CCIE.pl

site 4 CCIE wannabies
It is currently 18 Jan 2017, 08:56

All times are UTC+01:00




Post new topic  Reply to topic  [ 5 posts ] 
Author Message
 Post subject: Problem z NAT i PBR
Post #1 Posted: 13 Dec 2016, 11:12 
Offline
fresh
fresh

Joined: 13 Dec 2016, 11:08
Posts: 4
Witam!

Osiągam pewną usługę na adresie IP serwera 9x.2x.2x.1x przez Tunnel1, do którego mogę dostać się tylko z źródłowego adresu 1y.1y.1y.3y. W sieci LAN mam działającą sieć 192.168.0.0/24, która wychodzi do Internetu przez FastEthernet4. Chciałbym, aby hosty z sieci lokalnej 192.168.0.0/24 miały dostęp do serwera 9x.2x.2x.1x, więc tworzę route-map PBR która łapie ruch listą ADRES i wysyła na Loopback0, gdzie skonfigurowany jest NAT zamieniający źródłowe 192.168.0.0/24 na adres 1y.1y.1y.3y. Czy ta koncepcja jest dobra? W praktyce nie działa. Z tego co zauważyłem to acccess-lista ADRES nie łapie ruchu, chociaż z wnętrza sieci generuję ruch na 9x.2x.2x.1x i pewnie od tego trzeba zacząć - co może być źle w tej konfiguracji?

Code:
!
!
interface Loopback0
 ip address 1y.1y.1y.3y 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet4
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map PBR
!
ip route 9x.2x.2x.1x 255.255.255.255 Tunnel1
!
ip nat inside source list NAT interface Loopback0 overload
!
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended NAT
 permit ip 192.168.0.0 0.0.0.255 any
!
ip access-list extended ADRES
 permit ip any host 9x.2x.2x.1x
 permit icmp any host 9x.2x.2x.1x
!
route-map PBR permit 10
 match ip address ADRES
 set interface Loopback0
!


Pozdrawiam,

Kamil


Top
   
 Post subject: Re: Problem z NAT i PBR
Post #2 Posted: 14 Dec 2016, 09:37 
Offline
fresh
fresh

Joined: 14 Dec 2016, 00:26
Posts: 3
1) sh access-list nie pokaze ci 'hit-ow' jesli ACL nie jest nigdzie podpieta. sh route-map powinno Ci pokazac czy lapiesz ruch (to RM jest podpieta do intefejsu).
2) Nie wiem co chesz osiagnac dajac set interface na loopback0, przeciez za tym interfejsem nie ma sieci 9x.2x.2x.1x. Chyba ze chodzi ci o wykonanie NAT, ale to jakas dziwna figura...

Ogolnie twoj przypadek to troche NAT przy 2 ISP/WAN. z grubsza:

1) Usun route-map z vlan1
2)wywal ip nat outside z loopback0, dodaj na tunnel1
3) stworz RM dla NATa
route-map DEFAULT_NAT permit 10
match ip NAT
match interface FastEthernet4

route-map NO_DEFULT_NAT permit 10
match ip NAT
match ip interface Tunnel1


ip nat inside source route-map NO_DEFAULT_NAT interface Loopback0 overload
ip nat inside source route-map DEFAULT_NAT interface FastEthernet4 overload

Czyli pakiet wchodzi przez vlan1 (ip nat inside) zostaje poddany routingowi, a nastepnie wyslany przez 1 z 2ch interfejsow fa4/tunn1 (ip nat outside), w zaleznosci ktorym (route-map) zostanie dokonana trnaslacja na IP z lo0/fa4.

pisane z glowy, sprawdz to w jakims labie


Poz


Top
   
 Post subject: Re: Problem z NAT i PBR
Post #3 Posted: 14 Dec 2016, 10:25 
Offline
fresh
fresh

Joined: 13 Dec 2016, 11:08
Posts: 4
Dzięki za odpowiedź.

Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.

W związku z tą podmianą chciałem do tego celu wykorzystać loopback i tam zrobić podmianę adresu źródłowego, zanim wypchnę to w tunel. Nie wiem czy to dobra koncepcja?

Pozdrawiam,

Kamil


Top
   
Post #4 Posted: 14 Dec 2016, 11:32 
Offline
fresh
fresh

Joined: 14 Dec 2016, 00:26
Posts: 3
gitakam wrote:
Dzięki za odpowiedź.
Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.


Sprawdziles czy Ci sie wydaje?
Napisalem zebys ustawil:

Quote:
interface tunnel1
ip nat outside


co automatycznie uruchomi NAT przed przekazaniem pakietu do interfejsu tunnel, a route-mapy zdefiniuja ktory NAT zastosowac.

Poszukaj dokumentacji jak dziala NAT oraz konfiguracji NAT dla 2 ISP.


Top
   
 Post subject: Re: Problem z NAT i PBR
Post #5 Posted: 14 Dec 2016, 12:08 
Offline
fresh
fresh

Joined: 13 Dec 2016, 11:08
Posts: 4
Wielkie dzięki, działa.


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 5 posts ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 2 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited