перезагрузил, настроил PAT и посадил IP обратно.