форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"NAT на одинаковом конфиге на разных роутерах"	+/–
Сообщение от alzgeimer (ok) on 30-Июл-15, 11:25
Добрый день, коллеги! Посоветуйте, пожалуйста, кто знает. Описание: пытаюсь мигрировать с 3845 на 7606. Поднят NAT. Специфика сети в том, что много inside nat интерфейсов и много outside nat. И они друг в друга ходят по-разному - из одного инсайда если надо в интернет, то в один аутсайд, если надо в некоторую другую сеть, то в другой аутсайд, и т.п. Регулируется всё роут-мапами. IOSы 15е на обоих. Значащий конфиг одинаковый. Только, понятно дело, разные номера интерфейсов (gi0/0 и gi 0/1 на 38й, gi5/2 и te1/1 на 76й). И ещё: на 3845 всё поднято на саб-ифах, на 7606 на интерфейс вланах. Конфиг по 38й: interface GigabitEthernet0/1.300 description LAN_MAIN ip address 172.28.x.x 255.255.0.0 ip nat inside ! interface GigabitEthernet0/0.508 description LAN_SIDE ip address 192.168.208.x 255.255.255.0 ip nat inside ! interface GigabitEthernet0/0.505 description WAN_NET1 ip address 10.144.y.y 255.255.255.0 ip nat outside ! interface GigabitEthernet0/0.713 description WAN_NET2 ip address 192.168.34.z 255.255.255.0 ip nat outside ! interface GigabitEthernet0/0.1503 description WAN_INTERNET ip address a.b.c.d 255.255.255.224 ! ip nat inside source route-map Internet interface GigabitEthernet0/0.1503 overload ip nat inside source route-map NET2 interface GigabitEthernet0/0.713 overload ip nat inside source route-map NET1 interface GigabitEthernet0/0.505 overload route-map Internet permit 10 match ip address Office_to_Internet match interface GigabitEthernet0/0.1503 ! route-map NET1 permit 10 match ip address Office_to_NET1 match interface GigabitEthernet0/0.505 ! route-map NET2 permit 10 match ip address Office_to_NET2 match interface GigabitEthernet0/0.713 ! ip access-list extended Office_to_Internet permit ip 172.28.0.0 0.0.255.255 any ! ip access-list extended Office_to_NET1 permit ip 172.28.1.0 0.0.0.255 10.144.y.y 0.255.255.255 permit ip 172.28.2.0 0.0.0.255 any ! ip access-list extended Office_to_NET2 permit ip 172.28.1.0 0.0.0.255 192.168.34.z 0.0.255.255 permit ip 192.168.208.0 0.0.0.255 any permit ip 172.28.2.0 0.0.0.255 any ! Соль проблемы: один и тот же конфиг на 3845 работает как надо, на 7606, похоже, трафик валится в первое же совпадение, не проверяя, через какой интерфейс виден destination. То есть, например, трафик, который должен был бы пойти в сеть 192.168.34.0 по роут мапу NET2 и его аксесс-листу Office_to_NET2, валится в интернет, потому что встречает раньше роут мап Internet и его аксесс-лист Office_to_Internet. Пока мыслю: 1) поменять на 76й интерфейс вланы на саб-ифы, как на 38й. Мало ли... 2) В роут-мапах, поменять местами правила (сначала match interface сделать, потом match ip address <acl>). 3) Делать более специфические аксесс-листы, permit ip <source> <destination> без any. Any только для интернета. Но почему же тогда на 38й всё работает на таком конфиге? Если есть у кого мысли, буду рад помощи. Спасибо.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NAT на одинаковом конфиге на разных роутерах"	+/–
Сообщение от ShyLion (ok) on 30-Июл-15, 11:39
В приведенном тобой примере полиси роутинга НЕТ. правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они работают уже "по факту", когда решение о маршрутизации системой принято.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от alzgeimer (ok) on 30-Июл-15, 11:46
	> В приведенном тобой примере полиси роутинга НЕТ. > правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они > работают уже "по факту", когда решение о маршрутизации системой принято. И тем не менее конфиг именно такой и работает уже лет 5. Есть интерфейсы инсайды и аутсайды, есть статик роуты в эти инсайды и аутсайды, есть правила ip nat inside source route-map <ABC> interface gi0/0.<xyz> overload, есть роут-мапы с match ip address <acl> и match interface, и есть acl-и.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от ShyLion (ok) on 30-Июл-15, 13:16
	>> В приведенном тобой примере полиси роутинга НЕТ. >> правила ip nat .... не опеределяют в каком направлении пойдет траффик. Они >> работают уже "по факту", когда решение о маршрутизации системой принято. > И тем не менее конфиг именно такой и работает уже лет 5. > Есть интерфейсы инсайды и аутсайды, есть статик роуты в эти инсайды и > аутсайды, есть правила ip nat inside source route-map <ABC> interface gi0/0.<xyz> > overload, есть роут-мапы с match ip address <acl> и match interface, > и есть acl-и. У одного или нескольких операторов отсутствует проверка source IP. Потому и "работает". Обратный траффик возвращается через правильного оператора. Для проверки на интерфейсах с ip nat outside повесь out аксес листы, разрешающие соурсом только адрес интерфейса. Будешь удивлен. Либо таблица маршрутизации отличается на железках. Других вариантов нет. НАТ не принимает решения о маршрутизации.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "NAT на одинаковом конфиге на разных роутерах"	+/–
Сообщение от eek (ok) on 30-Июл-15, 11:43
NAT with overload на 7600 делает софтово. PBR на 7600 делается аппаратно тоже не весь. Про ограничения платформы читайте на сайте производителя. Вы поменяли софтроутер на свич, через это имеете проблему. Вопросы дизайна надо решать до выбора железки, а не после.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от alzgeimer (ok) on 30-Июл-15, 11:49
	> NAT with overload на 7600 делает софтово. > PBR на 7600 делается аппаратно тоже не весь. > Про ограничения платформы читайте на сайте производителя. > Вы поменяли софтроутер на свич, через это имеете проблему. > Вопросы дизайна надо решать до выбора железки, а не после. Да дело не в том, что он не делает NAT или CPU грузит. Он его прекрасно делает, только заворачивает не туда, не в то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот про логику и спрашиваю.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от Andrey (??) on 30-Июл-15, 12:49
	>> NAT with overload на 7600 делает софтово. >> PBR на 7600 делается аппаратно тоже не весь. >> Про ограничения платформы читайте на сайте производителя. >> Вы поменяли софтроутер на свич, через это имеете проблему. >> Вопросы дизайна надо решать до выбора железки, а не после. > Да дело не в том, что он не делает NAT или CPU > грузит. Он его прекрасно делает, только заворачивает не туда, не в > то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот > про логику и спрашиваю. А заворачивает он не в то правило скорее всего потому, что у вас в ACL нет deny на соответсвующие подсети. Вот как раз правило > ip access-list extended Office_to_Internet > permit ip 172.28.0.0 0.0.255.255 any срабатывает первым и не дает пройти 172.18.1.0/24 до ip access-list extended Office_to_NET1 Описывайте ACL более точно. Примерно так: ip access-list extended Office_to_Internet 10 deny ip 172.28.1.0 0.0.0.255 any 20 deny ip 172.28.2.0 0.0.0.255 any 30 permit ip 172.28.0.0 0.0.255.255 any И с остальными ACL в вашем случае аналогично. Все что не должно проходить через ACL для NAT - запрещайте явно.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от ShyLion (ok) on 30-Июл-15, 13:24
	> А заворачивает он не в то правило скорее всего потому, что у > вас в ACL нет deny на соответсвующие подсети. > Вот как раз правило там кроме аксес-листа матчится еще и интерфей, только смысла не имеет, потому что роутится внитуда.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от alzgeimer (ok) on 31-Июл-15, 09:25
	>[оверквотинг удален] >> ip access-list extended Office_to_Internet >> permit ip 172.28.0.0 0.0.255.255 any > срабатывает первым и не дает пройти 172.18.1.0/24 до ip access-list extended Office_to_NET1 > Описывайте ACL более точно. Примерно так: > ip access-list extended Office_to_Internet > 10 deny ip 172.28.1.0 0.0.0.255 any > 20 deny ip 172.28.2.0 0.0.0.255 any > 30 permit ip 172.28.0.0 0.0.255.255 any > И с остальными ACL в вашем случае аналогично. Все что не должно > проходить через ACL для NAT - запрещайте явно. В общем, да. Посоветовавшись ещё со старшими товарищами, понял, что иначе никак. Буду специфицировать ACLи. Спасибо.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от eek (ok) on 30-Июл-15, 13:34
	> Да дело не в том, что он не делает NAT или CPU > грузит. Он его прекрасно делает, только заворачивает не туда, не в > то правило. Подозреваю, что логика обработки route-map и/или acl разная. Вот > про логику и спрашиваю. Как скажете. Я стараюсь избегать решений список ограничений которых в экран не помещается.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от ShyLion (ok) on 30-Июл-15, 13:19
	> PBR на 7600 делается аппаратно тоже не весь. его там и нет :)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "NAT на одинаковом конфиге на разных роутерах"	+/–
	Сообщение от eek (ok) on 30-Июл-15, 13:32
	>> PBR на 7600 делается аппаратно тоже не весь. > его там и нет :) В железке есть, в конфиге может не быть :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема