The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"  
Сообщение от Claymen (ok) on 06-Фев-08, 18:57 
Доброго времени суток Господа...

Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера

Исходные данные:

  Cisco 1811

  Два порта Fa0 и Fa1 Подключены к интернету к разным провайдерам
    FA0 217.xx.xx.115 Шлюз 217.хх.хх.113 Основной канал
    FA1 88.xx.xx.85   Шлюз 88.xx.xx.1
Локальная сеть 192.168.0.0
    FA2 192.168.0.1

На всех компьютерах в сети основной шлюз 192.168.0.1
Компьютеры выходят в интернет через основной канал в интернет через NAT.
Из интернета в локальную сеть проброшен порт 1665 сервер спец приложения.
  Приложение очень важное так что необходимо что бы оно было доступно всегда, для этого появился второй канал в интернет
  По основному каналу все нормально проходит, но вот по резервному не получается.....
  ip nat inside source static tcp 192.168.0.20 1665 217.xx.xx.115 1665 extendable
  добавление строчки вида приводит к результату
  ip nat inside source static tcp 192.168.0.20 1665 88.xx.x.85 1194 extendable

Пакет из вне (например с 135.151.25.15) проходит в локальную сеть через любой из 2-х публичных адресов, однако циска подменяет только DstAddress в пакете source остается глобальным (135.151.25.15) обратно пакет возвращается по правилам маршрутизации на основной канал.

Вопрос сделать:
1-й вариант: Что бы Циска подменяла src адрес на свой локальный, например как это можно сделать в Kerio Winroute, Wingate.... ТОгда все  будет возвращаться на е интерфейс, даже если она неявляется Основным шлюзом в сети, и все обратно НАТ-тися.
2-й вариант: Что бы Циска отдавала обратно пакет на тот интерфейс с которого он пришел.

Форум и статьи все прочитал, про думаю что надо route-map, но применительно к пробросу пакетов из вне ненашел нигде никаких примеров.....
Про 1-й вариант вопрос почти академический, возможно ли это ?

Исходные данные

===============================
sh Ver
==============================
Cisco 1811 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of memory.
Processor board ID FHK1039174U, with hardware revision 0000

10 FastEthernet interfaces
1 Serial interface
1 terminal line
31360K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2101


==============================
Конфиг
==============================

interface FastEthernet0
ip address 217.xx.xx.115 255.255.255.248
ip nat outside
!

interface FastEthernet1
ip address 88.xx.xx.185 255.255.255.0
ip nat outside
!

interface FastEthernet2
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 217.xx.xx.113
ip route 0.0.0.0 0.0.0.0 88.xx.xx.1 50

ip nat pool InetISP1 217.xx.xx.115 217.xx.xx.115 netmask 255.255.255.248
ip nat pool InetISP2 88.xx.xx.85   88.xx.xx.85   netmask 255.255.255.252

ip nat inside source list LocalNet pool InetISP1 overload

ip nat inside source static tcp 192.168.0.20 1665 217.xx.xx.115 1665 extendable
' Добавленная строчка
ip nat inside source static tcp 192.168.0.20 1665 88.xx.x.85 1194 extendable

ip access-list extended LocalNet
permit ip 192.168.0.0 0.0.0.255 any
===============================================

Спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"  
Сообщение от CrAzOiD (ok) on 06-Фев-08, 19:54 
>Вопрос сделать:
>1-й вариант: Что бы Циска подменяла src адрес на свой локальный, например
>как это можно сделать в Kerio Winroute, Wingate.... ТОгда все  
>будет возвращаться на е интерфейс, даже если она неявляется Основным шлюзом
>в сети, и все обратно НАТ-тися.
>2-й вариант: Что бы Циска отдавала обратно пакет на тот интерфейс с
>которого он пришел.

1. Это NAT (PAT) именно так он и работает. На какой адрес укажите, на тот и подменит. Вопрос в другом. У вас маршрут по умолчанию есть, вот в него все и валится.
route-map вас спасет

2. а как это она вам сделает? Только если есть AS и BGP. В вашем случае только route-map

Примеров в инете и здесь масса. Ищите по фразе "2 ISP"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"  
Сообщение от Claymen (ok) on 07-Фев-08, 00:21 
>
>1. Это NAT (PAT) именно так он и работает. На какой адрес
>укажите, на тот и подменит. Вопрос в другом. У вас маршрут
>по умолчанию есть, вот в него все и валится.
>route-map вас спасет
>
>2. а как это она вам сделает? Только если есть AS и
>BGP. В вашем случае только route-map
>
>Примеров в инете и здесь масса. Ищите по фразе "2 ISP"

Про №1


Вот как это работет на Kerio Winroute


Kerio Winroute 6.0
------------------------------------------------------------
------------------------------------------------------------
Source NAT (Internet Sharing/IP Masquerade)

( ) No Translation
( ) Translate to IP address of outgoing interface (typical settings)
(x) Translate to IP address of Interface [ LAN ]
( ) Translate to IP address _______________
------------------------------------------------------------
Destanation NAT (Port Mapping)

( ) No Translation
(x) Translate to _192.168.0.20___
    [ ] Translate port to __1665____
------------------------------------------------------------
------------------------------------------------------------

Что происходит с пакетом
========================

Что делает Winroute
--------------------

Слиент                      
src 135.151.25.15:1025
dst 217.xx.xx.115:1665

Далее
Winroute MAP WAN 1665 - > LAN 192.168.0.20:1665

src 192.168.0.1:33050
dst 192.168.0.20:1665

Сервер


Что делает Cisco
--------------------

Слиент                      
src 135.151.25.15:1025
dst 217.xx.xx.115:1665

Далее
Winroute MAP WAN 1665 - > LAN 192.168.0.20:1665

src 135.151.25.15:1025
dst 192.168.0.20:1665

Сервер

Как я понимаю Kerio Winroute делает полный NAT(PAT) - подмену и Src и dst, и пакет вернется, даже если этот софт-маршрутизатор неявляется шлюзом по умолчанию, и на сервере нет доп маршрутов, ибо сервер отдаст ему как локальному клиенту, а дальше произойдет обратная подстановка.
Как работает Cisco ? Почему нельзя реализовать на ней такую простую схему, зачем нужна комманда "ip nat outside soutce ......" (невидел ниодного рабочего примера, на самом ciso.com только хелп и опять же ни одного примера.)
В чем я ошибаюсь ?

2. про Route-map, много читал, почти все примеры для выхода в инет через 2-х провайдеров, но практически нет для проброса пакетов в локалку... и если пакет пройдет через route-map, то route-map  работает по входящим пакетам, как он решит что надо его вернуть на другой интерфейс, пакет при возврате пакет будет исходящий, сработает то же принцип маршрутизации на активный канал, неговоря уже что маршрутизатор не основной шлюз в сети, тогда к нему пакет вообще никогда неприйдет.

очень хочу разобраться, но что то у меня в голове не сходится, по идее простые вещи, но в чем то я видимо ощибаюсь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Есть вопрос про CISCO 1811 + NAT + PAT + 2-а провайдера"  
Сообщение от CrAzOiD (ok) on 07-Фев-08, 01:14 
>[оверквотинг удален]
>
>Как я понимаю Kerio Winroute делает полный NAT(PAT) - подмену и Src
>и dst, и пакет вернется, даже если этот софт-маршрутизатор неявляется шлюзом
>по умолчанию, и на сервере нет доп маршрутов, ибо сервер отдаст
>ему как локальному клиенту, а дальше произойдет обратная подстановка.
>Как работает Cisco ? Почему нельзя реализовать на ней такую простую схему,
>зачем нужна комманда "ip nat outside soutce ......" (невидел ниодного рабочего
>примера, на самом ciso.com только хелп и опять же ни одного
>примера.)
>В чем я ошибаюсь ?

nat outside это и есть переписывание destination адресов. Примеров мало потому что не так часто требуется по сравнения с nat inside.

>2. про Route-map, много читал, почти все примеры для выхода в инет
>через 2-х провайдеров, но практически нет для проброса пакетов в локалку...
>и если пакет пройдет через route-map, то route-map  работает по
>входящим пакетам, как он решит что надо его вернуть на другой
>интерфейс, пакет при возврате пакет будет исходящий, сработает то же принцип
>маршрутизации на активный канал, неговоря уже что маршрутизатор не основной шлюз
>в сети, тогда к нему пакет вообще никогда неприйдет.
>
>очень хочу разобраться, но что то у меня в голове не сходится,
>по идее простые вещи, но в чем то я видимо ощибаюсь.

В голове не сходится потому что вы отталкиваетесь от неверного принципа: кидай что ходешь в нужный вам интерфейс и будет счастье. У исходящих с вашего маршрутизатора пакетов должны быть адреса "правильные" для интерфейса и провайдера который за этим интерфейсом (упрощенно ессно).
Просто поймите, что если пакет уходит от вас он должен иметь правилный адрес что бы правильно вернулся ответ. Поэтому и придумывают схемы с routе-map (позволяющие маршрутизировать по сложным условиям source, destination и пр)
А насчет входящего к вам пакета. Так не надо его никуда уже возвращять. Все, он пришел и он в маршрутизаторе. Обрабатывайте :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру