Ciscoルーターの過負荷を構成するNAT(IOS 15)
IOS 15を使用してCisco2901ルーターを構成し、LANとインターネット接続の間でNAT/PAT変換を適切に実行しようとしています。ローカルインターフェイス用にDHCPプールを構成しましたが、これは適切に機能します(追加のスイッチ、ワイヤレスアクセスポイントなどを使用する場合でも...)同様に、WANインターフェイスは、ISPからDHCPによって独自のIPを取得するように構成されています。LANコンピュータで作業でき、ルーターから直接インターネットにアクセスできます(たとえば、telnetやルーターのpingコマンドを使用)。問題は、NATが正しく機能せず、LANインターフェイス(GigabitEthernet0/1)から接続されていることです。 )がWANインターフェイス(GigabitEthernet0/0)に到達しません。
私はいくつかの ガイド をフォローしましたが、何をしてもNATはうまくいかないようです。両方のinterface GigabitEthernet0/0 overloadを試しましたガイドで説明されているNAT内部ソースリストおよびNATプールソースリスト(現在のISP割り当てIP))。
添付されているのは完全な構成で、私が見逃した問題を誰かが見つけてくれることを願っています。
Current configuration : 2007 bytes
!
! Last configuration change at 19:59:30 UTC Wed Jul 6 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname odin
!
boot-start-marker
boot-end-marker
!
enable secret 5 enablesecret
enable password enablepassword
!
no aaa new-model
!
!
!
!
no ipv6 cef
ip source-route
no ip routing
no ip cef
!
!
ip dhcp excluded-address 10.1.1.1 10.1.1.10
!
ip dhcp pool lan
import all
network 10.1.1.0 255.255.255.0
default-router 10.1.1.1
dns-server 8.8.8.8
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
license udi pid licensepid sn licensesn
!
!
!
redundancy
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
no cdp enable
no mop enabled
!
!
interface ISM0/0
no ip address
no ip route-cache
shutdown
service-module fail-open
no cdp enable
!
hold-queue 60 out
!
interface ISM0/1
no ip address
no ip route-cache
shutdown
no cdp enable
!
!
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
no cdp enable
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
!
!
!
!
snmp-server community snmp_lan RO
!
control-plane
!
!
!
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
line aux 0
line 67
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
flowcontrol software
line vty 0 4
password password
login
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end
更新1:
追加してアウトバウンドルールを指定してみました
interface GigabitEthernet0/0
ip access-group lan_out out
!
ip access-list extended la_out
permit ip any any
しかし、役に立たない。
その後、natプールとルートマップも活用してみました。
ip nat pool lan_np 1.2.3.135 1.2.3.135 prefix-length 24
ip nat inside source route-map natmap pool lan_np overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 permanent
!
ip access-list extended lan_out
permit ip any any
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
!
!
!
!
route-map natmap permit 10
match ip address lan_out
ip route 0.0.0.0 0.0.0.0とinterface GigabitEthernet0/0またはISPのデフォルトゲートウェイIPの組み合わせがある場合とない場合の両方。結果はsh ip nat stの
offblast_odin#sh ip nat st
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0, occurred 02:58:27 ago
Outside interfaces:
GigabitEthernet0/0
Inside interfaces:
GigabitEthernet0/1
Hits: 0 Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 2] route-map natmap pool offblast_lan_np refcount 0
pool offblast_lan_np: netmask 255.255.255.0
start 1.2.3.135 end 1.2.3.135
type generic, total addresses 1, allocated 0 (0%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
悲しいことに、これまでのところ何も機能しませんでした。 完全な最終構成 。
「shipnatstat」と「shipnattran」の出力を表示できますか?
設定は正しいように見えると思いますが、トラフィックを明確に許可するために外部インターフェイスにACLを適用しようとしましたか?
interface GigabitEthernet0/0 ip access-group OUTBOUND out ! ip access-list extended OUTBOUND permit ip any any
1800シリーズの実例は次のとおりです。
interface FastEthernet0 説明$ FW_OUTSIDE $ 帯域幅34000 IPアドレス1.2.3.141255.255.255.240 ip access-group OUTBOUND out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual- reassembly load-interval 60 duplex auto speed auto ! interface FastEthernet1 description $ FW_INSIDE $ 帯域幅34000 IPアドレス192.168.0.254255.255.255.0 IPリダイレクトなし ip到達不能 no ip proxy-arp ip nat inside ip virtual-reassembly load-interval 60 duplex auto speed auto ! ip nat pool GLOBAL_IP_POOL 1.2.3.139 1.2.3.141 prefix-length 24 ip nat inside source route-map natmap pool GLOBAL_IP_POOLoverload ! ip access-list extended natrules deny ip 192.168.0.0 0.0.0.255 10.180.3.0 0.0.0.255 permit ip 192.168.0.0 0.0.255.255 any ! route-map natmap permit 10 match ip address natrules
お役に立てれば。
編集:
私はあなたの設定で奇妙なものを見つけることができません。変換テーブルにまったくヒットがないように見えるため、クライアントの接続または構成、あるいは単にトラフィックを拒否するアクセスリストに問題があるはずです。
あなたはできる:
1)ルーターからpingを実行します。次のように入力して、正しいインターフェイスからpingを実行してください。
ping8.8.8.8ソース10.1.1.1
2)アクセスリストを表示する
アクセスリストを表示する
ラボで3台のルーターをセットアップし、rip + natを構成しましたが、そのまま動作します。 問題のルーター および リモートルーター これは、「問題のルーター」の内部ネットワークを明確に拒否します。
この質問は現在1000ビューを超えているので(whoah)、正確な答えを投稿します:後で(@ 3moloによって投稿された構成のいくつかを使用した後に)言われたことから、次の行
no ip routing
NATが正しく機能していないために障害がありました(後から考えると、かなり明白です)。