 Cisco 871 не правильный NAT,  vaxer, 19-Дек-09, 15:53 [смотреть все]просьба помочь разобраться!
есть cisco 871
на локальных интерфейсах - dhcp 192.168.0.1 192.168.0.254
wan получает от провайдера по dhcp
надо раздать инет в локалку и настроить VPN на внутренний адрес 192.168.0.6
R1#sh ver
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T10, RELEASE SOFTWARE (fc3)
R1#sh run
Building configuration...Current configuration : 3988 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname R1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging console critical
enable secret 5 $1vbnxfgkhfkghfghfGHFHFGH2I3k0
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
!
crypto pki trustpoint TP-self-signed-345753246
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-345753246
revocation-check none
rsakeypair TP-self-signed-345753246
!
!
crypto pki certificate chain TP-self-signed-345753246
certificate self-signed 01 /// лишнее вырезано quit
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.13 192.168.0.254
!
ip dhcp pool sdm-pool1
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.106
!
!
no ip domain lookup
ip domain name swert.local
!
multilink bundle-name authenticated
!
!
username login1 privilege 15 secret 5 $1$o0ffghfsY%Ysyhsrhs5yehzdC1
username login2 privilege 15 secret 5 $1$CKWH$ghfx57xrthxr574susr5u6.
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 5
!
!
!
interface FastEthernet0
spanning-tree portfast
!
interface FastEthernet1
spanning-tree portfast
!
interface FastEthernet2
spanning-tree portfast
!
interface FastEthernet3
spanning-tree portfast
!
interface FastEthernet4
ip address dhcp
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.106 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip nat pool Internet 79.165.80.1 79.165.95.254 netmask 255.255.240.0
ip nat inside source list 10 pool Internet overload
ip nat inside source list 100 interface FastEthernet4 overload
!
access-list 10 permit 192.168.5.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
no cdp run
!
!
!
!
control-plane
!
!
line con 0
password 7 05084564-eiths50i455e6365D5C
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport input ssh
!
scheduler max-task-time 5000
end если поставить вместо 192.168.5.0 нужную подсеть в
access-list 10 permit 192.168.5.0 0.0.0.255
тоесть собственно 192.168.0.0 - инет пропадат...
делал все по мануалу!
в чем загвоздка не понятно...
|
- Cisco 871 не правильный NAT, vnn, 11:01 , 22-Дек-09 (1)
- Cisco 871 не правильный NAT, vaxer, 15:27 , 22-Дек-09 (2)
>Я не понял главного. А зачем вам собственно изменять access-list 10? Я
>бы его просто удалил :)Он у вас задействован в правиле ip
>nat, которое никогда работать не будет. Работает же правило ip nat
>inside source list 100 interface FastEthernet4 overload, в котором access-list 100
>соответствует вашей внутренней сети.
>А если вы и в access-list 10 прописываете внутреннюю сеть, то ваши
>2 правила nat начинают пересекаться, и циска по каким-то ей одной
>ведомым соображениям выбирает первое правило. Интернет у вас естественно перестаёт работать,
>так как циска берёт первый адрес из пула - 79.165.80.1 -
>а у вас снаружи в этот момент видимо другой адрес. тогда к чему применять
ip nat pool Internet 79.165.80.1 79.165.95.254 netmask 255.255.240.0
??
ведь из этого пула пров выдает айпишник (он и будет внешним у меня на WANe) и еще - при применении правила к ACL 101 перестает работать dhcp (не раздает адреса внутренней сети) в общем сейчас исключил:
no ip nat inside source list 10 pool Internet overload
и
no access-list 10 permit 192.168.5.0 0.0.0.255 неясность всёже остается - как применяются ACL и как раздается dhcp внутри??
(не всегда работает)
- Cisco 871 не правильный NAT, vaxer, 07:41 , 28-Дек-09 (3)
>[оверквотинг удален]
>(не раздает адреса внутренней сети)
>
>в общем сейчас исключил:
>no ip nat inside source list 10 pool Internet overload
>и
>no access-list 10 permit 192.168.5.0 0.0.0.255
>
>неясность всёже остается - как применяются ACL и как раздается dhcp внутри??
>
>(не всегда работает) и молчанье в ответ.... либо нет никого в форуме перед НГ либо никто не отвечает...
- Cisco 871 не правильный NAT, vaxer, 12:19 , 09-Янв-10 (4)
>[оверквотинг удален]
>>no ip nat inside source list 10 pool Internet overload
>>и
>>no access-list 10 permit 192.168.5.0 0.0.0.255
>>
>>неясность всёже остается - как применяются ACL и как раздается dhcp внутри??
>>
>>(не всегда работает)
>
>и молчанье в ответ.... либо нет никого в форуме перед НГ либо
>никто не отвечает... все настолько "крутые" и умные, что не считают нужным ответить... жаль форум неплохой.... всем удачи...
- Cisco 871 не правильный NAT, vaxer, 18:30 , 07-Фев-10 (5)
>[оверквотинг удален]
>>>
>>>неясность всёже остается - как применяются ACL и как раздается dhcp внутри??
>>>
>>>(не всегда работает)
>>
>>и молчанье в ответ.... либо нет никого в форуме перед НГ либо
>>никто не отвечает...
>
>все настолько "крутые" и умные, что не считают нужным ответить... жаль форум
>неплохой.... всем удачи... неее не крутые! а просто невоспитанные! ну не дали им в детстве папа с мамой нужного воспитания... а некоторые так и вообще сироты... откудаж взяться воспитанности? нетути её!!!
|
Версия для распечатки
