Здравствовать всем! ))Обращаюсь к тем, кто на нате "уже собаку съел" или кто, может, "доедает" её ))), и к тем, кто уже сталкивался с подобным багом.
Проблема следующая. Время от времени, нерегулярно, перестают работать некоторые статик-наты.
Проявляется это как внезапное прекращение доступа из интернета на адреса http://x.x.x.179 и ftp://x.x.x.181
Весь конфиг приведён в конце, здесь же пока приведу строки с натом и пояснениями:
ip nat pool npool-1 x.x.x.178 x.x.x.178 netmask 255.255.255.240 <----- Пул для юзеров.
ip nat source static 192.168.2.84 x.x.x.179 extendable <----- Статик для видео-сервера (ПАДАЕТ!)
ip nat source static tcp 192.168.3.27 20 x.x.x.181 20 extendable <----- Статик для фтп-сервера (ПАДАЕТ!)
ip nat source static tcp 192.168.3.27 21 x.x.x.181 21 extendable <----- Статик для фтп-сервера (ПАДАЕТ!)
Доступ к фтп-серверу открылся только когда я эту команду ввёл - "ip nat source static ...".
Сначала вообще всё было "ip nat inside source static...", но нат для видео-сервера всё равно отваливался, а доступ к фтп-серверу вообще не удавалось получить.
Дальше -
ip nat inside source list nat-VPLAN pool npool-1 overload <----- нат (пат) для юзеров
Внешний адрес x.x.x.180 используется для доступа из вне к различным серверам
ip nat inside source static tcp 192.168.2.5 80 x.x.x.180 8089 extendable
ip nat inside source static tcp 192.168.3.26 3389 x.x.x.180 45526 extendable
ip nat inside source static tcp 192.168.2.4 3389 x.x.x.180 45555 extendable
ip nat inside source static tcp 192.168.2.20 3389 x.x.x.180 45556 extendable
ip nat inside source static 192.168.3.27 x.x.x.181 extendable <----- Статик для веб-сервера. Фтп так не работает, для него пришлось настроить нат по другому - см.выше.
ip nat inside source static 192.168.3.23 x.x.x.182 extendable <----- Статик для мэйл-сервера
Обратите внимание, что фтп-сервер поднят на том же серваке, что и веб-сервер. Так вот, доступ к веб-серверу НЕ пропадает, а доступ к фтп- и видео- серверам пропадает!
Поправлял просто:
сперва убираю
(config)#no ip nat source static 192.168.2.84 x.x.x.179 extendable
либо (в зависимости от того, что "упало")
(config)#no ip nat source static tcp 192.168.3.27 x.x.x.181 20 extendable
затем сразу возвращаю
(config)#ip nat source static 192.168.2.84 x.x.x.179 extendable
либо
(config)#ip nat source static tcp 192.168.3.27 x.x.x.181 20 extendable
и соответствующий доступ появляется...
В логах - вообще ни-фи-га, хотя все уровни поставил 7 (дебаг).
Когда всё работает, то sh ip nat tr выглядит типа этого:
router#sh ip nat tr | i 192.168.2.84
tcp x.x.x.179:80 192.168.2.84:80 195.26.x.x:22388 195.26.x.x:22388
tcp x.x.x.179:80 192.168.2.84:80 195.26.x.x:24088 195.26.x.x:24088
tcp x.x.x.179:80 192.168.2.84:80 195.26.x.x:24335 195.26.x.x:24335
tcp x.x.x.179:80 192.168.2.84:80 195.26.x.x:24338 195.26.x.x:24338
tcp x.x.x.179:80 192.168.2.84:80 195.26.x.x:24339 195.26.x.x:24339
tcp x.x.x.179:2262 192.168.2.84:2262 61.19x.1xx.218:1720 61.19x.1xx.218:1720
tcp x.x.x.179:2263 192.168.2.84:2263 61.19x.1xx.218:2260 61.19x.1xx.218:2260
udp x.x.x.179:49152 192.168.2.84:49152 61.19x.1xx.218:49152 61.19x.1xx.218:49152
udp x.x.x.179:49153 192.168.2.84:49153 61.19x.1xx.218:49153 61.19x.1xx.218:49153
udp x.x.x.179:49154 192.168.2.84:49154 61.19x.1xx.218:49154 61.19x.1xx.218:49154
udp x.x.x.179:49155 192.168.2.84:49155 61.19x.1xx.218:49155 61.19x.1xx.218:49155
tcp x.x.x.179:51234 192.168.2.84:51234 61.19x.1xx.218:51235 61.19x.1xx.218:51235
udp x.x.x.179:51234 192.168.2.84:51234 61.19x.1xx.218:51235 61.19x.1xx.218:51235
tcp x.x.x.179:51235 192.168.2.84:51235 61.19x.1xx.218:51234 61.19x.1xx.218:51234
udp x.x.x.179:51235 192.168.2.84:51235 61.19x.1xx.218:51234 61.19x.1xx.218:51234
--- x.x.x.179 192.168.2.84 --- ---
при этом проц практически не нагружен:
router#sh proc cpu
CPU utilization for five seconds: 12%/10%; one minute: 17%; five minutes: 14%
А когда статик отрубается, то эта табличка постепенно сокращается до
--- x.x.x.179 192.168.2.84 --- ---
Иосы пробовал разные - сперва c2800nm-adventerprisek9-mz.150-1.M1, затем попробовал подревнее c2800nm-advipservicesk9-mz.124-15.T8, теперь c2800nm-advipservicesk9-mz.124-25d. Причем в первом случае в логах иногда появлялись сообщения о какой-то неизвестной ошибке. Но привязать их к падениям статик-натов не получалось.
Короче, запарился я уже с этими падениями... Если кто поможет - огромное спасибо!
Обещанный конфиг:
Current configuration : 8499 bytes
!
! Last configuration change at 16:09:32 MSK Fri Dec 3 2010 by admin
! NVRAM config last updated at 15:17:02 MSK Fri Dec 3 2010 by admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
hostname R3-1
!
boot-start-marker
boot system flash:c2800nm-advipservicesk9-mz.124-25d.bin
boot-end-marker
!
logging count
logging buffered 256000 debugging
enable secret 5 ************************
!
no aaa new-model
monitor event-trace sequence-number
clock timezone MSK 3
clock calendar-valid
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.5.1 192.168.5.20
ip dhcp excluded-address 192.168.5.21
!
ip dhcp pool vlan-5
network 192.168.5.0 255.255.255.0
domain-name ***
default-router 192.168.5.1
option 242 ascii "MCIPADD=192.168.5.2,L2Q=1,L2QVLAN=5"
!
!
ip domain name ***
ip name-server x.x.x.2
ip name-server y.y.y.2
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
voice-card 0
no dspfarm
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2983786500
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2983786500
revocation-check none
rsakeypair TP-self-signed-2983786500
!
!
crypto pki certificate chain TP-self-signed-2983786500
certificate self-signed 01
******** ********
quit
username admin privilege 15 secret 5 **************
username monitor privilege 7 secret 5 ********************
archive
log config
hidekeys
!
!
!
class-map match-all VideoOut
match access-group name Video_Out
class-map match-any Class-Video
match protocol rtsp
match protocol rtp
match protocol rtcp
class-map match-all VideoIn
match access-group name Video_In
!
!
policy-map OutVideo
class VideoOut
police cir percent 40
policy-map InTest-BW
class Class-Video
police cir percent 40
conform-action transmit
exceed-action drop
policy-map InVideo
class VideoIn
police cir percent 40
!
!
!
!
!
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex full
speed 100
!
interface GigabitEthernet0/1
description - WAN Sovintel 10 Mbps
bandwidth 10000
ip address x.x.x.178 255.255.255.240
ip access-group WAN-IN in
ip access-group WAN-OUT out
no ip redirects
no ip proxy-arp
ip accounting output-packets
ip accounting access-violations
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly max-reassemblies 128
ip route-cache flow
duplex full
speed 10
service-policy input InVideo
service-policy output OutVideo
!
interface GigabitEthernet0/0/0
bandwidth 1000000
no ip address
ip route-cache flow
negotiation auto
!
interface GigabitEthernet0/0/0.1
description Switches Management Interface
encapsulation dot1Q 6
ip address 192.168.6.1 255.255.255.0
!
interface GigabitEthernet0/0/0.3
description VLAN 5 - IP-Telephones
encapsulation dot1Q 5
ip address 192.168.5.1 255.255.255.0
!
interface GigabitEthernet0/0/0.2
description VLAN 2 - Local
encapsulation dot1Q 2
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly max-reassemblies 128
!
interface GigabitEthernet0/0/0.3
description Servers
encapsulation dot1Q 3
ip address 192.168.3.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0/0.7
description IP-TV
encapsulation dot1Q 7
ip address 192.168.7.1 255.255.255.0
ip virtual-reassembly max-reassemblies 128
!
interface GigabitEthernet0/0/0.1001
description Bankomat
encapsulation dot1Q 1001
ip address 172.31.0.1 255.255.255.252
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.177
!
ip dns server
ip flow-export version 5
ip flow-export destination 192.168.2.5 9996
!
no ip http server
ip http authentication local
ip http secure-server
ip nat pool npool-1 x.x.x.178 x.x.x.178 netmask 255.255.255.240
ip nat source static 192.168.2.84 x.x.x.179 extendable
ip nat source static tcp 192.168.3.27 20 x.x.x.181 20 extendable
ip nat source static tcp 192.168.3.27 21 x.x.x.181 21 extendable
ip nat inside source list nat-VPLAN pool npool-1 overload
ip nat inside source static tcp 192.168.2.5 80 x.x.x.180 8089 extendable
ip nat inside source static tcp 192.168.3.26 3389 x.x.x.180 55526 extendable
ip nat inside source static tcp 192.168.2.4 3389 x.x.x.180 55555 extendable
ip nat inside source static tcp 192.168.2.20 3389 x.x.x.180 55556 extendable
ip nat inside source static tcp 192.168.3.27 81 x.x.x.181 81 extendable
ip nat inside source static tcp 192.168.3.27 3389 x.x.x.181 55527 extendable
ip nat inside source static 192.168.3.27 x.x.x.181 extendable
ip nat inside source static 192.168.3.23 x.x.x.182 extendable
!
ip access-list extended Video_In
permit ip any host 192.168.2.84
permit ip any host x.x.x.179
ip access-list extended Video_Out
permit ip host 192.168.2.84 any
permit ip host x.x.x.179 any
ip access-list extended WAN-IN
permit icmp any x.x.x.176 0.0.0.15
deny tcp any x.x.x.176 0.0.0.15 eq telnet log
deny tcp any x.x.x.176 0.0.0.15 eq 445
permit udp any host x.x.x.179
permit tcp any host x.x.x.179
permit tcp any x.x.x.176 0.0.0.15 eq 3389
permit tcp any host x.x.x.181 eq www
permit tcp any host x.x.x.181 eq 81
permit tcp any host x.x.x.181 eq 82
permit tcp any host x.x.x.181 eq 443
permit tcp any host x.x.x.181 eq ftp-data
permit tcp any host x.x.x.181 eq ftp
permit ip any x.x.x.176 0.0.0.15
deny ip any any log
ip access-list extended WAN-OUT
permit icmp x.x.x.176 0.0.0.15 any
permit tcp any any
permit udp any any
permit gre any any
permit esp any any
permit 241 any any
permit ip x.x.x.176 0.0.0.15 any
deny ip any any log
ip access-list extended avaya-in
permit icmp any any
permit tcp host 192.168.5.2 any log
ip access-list extended avaya-out
permit icmp any any
permit tcp any host 192.168.5.2 eq 443 log
permit tcp any host 192.168.5.2 eq 22 log
ip access-list extended nat-VPLAN
permit icmp any any
deny ip host 192.168.2.84 any
deny ip host 192.168.3.27 any
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
ip access-list extended vty-in
permit tcp any any eq 22
permit tcp 192.168.6.0 0.0.0.255 any eq telnet
permit tcp 192.168.2.0 0.0.0.255 any eq telnet
permit tcp 192.168.3.0 0.0.0.255 any eq telnet
deny ip any any log
!
logging history debugging
logging trap debugging
access-list 101 permit ip host 192.168.2.84 any precedence critical
access-list 102 permit ip 192.168.3.0 0.0.0.255 any
snmp-server community public RO
snmp-server ifindex persist
!
!
!
control-plane
!
!
line con 0
exec-timeout 2000 0
login local
line aux 0
line vty 0 4
access-class vty-in in
exec-timeout 2000 0
login local
transport input telnet ssh
line vty 5 15
access-class vty-in in
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end
router#
Вариант для распечатки
(??) on 09-Янв-11, 11:14 
