Я пытаюсь настроить маршрутизатор Cisco 2901 с использованием IOS 15 для правильного выполнения преобразования NAT / PAT между локальной сетью и подключением к Интернету. Я настроил пул DHCP для локального интерфейса, который работает правильно (даже с использованием дополнительного коммутатора, точки беспроводного доступа и т. Д.). Аналогичным образом, интерфейс WAN настроен на получение собственного IP-адреса по DHCP от провайдера. Я могу работать на компьютерах в локальной сети, и я могу получить доступ к Интернету прямо с маршрутизатора (используя, например, команды ping telnet и маршрутизатора). Проблема в том, что NAT не работает должным образом, а подключение через интерфейс LAN (GigabitEthernet0 / 1) не достигает интерфейса WAN (GigabitEthernet0 / 0).
Я следил за несколькими гиды по этому поводу, но кажется, что что бы я ни делал, NAT просто не работает. Я пробовал как interface GigabitEthernet0/0 overload Список источников NAT внутри и список источников пула NAT (являющийся текущим IP-адресом, назначенным интернет-провайдером) описаны в руководствах.
Прилагается полная конфигурация в надежде, что кто-нибудь найдет проблему, которую я пропустил.
Current configuration : 2007 bytes
!
! Last configuration change at 19:59:30 UTC Wed Jul 6 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname odin
!
boot-start-marker
boot-end-marker
!
enable secret 5 enablesecret
enable password enablepassword
!
no aaa new-model
!
!
!
!
no ipv6 cef
ip source-route
no ip routing
no ip cef
!
!
ip dhcp excluded-address 10.1.1.1 10.1.1.10
!
ip dhcp pool lan
import all
network 10.1.1.0 255.255.255.0
default-router 10.1.1.1
dns-server 8.8.8.8
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
license udi pid licensepid sn licensesn
!
!
!
redundancy
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
no cdp enable
no mop enabled
!
!
interface ISM0/0
no ip address
no ip route-cache
shutdown
service-module fail-open
no cdp enable
!
hold-queue 60 out
!
interface ISM0/1
no ip address
no ip route-cache
shutdown
no cdp enable
!
!
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
duplex auto
speed auto
no cdp enable
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
!
!
!
!
snmp-server community snmp_lan RO
!
control-plane
!
!
!
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
line aux 0
line 67
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
flowcontrol software
line vty 0 4
password password
login
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end
ОБНОВЛЕНИЕ 1:
Пытался указать исходящие правила, добавив
interface GigabitEthernet0/0
ip access-group lan_out out
!
ip access-list extended la_out
permit ip any any
но безрезультатно.
После этого также попытался использовать пулы nat и карты маршрутов, в результате
ip nat pool lan_np 1.2.3.135 1.2.3.135 prefix-length 24
ip nat inside source route-map natmap pool lan_np overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 permanent
!
ip access-list extended lan_out
permit ip any any
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
!
!
!
!
route-map natmap permit 10
match ip address lan_out
Как с любой комбинацией, так и без нее ip route 0.0.0.0 0.0.0.0 и либо interface GigabitEthernet0/0 или IP-адрес шлюза ISP по умолчанию. Результаты в sh ip nat st из
offblast_odin#sh ip nat st
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0, occurred 02:58:27 ago
Outside interfaces:
GigabitEthernet0/0
Inside interfaces:
GigabitEthernet0/1
Hits: 0 Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 2] route-map natmap pool offblast_lan_np refcount 0
pool offblast_lan_np: netmask 255.255.255.0
start 1.2.3.135 end 1.2.3.135
type generic, total addresses 1, allocated 0 (0%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
К сожалению, пока ничего не получилось. Полная финальная конфигурация.
Можете ли вы показать вывод «sh ip nat stat» и «sh ip nat tran»?
Я думаю, что конфигурация выглядит правильно, вы пытались применить ACL к внешнему интерфейсу, чтобы разрешить трафик?
interface GigabitEthernet0/0 ip access-group OUTBOUND out ! ip access-list extended OUTBOUND permit ip any any
вот рабочий пример из серии 1800:
interface FastEthernet0 description $FW_OUTSIDE$ bandwidth 34000 ip address 1.2.3.141 255.255.255.240 ip access-group OUTBOUND out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly load-interval 60 duplex auto speed auto ! interface FastEthernet1 description $FW_INSIDE$ bandwidth 34000 ip address 192.168.0.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly load-interval 60 duplex auto speed auto ! ip nat pool GLOBAL_IP_POOL 1.2.3.139 1.2.3.141 prefix-length 24 ip nat inside source route-map natmap pool GLOBAL_IP_POOL overload ! ip access-list extended natrules deny ip 192.168.0.0 0.0.0.255 10.180.3.0 0.0.0.255 permit ip 192.168.0.0 0.0.255.255 any ! route-map natmap permit 10 match ip address natrules
Надеюсь это поможет.
Отредактировано:
Я не могу обнаружить ничего странного в вашем конфиге. Поскольку похоже, что у вас вообще нет совпадений в таблицах трансляции, должна быть проблема либо с подключением, либо с конфигурацией на клиенте, либо просто со списком доступа, который запрещает трафик.
Ты можешь:
1) ping от маршрутизатора, убедитесь, что вы делаете это из правильного интерфейса, введя:
ping 8.8.8.8 источник 10.1.1.1
2) показать списки доступа
показать списки доступа
Я установил три маршрутизатора в лаборатории и настроил rip + nat, и он работает как есть. Рассматриваемый роутер и удаленный маршрутизатор это специально отрицает внутреннюю сеть «рассматриваемого маршрутизатора».
Поскольку этот вопрос сейчас набрал более 1000 просмотров (эй), Я отправлю точный ответ: из того, что мне сказали позже (после использования некоторых конфигов, опубликованных @ 3molo), строка
no ip routing
был виноват в некорректной работе NAT (в ретроспективе это довольно очевидно).