форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"2 сети на 1 интерфейсе cisco"	+/–
Сообщение от User7 (ok) on 08-Май-13, 15:21
День добрый! По наследству досталась cisco 2911 Есть локальная сеть 192.168.0.ХХХ Появилась необходимость некоторым машинам присвоить адреса из сети 192.168.115.х Машины стоят рядом и должны друг друга видеть. прописываем на CISCO secondary адрес: interface GigabitEthernet0/0.1 description LAN encapsulation dot1Q 1 native ip address 192.168.115.8 255.255.255.0 secondary ip address 192.168.0.8 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache same-interface ip policy route-map Way Получаем что машины из сети 0.ХХХ пингуют адрес 192.168.115.8 Машины из сети 115.ХХХ пингуют адрес 192.168.0.8 То есть интерфейс cisco. далее никак. маршрут  из показывает что пакеты на сеть 115 из сети 0 не идут обратно в локалку, а уходят в "мир".   вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0.9 сети 115 инет не нужен и пакеты на 0 сеть просто режутся. есть запись: route-map Way permit 3 match ip address NATT set ip next-hop 212.22.32.1 в access-list NATT ничего не прописывал и не добавлял. Куда смотреть?  Есть подозрение что нужен какой-то маршрут связывающий эти сети, но они и так на 1 интерфейсе.  может есть другое решение?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "2 сети на 1 интерфейсе cisco"	+/–
Сообщение от Mr. Mistoffelees on 08-Май-13, 17:15
Привет, >  в access-list NATT ничего не прописывал и не добавлял. Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть, чтобы пакеты не уходили "в мир" (т.е. что бы set next hop не срабатывал для них). WWell,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от User7 (ok) on 12-Май-13, 17:16
	> Привет, >>  в access-list NATT ничего не прописывал и не добавлял. > Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть, > чтобы пакеты не уходили "в мир" (т.е. что бы set next > hop не срабатывал для них). > WWell, день добрый!   попробовал прописать deny на новую сеть. Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не пошли. Cisco их "рубит" и на этом все заканчивается
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от Merridius (ok) on 12-Май-13, 23:51
	>[оверквотинг удален] >>>  в access-list NATT ничего не прописывал и не добавлял. >> Покажите ее. Возможно, вам нужно в нее прописать deny на новую сеть, >> чтобы пакеты не уходили "в мир" (т.е. что бы set next >> hop не срабатывал для них). >> WWell, > день добрый! > попробовал прописать deny на новую сеть. > Да, пакеты "в мир" уходить перестали, но и туда, куда надо, не > пошли. > Cisco их "рубит" и на этом все заканчивается Вы АКЛ свой покажите как просили. show ip access-lists NATT
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от User7 (ok) on 13-Май-13, 07:59
	> Вы АКЛ свой покажите как просили. > show ip access-lists NATT Были выходные. не было доступа на железку.  покажу без проблем: gw1#sh ip access-lists NATT Extended IP access list NATT     10 deny ip host 192.168.0.118 172.16.0.0 0.0.255.255     20 deny ip host 192.168.0.118 10.100.0.0 0.0.255.255     30 deny ip host 192.168.0.245 10.100.0.0 0.0.255.255     40 deny ip host 192.168.0.77 10.100.0.0 0.0.255.255     50 permit ip host 192.168.0.245 any (22655 matches)     60 permit ip host 192.168.0.77 any     70 permit ip host 192.168.101.2 any (12828 matches)     80 permit ip host 192.168.0.103 host 109.72.143.1 (7765 matches)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от Mr. Mistoffelees on 13-Май-13, 16:26
	Привет, Покажите еще NAT правило ip nat inside source list... и тот ACL, который в нем упомянут (после source list). Интересно также зачем вам policy routing? WWell,
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от User7 (ok) on 13-Май-13, 17:29
	> Привет, > Покажите еще NAT правило > ip nat inside source list... > и тот ACL, который в нем упомянут (после source list). > Интересно также зачем вам policy routing? > WWell, ip nat inside source list NATT interface GigabitEthernet0/0.5 overload policy routing - сложилось исторически.  зачем он нужен точно сказать не могу.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "2 сети на 1 интерфейсе cisco"	+/–
	Сообщение от Mr. Mistoffelees on 13-Май-13, 18:56
	Привет, > ip nat inside source list NATT interface GigabitEthernet0/0.5 overload У вас один и тот же ACL отвечает за три разные вещи: - маршрутизацию через set next hop - NAT - запрет доступа к некоторым ресурсам. Хотя такое и возможно (и у вас работает), не всегда целесообразно. Ваш нынешний казус хорошая тому иллюстрация. Замените этот один ACL на три отдельных (один - филтрюция трафика к 10.x.x.x, второй NAT, третий set next hop). Тогда вам будет легче разобраться. В принципе, вам нужно прописать правило NAT-а в ACL NAT-а и правило запрета в ACL запрета. Сделать такое в одном ACL, даже если и возможно, то негигиенично. > policy routing - сложилось исторически.  зачем он нужен точно сказать не > могу. А вот это не мешает выяснить - возможно, еще нужен возможно, нет. Нехорошо, когда сети живут своей жизнью без ведома администратора. WWell,
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема