- 2811 проблеммы с NAT или ACL ,
 Anonimys, 16:59 , 25-Янв-07 (1)>Добрый день,
>столкнулся с ситуацией,которая с моей точки зрения не может быть
>но при этом существует
>Есть маршрутизатор с2811,
>на нем включены ADSL пользователи, при включении первого пользователя столкнулся со следующим:
>
>У пользователя не работает ДНС (на яндекс по http по имени не
>попадают,по IP адресу попадают)
>при этом в sh ip nat translation я вижу обращения с
>этого адреса на адрес ДНС сервера
>С днс все впорядке (как со своими так проверял и через фришные)
>
>начал искать прблемму на циске и столкнулся с тем,что все начинает работать
>если в ACL который висит на абонентском интерфейсе добавить слово log
> все работает. Если ACL с интерфейса убрать, то ДНС
>так же не работает.
>
>Конфиги:
>
>interface FastEthernet0/0
> no ip address
> no ip proxy-arp
> no ip mroute-cache
> duplex auto
> speed auto
> service-policy input bbone-in
>!
>interface FastEthernet0/0.4
> description ### ADSL USER DATA - HUAWEI 53000 ###
> encapsulation dot1Q 4
> ip address 10.0.14.1 255.255.255.0
> ip access-group 103 in
> no ip proxy-arp
> ip accounting output-packets
> ip nat inside
> ip virtual-reassembly
> no ip mroute-cache
> no cdp enable
>
>interface FastEthernet0/1
> no ip address
> no ip proxy-arp
> no ip mroute-cache
> duplex auto
> speed auto
>!
>interface FastEthernet0/1.333
> encapsulation dot1Q 333
> description ### UP ###
> ip address xxx.xxx.xxx.250 255.255.255.252
> no ip proxy-arp
> ip nat outside
> ip virtual-reassembly
> no ip mroute-cache
> ip ospf message-digest-key 1 md5 xxxxxxxxxxxxx
> ip ospf network point-to-point
> ip ospf hello-interval 1
> ip ospf dead-interval 3
> service-policy output SET_PREC_VOIP
>
>
>
>ip nat translation timeout 1200
>ip nat translation tcp-timeout 5400
>ip nat translation syn-timeout 30
>ip nat inside source list 14 interface FastEthernet0/1.333 overload
>
>
>access-list 14 permit 10.0.14.0 0.0.0.255
>
>access-list 103 deny tcp any any range 137 139
>access-list 103 deny tcp any any eq 135
>access-list 103 deny tcp any any eq 445
>access-list 103 permit icmp host 10.0.14.1 any
>access-list 103 permit ip host 10.0.14.10 any
>access-list 103 permit ip host 10.0.14.11 any log
>access-list 103 permit ip host 10.0.14.12 any log
>access-list 103 permit ip host 10.0.14.13 any
>access-list 103 permit ip host 10.0.14.14 any
>access-list 103 permit ip host 10.0.14.15 any log
>access-list 103 deny ip any any log
>
>
>#sh ver
>Load for five secs: 3%/2%; one minute: 2%; five minutes: 1%
>Time source is NTP, 16:59:42.134 MSK Mon Jan 22 2007
>Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(8a), RELEASE SOFTWARE (fc2)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2006 by Cisco Systems, Inc.
>Compiled Wed 19-Jul-06 23:21 by prod_rel_team
>
>ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
>
>R1 uptime is 3 days, 4 hours, 41 minutes
>System returned to ROM by reload at 12:16:32 MSK Fri Jan 19
>2007
>System restarted at 12:17:40 MSK Fri Jan 19 2007
>System image file is "flash:c2800nm-adventerprisek9-mz.124-8a.bin"
>.....
>Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
>Processor board ID FCZ094071K4
>2 FastEthernet interfaces
>1 Virtual Private Network (VPN) Module
>DRAM configuration is 64 bits wide with parity enabled.
>239K bytes of non-volatile configuration memory.
>62720K bytes of ATA CompactFlash (Read/Write)
>
>Configuration register is 0x2102
Столкнулся с токой же бедой!
Ксатите есть еще один вариант прописать на сабах счетчик Ingress тогда тоже будет работать!
|
Версия для распечатки
2811 проблеммы с NAT или ACL , 
