2 ISP i NAT

Problemy związane z routingiem
Wiadomość
Autor
tower
member
member
Posty: 22
Rejestracja: 28 wrz 2010, 20:13

2 ISP i NAT

#1

#1 Post autor: tower »

Witajcie

Temat był już poruszany nie raz, ale korzystając ze wszystkich wskazówek nie udało mi się rozwiązać problemu. A mianowicie chciałbym, aby wszystkie hosty z podsieci 192.168.20.0/24 miały dostęp do usług WWW/DNS/POP itd przez jedno łącze, a pozostały ruch wychodził drugim.Dzięki poniższemu konfigowi pakiety wychodzą ale nie wracają. Na maszynie, z którą próbuje nawiązać sesję widzę tylko flagi SYN.

Kod: Zaznacz cały

interface FastEthernet0
 switchport access vlan 2
 no ip address
!
interface FastEthernet1
 switchport access vlan 3
 no ip address
!
interface FastEthernet4
 ip address 10.0.1.1 255.255.255.0
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!

!
interface Vlan2
 ip address 192.168.20.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 ip policy route-map WAN
!
interface Vlan3
 ip address 10.0.2.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!
ip forward-protocol nd
!
ip nat inside source list ACL_1 interface FastEthernet4 overload
ip nat inside source list ACL_2 interface Vlan3 overload

ip route 0.0.0.0 0.0.0.0 10.0.1.2
!
ip access-list extended ACL_1
 deny   udp 192.168.20.0 0.0.0.255 any eq domain
 deny   tcp 192.168.20.0 0.0.0.255 any eq smtp
 deny   tcp 192.168.20.0 0.0.0.255 any eq www
 deny   tcp 192.168.20.0 0.0.0.255 any eq 143
 deny   tcp 192.168.20.0 0.0.0.255 any eq pop3
 deny   tcp 192.168.20.0 0.0.0.255 any eq 587
 deny   tcp 192.168.20.0 0.0.0.255 any eq 465
 deny   tcp 192.168.20.0 0.0.0.255 any eq 443
 deny   tcp 192.168.20.0 0.0.0.255 any eq 8080
 permit ip 192.168.20.0 0.0.0.255 any
 deny   ip any any
ip access-list extended ACL_2
 permit udp 192.168.20.0 0.0.0.255 any eq domain
 permit tcp 192.168.20.0 0.0.0.255 any eq smtp
 permit tcp 192.168.20.0 0.0.0.255 any eq www
 permit tcp 192.168.20.0 0.0.0.255 any eq 143
 permit tcp 192.168.20.0 0.0.0.255 any eq pop3
 permit tcp 192.168.20.0 0.0.0.255 any eq 587
 permit tcp 192.168.20.0 0.0.0.255 any eq 465
 permit tcp 192.168.20.0 0.0.0.255 any eq 443
 permit tcp 192.168.20.0 0.0.0.255 any eq 8080
 deny   ip any any



route-map WAN permit 10
 match ip address ACL_2
 set ip next-hop 10.0.2.2

doxer
member
member
Posty: 31
Rejestracja: 25 lut 2009, 07:09

#2

#2 Post autor: doxer »

Poczytaj o policy-based routing with NAT - przykład
Generalnie zastąpiłbym ACL'ki Route-mapami w wpisach NAT.

tower
member
member
Posty: 22
Rejestracja: 28 wrz 2010, 20:13

#3

#3 Post autor: tower »

Zastosowałem się do podanego przykładu i wszystko działa. Dzięki

ODPOWIEDZ