форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Cisco и NAT  "		+/–
Сообщение от xelaalex (??) on 27-Май-09, 18:09
Подскажите пожалуйста, Уважаемые! Может кто сталкивался с такой проблеммой?! На cisco 2811 сделн nat, с использованием route-map (планируется отказоустойчивость с помощью SLA). Все работает, для тех кому разрешен доступ, но за внешним интерефейсом видны пакеты источником которых является внутренняя сеть!!!! Конечно можно прикрыть с помощью ACL, но интересна причина. ! interface GigabitEthernet0/0.12 description ISP_1 encapsulation dot1Q 12 ip address xxx.xxx.xxx.218 255.255.255.252 ip nat outside ip virtual-reassembly ! ! interface GigabitEthernet0/1.21 description LAN_192_168_35 encapsulation dot1Q 21 ip address 192.168.35.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.217 ! ip nat inside source route-map Test-NAT interface GigabitEthernet0/0.12 overload ! ip access-list extended NAT_FOR_ALL_PERMIT <определенные правила> deny ip any any ! route-map Test-NAT permit 10 match ip address NAT_FOR_ALL_PERMIT match interface GigabitEthernet0/0.12 !
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco и NAT  "		+/–
Сообщение от sh_ (ok) on 28-Май-09, 09:18
Ну видимо это пакеты, которые не попадають под NAT?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Cisco и NAT  "		+/–
	Сообщение от xelaalex (??) on 28-Май-09, 11:04
	>Ну видимо это пакеты, которые не попадають под NAT? Именно, но разве они имеют право на жизнь за перделами ip nat outside интерфейса?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Cisco и NAT  "		+/–
	Сообщение от sh_ (ok) on 28-Май-09, 11:57
	>>Ну видимо это пакеты, которые не попадають под NAT? > >Именно, но разве они имеют право на жизнь за перделами ip nat >outside интерфейса? Конечно имеют. А почему нет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Cisco и NAT  "		+/–
	Сообщение от xelaalex (??) on 28-Май-09, 12:45
	>>>Ну видимо это пакеты, которые не попадають под NAT? >> >>Именно, но разве они имеют право на жизнь за перделами ip nat >>outside интерфейса? >>Конечно имеют. А почему нет? Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но не подпадающий под действие правил трансляции (в ACL последняя строчка deny ip any any)попросту маршрутизируется??? Я правильно Вас понял?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Cisco и NAT  "		+/–
	Сообщение от sh_ (ok) on 28-Май-09, 14:35
	>[оверквотинг удален] >>> >>>Именно, но разве они имеют право на жизнь за перделами ip nat >>>outside интерфейса? >>>Конечно имеют. А почему нет? > >Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и > >точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но >не подпадающий под действие правил трансляции (в ACL последняя строчка deny >ip any any)попросту маршрутизируется??? Я правильно Вас понял? Угу...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Cisco и NAT  "		+/–
	Сообщение от xelaalex (??) on 28-Май-09, 14:45
	>[оверквотинг удален] >>>>outside интерфейса? >>>>Конечно имеют. А почему нет? >> >>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и >> >>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но >>не подпадающий под действие правил трансляции (в ACL последняя строчка deny >>ip any any)попросту маршрутизируется??? Я правильно Вас понял? > >Угу... Большое спасибо за разъяснение!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Cisco и NAT  "		+/–
	Сообщение от GolDi (??) on 28-Май-09, 14:57
	>[оверквотинг удален] >>> >>>Именно, но разве они имеют право на жизнь за перделами ip nat >>>outside интерфейса? >>>Конечно имеют. А почему нет? > >Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и > >точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но >не подпадающий под действие правил трансляции (в ACL последняя строчка deny >ip any any)попросту маршрутизируется??? Я правильно Вас понял? Интересно что за пакеты улетают за outside после deny ip any any - пакеты канального уровня?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Cisco и NAT  "		+/–
	Сообщение от SergTel (ok) on 29-Май-09, 14:57
	>[оверквотинг удален] >>>>Конечно имеют. А почему нет? >> >>Тогда получается, что пакет пришедший с внутреннего интерфейса (ip nat inside) и >> >>точка назначения котророго лежит за пределами внешнего интерфейса (ip nat outside), но >>не подпадающий под действие правил трансляции (в ACL последняя строчка deny >>ip any any)попросту маршрутизируется??? Я правильно Вас понял? > >Интересно что за пакеты улетают за outside после deny ip any any >- пакеты канального уровня? Просто фильтры на исходящие пакеты не стоят, а нат ставится обычно на дефолтовый рутер вот и летят пакеты из локальных адресов к провайдеру
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]