URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13779
[ Назад ]

Исходное сообщение
"Cisco IOS NAT configuration "
Отправлено GroundBeat , 15-Июн-07 09:12

Уважаемые!
Имеется (кусок конфига)
======
ip nat pool POOL1 192.168.3.0 netmask 255.255.255.0
ip nat inside source list INSIDE pool POOL1 overload
!
ip access-list standard INSIDE
permit 172.18.0.0 0.0.255.255
permit 172.19.0.0 0.0.255.255
======
при этом все сессии с внутренних сеток INSIDE транслируются через первый адрес из пула POOL1
Сессий около 15000. Иногда задействуется следующий, второй адрес из пула POOL1
На Cisco.com нарыл, что так поступать маршрутизатор заставляет модификатор overload
Понятно, что без overload в трансляции будут задействованы все адреса пула POOL1.
Скажите, а что произойдёт, когда адреса в пуле кончатся? Т.е. имеем 256 адресов в пуле, 15000 сессий. Как 15000 сессий поместятся? Меня ожидают дропы или это как-то разруливается?

Содержание

Cisco IOS NAT configuration ,intellegent, 10:05 , 15-Июн-07

Сообщения в этом обсуждении

"Cisco IOS NAT configuration "
Отправлено intellegent , 15-Июн-07 10:05

>Уважаемые!
>
>Имеется (кусок конфига)
>======
>ip nat pool POOL1 192.168.3.0 netmask 255.255.255.0
>ip nat inside source list INSIDE pool POOL1 overload
>!
>ip access-list standard INSIDE
> permit 172.18.0.0 0.0.255.255
> permit 172.19.0.0 0.0.255.255
>======
>
>при этом все сессии с внутренних сеток INSIDE транслируются через первый адрес
>из пула POOL1
>Сессий около 15000. Иногда задействуется следующий, второй адрес из пула POOL1
>
>На Cisco.com нарыл, что так поступать маршрутизатор заставляет модификатор overload
>Понятно, что без overload в трансляции будут задействованы все адреса пула POOL1.
>
>
>Скажите, а что произойдёт, когда адреса в пуле кончатся? Т.е. имеем 256
>адресов в пуле, 15000 сессий. Как 15000 сессий поместятся? Меня ожидают
>дропы или это как-то разруливается?
overload значит режим включения PAT (port address translation) - подмена адреса и порта источника.
Если задать просто пул и начать использовать его, то согласно приведенному конфигу трансляции (без команды overload) будут подвергнуты ообращения от первых 254 хостов внутренней сети, на остальные хосты уже не будет свободных адресов из пула трансляции.
Вообщем так, если кол-во хостов внутренней сети больше 254, то NAT лучше сделать так:
ip nat pool POOL1 192.168.3.1 192.168.3.253 netmask 255.255.255.0
ip nat inside source list INSIDE pool POOL1
ip nat inside source list INSIDE interface <name interface> overload (указанному интерфейсу должен быть присвоен адрес 192.168.3.254 и он должен быть ip nat outside)
Если реализовать предложенный вариант, то первые 253 обращения с первых 253 хостов будут транслироваться в пул POLL1, а обращения от всех остальных хостов будут транслироваться в адрес 192.168.3.254, а также у них будут подменяться порты источника...