https://slinkov.ru/openforum/vsluhforumID6/19113.html Добрый день уважаемые!<br><br>Помогите разобраться с непокорной циской:<br>есть циска 2611хм на которой 2 езернета. один езернет смотрит в сторону локальных юзеров LAN1, другой одновременно в инет, и в другую локальную сеть LAN2. И в инет и в LAN2 нужно пускать юзеров через нат, соответствено разный. Задвоенный конец смотрит на хп-шный коммутатор где развиланены линки. с циски всё замечательно видится.<br>Вопрос: почему абоненты не видят лан2?<br> <br>кусок конфига:<br>!<br>interface FastEthernet0/0<br> description LAN1<br> ip address xxx.xxx.81.1 255.255.255.0<br> ip access-group 100 in<br> ip nat inside<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/1<br> no ip address<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/1.1<br> description Internet<br> encapsulation dot1Q 1<br> ip address zzz.zzz.90.170 255.255.255.252<br> ip access-group 102 in<br> ip nat outside<br>!<br>interface FastEthernet0/1.2<br> description LAN2<br> encapsulation dot1Q 2<br> ip address 10.11.239.253 255.255.255.0<br> ip nat outside<br>!<br>ip nat inside source list 101 int https://slinkov.ru/openforum/vsluhforumID6/19113.html#3 Wed, 24 Jun 2009 01:01:39 GMT &gt;[оверквотинг удален]<br>&gt;потом разреши все остальное. <br>&gt;<br>&gt;<br>&gt;access-list 101 deny ip 10.100.0.0 0.0.255.255 10.11.0.0 0.0.255.255 <br>&gt;access-list 101 permit ip 10.100.0.0 0.0.255.255 any <br>&gt;<br>&gt;access-list 103 permit ip 10.100.0.0 0.0.255.255 10.11.0.0 0.0.255.255 <br>&gt;<br>&gt;а вообще наверное лучше правило для интернета опустить ниже чем правило для <br>&gt;10.11.0.0 <br><br>Проблема решена! Благодарствую за хелп, все было имено в АКЛ!<br><br>ЗЫ: Нат аутсайд для ЛАН2 нужен потому что для ЛАН1 он является зоной интернета, в которую нужно попадать с внешним айпишником (с ип ЛАН2).<br> https://slinkov.ru/openforum/vsluhforumID6/19113.html#2 Tue, 23 Jun 2009 10:09:01 GMT непонятно, а зачем лан2 идет как ip nat outside? шлюз для интернета один? <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/19113.html#1 Tue, 23 Jun 2009 06:56:02 GMT &gt;[оверквотинг удален]<br>&gt;ip nat inside source list 101 interface FastEthernet0/1.1 overload <br>&gt;ip nat inside source list 103 interface FastEthernet0/1.2 overload <br>&gt;ip classless <br>&gt;ip route 0.0.0.0 0.0.0.0 zzz.zzzz.90.169 <br>&gt;ip route 10.11.0.0 255.255.0.0 10.11.239.254 <br>&gt;ip route 10.100.0.0 255.255.0.0 xxx.xxx.81.53 <br>&gt;! <br>&gt;access-list 101 permit ip 10.100.0.0 0.0.255.255 any <br>&gt;access-list 103 permit ip 10.100.0.0 0.0.255.255 any <br>&gt;! <br><br>У тя два одинаковых акцесс листа, то есть когда пакет идет от 10.100.0.0 0.0.255.255 куданить всегда будет срабатывает: ip nat inside source list 101 interface FastEthernet0/1.1 overload<br>Попробуй запрети в 101 -ом акцессе пакеты идущие на 10.11.0.0 0.0.255.255 а потом разреши все остальное.<br><br><br>access-list 101 deny ip 10.100.0.0 0.0.255.255 10.11.0.0 0.0.255.255<br>access-list 101 permit ip 10.100.0.0 0.0.255.255 any<br><br>access-list 103 permit ip 10.100.0.0 0.0.255.255 10.11.0.0 0.0.255.255<br><br>а вообще наверное лучше правило для интернета опустить ниже чем правило для 10.