NAT из удаленных филиалов на Cisco маршрутизаторах

Мини статейка по просьбе пользователя, вводные данные, есть несколько филиалов со своим подключением к Интернет, но хотелось бы чтобы они ходили в сеть через основной филиал, бывает такое, ниже вырезки из конфигурации роутеров.

Филиальные роутеры:

!
ip route x.x.x.x 255.255.255.255 y.y.y.y
ip route 0.0.0.0 0.0.0.0 z.z.z.z
!


где, x.x.x.x — это IP маршрутизатора основного филиала, y.y.y.y это основной шлюз местного провадера, z.z.z.z это туннельный IP маршрутизатора основного филиала, так же на туннельном интерфейсе маршрутизатора основного филиала надо выставить ip nat inside.

Основной филиал:

!
ip nat pool Nat_Pool z.z.z.z z.z.z.z netmask 255.255.255.0 # — z.z.z.z туннельный IP филиального маршрутизатора
ip nat inside source list 140 interface TunnelX overload # — X — номер туннельного интерфейса
!


Не забываем добавить соответствующий access-list для удаленных сетей.
Собственно все, вопросы в тему.
  • 0
  • 12 марта 2010, 10:11
  • lemial

Комментарии (15)

RSS свернуть / развернуть
+
0
Спасибо. Но нужно небольшое уточнение
«Основной филиал:!
ip nat pool Nat_Pool z.z.z.z z.z.z.z netmask 255.255.255.0 # — z.z.z.z туннельный IP филиального маршрутизатора»
если роутеры соедениены по туннелю
основной-192.168.3.1/24
филиал-192.168.3.2/24
то пишем
ip nat pool Nat_Pool 192.168.3.2 255.255.255.0 netmask 255.255.255.0
но Cisco говорит «должно быть 192.0.0.0»
ставлю
ip nat pool Nat_Pool 192.0.0.0 255.255.255.0 netmask 255.255.255.0
пишет -different subnet
(ios 3745 -K9 v/ 12.4(15)T9)
и еще. Правильно ли я понял что надо добавить
access-list 140 permit ip 192.168.3.0 0.0.0.255 any (туннельный траффик)

Спасибо.
з.ы. для меня есть хороший пример на
www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00800946b8.shtml
левый- основной, правый- филиал. Можно проверить команду которая не проходит при этой конфигурации

avatar

Pavel

  • 12 марта 2010, 14:12
+
0
Возможно да, просто писал из головы не проверяя :)

access-list 140 permit ip 192.168.3.0 0.0.0.255 any (туннельный траффик)
— нет, тут надо писать access-list для вашей локалки, т.е. для клиентов удаленной сети филиала.

ip nat pool Nat_Pool 192.0.0.0 255.255.255.0 netmask 255.255.255.0
— это не верно, должно быть: например ip nat pool Nat_Pool 192.1.1.1 255.255.255.0 netmask 255.255.255.0, 192.1.1.1 это IP из локальной сети удаленного провайдера, согласен решение «рогатое» но рабочее :)
avatar

lemial

  • 12 марта 2010, 14:21
+
0
1. т.е. если удаленная локалка 172.16.1.х, то access-list на основном роутере прописываем
access-list 140 permit ip 172.16.1.0 0.0.0.255 any?

2. ip nat pool. Сначала локалка основного, потом филиала или наоборот.
И по синтаксису, разве не обратно?
172.0.0.0 255.255.255.0 netmask 0.0.0.0 0.0.0.10 ???

Спасибо
avatar

Pavel

  • 12 марта 2010, 15:35
+
0
access-list 140 permit ip 172.16.1.0 0.0.0.255 any


да

ip nat pool Nat_Pool 192.0.0.1 255.255.255.0 netmask 255.255.255.0
где 192.0.0.1 — это IP туннеля основной киски на какой-то филиал, т.е. у нас сеть туннеля 192.0.0.0/30, 192.0.0.1 — основная киска, 192.0.0.2 — филиальная…
avatar

lemial

  • 12 марта 2010, 22:17
+
0
Отпишите как заработает плиз :) Или давайте IP, пароли, явки, я вам сам настрою, потом явки и пароли поменяете!
avatar

lemial

  • 14 марта 2010, 23:14
+
0
Спасибо за предложение. Сейчас перестраиваю сеть на эмуляторе. И пришлю ответ. Вообще предложение такое, давайте вместе доделаем и выложим готовые конфиги для других, чтобы людям попроще было. Оретировочное время перестройки — до 12:00, ок?
avatar

Pavel

  • 15 марта 2010, 10:18
+
0
ок, мой jabber: lemial@talk.vrn.me
avatar

lemial

  • 15 марта 2010, 10:27
+
0
lemial, как с Вами связатся???
avatar

Pavel

  • 15 марта 2010, 14:13
+
0
яж написал: jabber: lemial@talk.vrn.me
avatar

lemial

  • 15 марта 2010, 14:16
+
0
Я уже отправлял письмо по адресу lemial@talk.vrn.me
оно не приходило? может тогда другой адрес?.. Схему (упрощенную) я подготоваил. Конфиги тоже
avatar

Pavel

  • 15 марта 2010, 14:23
+
0
lemial@talk.vrn.me это не почта :) это jabber.
avatar

lemial

  • 15 марта 2010, 15:04
+
0
понимаю что разговорник. Так там файлы не вложишь, а схема и конфиги в виде файлов. Выкладывать текстом неудобно
avatar

Pavel

  • 15 марта 2010, 15:16
+
0
Уважаемый Lemial. Так как с Вами можно обсудить схему?
avatar

Pavel

  • 15 марта 2010, 18:36
+
0
Пишите на емыл, mike(сабака)intercon.ru!
avatar

lemial

  • 15 марта 2010, 18:43
+
0
конфиги и схему прислал
avatar

Pavel

  • 16 марта 2010, 10:14

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.