NAT в несколько интерфейсов

Discussion:

(слишком старое сообщение для ответа)

Alexandr Kruglikov

2018-09-14 11:45:10 UTC

Привет, All!

Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:

interface FastEthernet0/0
description - LocalNet -
ip address 192.168.1.1 255.255.255.0
interface FastEthernet0/1
description - OutGrayNet 1 -
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/3
description - OutGrayNet 2 -
ip address 192.168.3.1 255.255.255.0
interface FastEthernet0/4
description - InterNet -
ip address 88.88.88.88 255.255.255.252

Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно натило в
Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а остальное - в
интернет?

С наилучшими пожеланиями, Alexandr.

Eugene Grosbein

2018-09-15 03:12:58 UTC

Permalink

14 сент. 2018, пятница, в 12:45 NOVT, Alexandr Kruglikov написал(а):

AK> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
AK> interface FastEthernet0/0
AK> description - LocalNet -
AK> ip address 192.168.1.1 255.255.255.0
AK> interface FastEthernet0/1
AK> description - OutGrayNet 1 -
AK> ip address 192.168.2.1 255.255.255.0
AK> interface FastEthernet0/3
AK> description - OutGrayNet 2 -
AK> ip address 192.168.3.1 255.255.255.0
AK> interface FastEthernet0/4
AK> description - InterNet -
AK> ip address 88.88.88.88 255.255.255.252
AK> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно натило в
AK> Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а остальное - в
AK> интернет?

Может, и никак. Смотря какая циска и какой софт.

Eugene

--
Поэты - страшные люди. У них все святое.

Vladimir Bobarykin

2018-09-15 09:17:44 UTC

Permalink

Здpавствуй, Alexandr!

Пятница 14 Сентября 2018 14:45, ты писал(а) All, в сообщении по ссылке
area://ru.cisco?msgid=2:5053/58+5b9b9253:

AK> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
[skip]
AK> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK> остальное - в интернет?
Посмотри в сторону route-map'ов.

С уважением - Vladimir
... Когда красивым налево, а умным направо, мне хоть разорвись!

Eugene Grosbein

2018-09-15 21:03:40 UTC

Permalink

15 сент. 2018, суббота, в 10:17 NOVT, Vladimir Bobarykin написал(а):

AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.

По сути, тут требуется поддержка нескольких независимых инстансов NAT
и route-map'ы сами по себе её не дают.

Hа FreeBSD это было бы либо создание нескольких отдельных ipfw nat instance,
либо то же самое в natd - он тоже поддерживает независимые инстансы.

Hа простых цисках, боюсь, никак. Разве что извращения с VRF.

Eugene

--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..

Vladimir Bobarykin

2018-09-17 05:57:06 UTC

Permalink

Здpавствуй, Eugene!

Воскресенье 16 Сентября 2018 00:03, ты писал(а) мне, в сообщении по ссылке
area://carbonArea?msgid=grosbein.net+717b4528:

AK>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>> Fa0/2, а остальное - в интернет?
VB>> Посмотри в сторону route-map'ов.
EG> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG> и route-map'ы сами по себе её не дают.
я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с влана-10
идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с
влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от того,
куда отправился пакет - работает нужный нат.

С уважением - Vladimir
... Хромированный корпус прибора оцинкован вольфрамом.

Eugene Grosbein

2018-09-17 23:25:08 UTC

Permalink

17 сент. 2018, понедельник, в 06:57 NOVT, Vladimir Bobarykin написал(а):

AK>>>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1
AK>>>> оно натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в
AK>>>> Fa0/2, а остальное - в интернет?
VB>>> Посмотри в сторону route-map'ов.
EG>> По сути, тут требуется поддержка нескольких независимых инстансов NAT
EG>> и route-map'ы сами по себе её не дают.
VB> я ротумапами делил подсети на ыход через разные интерфейсы, т.е сеть с
VB> влана-10
VB> идет отправляется на шлюз-1, через первый провайдерский интерфейс, сеть с
VB> влана-20 отправляется на шлюз-2 провайдера-2, а там уже, в зависимости от
VB> того,
VB> куда отправился пакет - работает нужный нат.

То есть PBR? Может сработать, да.

Eugene

--
Choose no life

Denis Ognewsky

2018-09-18 01:57:25 UTC

Permalink

Hello, Eugene Grosbein.
On 17.09.18 23:40 you wrote:

VB>> я ротумапами делил подсети на ыход через разные интерфейсы, т.е
VB>> сеть с влана-10 идет отправляется на шлюз-1, через первый
VB>> провайдерский интерфейс, сеть с влана-20 отправляется на шлюз-2
VB>> провайдера-2, а там уже, в зависимости от того, куда отправился
VB>> пакет - работает нужный нат.
EG> То есть PBR? Может сработать, да.

сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае
падения канала и будет самое оно.

--
Best regards!
Posted using Hotdoged on Android

Eugene Grosbein

2018-09-18 19:22:26 UTC

Permalink

18 сент. 2018, вторник, в 02:57 NOVT, Denis Ognewsky написал(а):

EG>> То есть PBR? Может сработать, да.
DO> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в случае
DO> падения канала и будет самое оно.

tracking должно быть достаточно, зачем ip sla?

Eugene

Denis Ognewsky

2018-09-18 19:54:39 UTC

Permalink

Hello, Eugene Grosbein.
On 18.09.18 19:41 you wrote:

EG>>> То есть PBR? Может сработать, да.
DO>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>> в случае падения канала и будет самое оно.
EG> tracking должно быть достаточно, зачем ip sla?

давно это дело не готовил, но воспоминания такие, что ip sla мониторит и там
можно выбрать способы типа icmp/http/... а tracking на основе этого принимает
решение.

--
Best regards!
Posted using Hotdoged on Android

Eugene Grosbein

2018-09-19 10:11:04 UTC

Permalink

18 сент. 2018, вторник, в 20:54 NOVT, Denis Ognewsky написал(а):

EG>>>> То есть PBR? Может сработать, да.
DO>>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось
DO>>> в случае падения канала и будет самое оно.
EG>> tracking должно быть достаточно, зачем ip sla?
DO> давно это дело не готовил, но воспоминания такие, что ip sla мониторит и
DO> там
DO> можно выбрать способы типа icmp/http/... а tracking на основе этого
DO> принимает
DO> решение.

А, ну да, если BGP full view нету, тогда ip sla.
При наличии full view можно и без ip sla.

Eugene

Denis Ognewsky

2018-09-19 09:15:18 UTC

Permalink

Hello, Eugene Grosbein.
On 19.09.18 10:20 you wrote:

EG>>> tracking должно быть достаточно, зачем ip sla?
DO>> давно это дело не готовил, но воспоминания такие, что ip sla
DO>> мониторит и там можно выбрать способы типа icmp/http/... а
DO>> tracking на основе этого принимает решение.
EG> А, ну да, если BGP full view нету, тогда ip sla. При наличии full
EG> view можно и без ip sla.

если речь идет о NAT, то врядли там full view ;-)

--
Best regards!
Posted using Hotdoged on Android

Alexandr Kruglikov

2018-09-19 10:31:50 UTC

Permalink

Привет, Eugene!

19 сен 18 13:11, Eugene Grosbein писал(а) к Denis Ognewsky:

EG>>>>> То есть PBR? Может сработать, да.
DO>>>> сработает. сюда еще добавить ip sla+tracking чтоб разворачивалось в
DO>>>> случае падения канала и будет самое оно.
EG>>> tracking должно быть достаточно, зачем ip sla?
DO>> давно это дело не готовил, но воспоминания такие, что ip sla
DO>> мониторит и там можно выбрать способы типа icmp/http/... а tracking
DO>> на основе этого принимает решение.
EG> А, ну да, если BGP full view нету, тогда ip sla.
EG> При наличии full view можно и без ip sla.

Не, никакого BGP в моём случае нет. Пачка статиков и 0.0.0.0 в интернет.

С наилучшими пожеланиями, Alexandr.

Alexandr Kruglikov

2018-09-17 12:40:28 UTC

Permalink

Привет, Vladimir!

*** Ответ на сообщение из CarbonArea (Мыльце для меня).

15 сен 18 12:17, Vladimir Bobarykin писал(а) к Alexandr Kruglikov:

AK>> Коллеги, снимите с ручника, plz. Есть несколько интерфейсов:
VB> [skip]
AK>> Вот как настроить subj так, чтобы для сетей, которые за Fa0/1 оно
AK>> натило в Fa0/1, для сетей, которые за Fa0/2 оно натило в Fa0/2, а
AK>> остальное - в интернет?
VB> Посмотри в сторону route-map'ов.

Ага, посмотрел =)
Как попробую - отпишусь.

С наилучшими пожеланиями, Alexandr.