https://www.opennet.dev/openforum/vsluhforumID6/22761.html Есть 2 WAN-интерфейса<br>и есть 1 интерфейс к которому подключена локальная сеть<br>На пакетах которые выходят через Ethernet1 надо подменять ip источника:<br>ip nat inside source static 192.168.1.10 10.1.2.10<br>ip nat inside source static 192.168.1.11 10.1.2.11<br>...<br>На пакетах которые выходят через Ethernet2 надо подменять ip источника на ip интерфейса:<br>ip nat inside source list 1 interface Ethernet2 overload<br><br>Но ip nat inside source static имеет приоритет и работает на всех WAN-интерфейсах.<br>Что надо сделать, чтобы ip nat inside source static работал только для одного WAN-интерфейса?<br><br>Вот пример моего конфига:<br><br>interface Ethernet0<br> ip address 192.168.1.0 255.255.255.0<br> ip nat inside<br>!<br>interface Ethernet1<br> ip address 1.2.3.4 255.255.255.0<br> ip nat outside<br>!<br>interface Ethernet2<br> ip address 4.3.2.1 255.255.255.0<br> ip nat outside<br>!<br>ip nat inside source list 1 interface Ethernet2 overload<br>ip nat inside source static 192.168.1.10 10.1.2.10<br>ip nat inside source static 192.168.1.11 10.1.2.11<br>...<br><br>ac https://www.opennet.dev/openforum/vsluhforumID6/22761.html#9 Thu, 14 Jul 2011 11:36:27 GMT &gt; Yesss - получилось.<br>&gt; Сделал так: <br>&gt; ip nat inside source list 1 interface Ethernet2 overload <br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10 route-map nat-eth1 <br>&gt; ip nat inside source static 192.168.1.11 10.1.2.11 route-map nat-eth1 <br>&gt; ...<br>&gt; route-map nat-eth1 permit 20 <br>&gt; match interface Ethernet1 <br>&gt; Огромное всем спасибо! Очень помогли!<br>&gt; Может ещё по route-map что-то толковое посоветуете почитать?<br><br>Вчера все работало, а сегодня все стала натить строчка<br>ip nat inside source list 1 interface Ethernet2 overload<br><br>Так что на втором интерфейсе, все-таки, надо сделать так:<br>ip nat inside source route-map nat-inet interface FastEthernet2 overload<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#8 Wed, 13 Jul 2011 17:54:51 GMT &gt;&gt;&gt; ip nat inside source list 1 interface Ethernet2 overload <br>&gt;&gt;&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt;&gt; используйте extended acl <br>&gt;&gt; access-list 100 permit&#124;deny ip 192.168.1.0 0.0.0.255 ... 0.0.0.255 <br>&gt; Все ерунда в том, что ip nat inside source static срабатывает раньше, <br>&gt; так что это не поможет <br>&gt;&gt; поддерживается ли у вас конструкция <br>&gt;&gt; ip nat inside source static local-ip global-ip route-map name <br>&gt; Да - поддерживается. Сейчас буду пробовать, хотя в route-map я еще не <br>&gt; силен.<br><br>Yesss - получилось.<br>Сделал так:<br><br>ip nat inside source list 1 interface Ethernet2 overload<br>ip nat inside source static 192.168.1.10 10.1.2.10 route-map nat-eth1<br>ip nat inside source static 192.168.1.11 10.1.2.11 route-map nat-eth1<br>...<br>route-map nat-eth1 permit 20<br> match interface Ethernet1<br><br>Огромное всем спасибо! Очень помогли!<br>Может ещё по route-map что-то толковое посоветуете почитать?<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#7 Wed, 13 Jul 2011 17:21:44 GMT &gt;&gt; ip nat inside source list 1 interface Ethernet2 overload <br>&gt;&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt; используйте extended acl <br>&gt; access-list 100 permit&#124;deny ip 192.168.1.0 0.0.0.255 ... 0.0.0.255 <br><br>Все ерунда в том, что ip nat inside source static срабатывает раньше, так что это не поможет<br><br>&gt; поддерживается ли у вас конструкция <br>&gt; ip nat inside source static local-ip global-ip route-map name <br><br>Да - поддерживается. Сейчас буду пробовать, хотя в route-map я еще не силен.<br><br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#6 Wed, 13 Jul 2011 17:16:14 GMT &gt;[оверквотинг удален]<br>&gt; ip nat inside source route-map nat-inet interface FastEthernet2 overload <br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt; !<br>&gt; ip access-list extended nat-inet <br>&gt; permit ip 192.168.1.0 0.0.0.255 any <br>&gt; !<br>&gt; route-map nat-inet permit 10 <br>&gt; match ip address nat-inet <br>&gt; match interface FastEthernet2 <br>&gt; !<br><br>Что-то в этом есть, но так тоже не работает<br>Похоже что ip nat inside source static 192.168.1.10 10.1.2.10<br>имеет приоритет перед<br>ip nat inside source route-map nat-inet interface FastEthernet2 overload<br><br>sh ip nat translations, показывает, что с FastEthernet2 уходят пакеты с source ip 10.1.2.10, а не с ip интерфейса FastEthernet2<br><br>Если убрать ip nat inside source static 192.168.1.10 10.1.2.10, то nat на FastEthernet2 начинает работать как положено.<br><br>Сейчас буду пробовать ip nat inside source static через route-map настроить. Если получиться обязательно отпишусь.<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#5 Fri, 17 Jun 2011 16:09:37 GMT &gt; ip nat inside source list 1 interface Ethernet2 overload<br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10<br><br>используйте extended acl<br>access-list 100 permit&#124;deny ip 192.168.1.0 0.0.0.255 ... 0.0.0.255<br><br>поддерживается ли у вас конструкция<br>ip nat inside source static local-ip global-ip route-map name<br><br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#4 Thu, 16 Jun 2011 06:20:23 GMT &gt;[оверквотинг удален]<br>&gt; а Ethernet1 - локальная сеть партнеров, которые выделили мне диапазон адресов из <br>&gt; своего адресного пространства.<br>&gt; Мне надо для некоторых IP-адресов моей локальной сети делать подмену на другой <br>&gt; партнерский адрес, по принципу один определенный мой адрес соответствует одному определенному <br>&gt; партнерскому. Делаю я это так: <br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt; При этом надо, чтобы для адреса 192.168.1.10 был доступен Интернет, т.е. при <br>&gt; прохождении пакета через Ethernet2 адрес 192.168.1.10 должен подменяться на адрес интерфейса <br>&gt; Ethernet2, но вместо этого Циска делает подмену на 10.1.2.10 <br>&gt; PS: Простите, а dg - это что такое :) <br><br>dg - default gateway, может стоит почитать<br>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br>а там какие-нибудь мысли появятся.<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#3 Thu, 16 Jun 2011 06:12:44 GMT &gt;[оверквотинг удален]<br>&gt; а Ethernet1 - локальная сеть партнеров, которые выделили мне диапазон адресов из <br>&gt; своего адресного пространства.<br>&gt; Мне надо для некоторых IP-адресов моей локальной сети делать подмену на другой <br>&gt; партнерский адрес, по принципу один определенный мой адрес соответствует одному определенному <br>&gt; партнерскому. Делаю я это так: <br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt; При этом надо, чтобы для адреса 192.168.1.10 был доступен Интернет, т.е. при <br>&gt; прохождении пакета через Ethernet2 адрес 192.168.1.10 должен подменяться на адрес интерфейса <br>&gt; Ethernet2, но вместо этого Циска делает подмену на 10.1.2.10 <br>&gt; PS: Простите, а dg - это что такое :) <br><br>something like this?<br>!<br>ip nat inside source route-map nat-inet interface FastEthernet2 overload<br>ip nat inside source static 192.168.1.10 10.1.2.10<br>!<br>ip access-list extended nat-inet<br> permit ip 192.168.1.0 0.0.0.255 any<br>!<br>route-map nat-inet permit 10<br> match ip address nat-inet<br> match interface FastEthernet2<br>!<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#2 Wed, 15 Jun 2011 18:36:56 GMT &gt; Не понял, dg у вас один ведь, значит локалка натится будет только <br>&gt; через один интерфейс.<br>&gt; Поясните что вы хотите сделать.<br><br>У меня на Ethernet2 - один маршрут, пусть это будет Интернет<br>а Ethernet1 - локальная сеть партнеров, которые выделили мне диапазон адресов из своего адресного пространства.<br>Мне надо для некоторых IP-адресов моей локальной сети делать подмену на другой партнерский адрес, по принципу один определенный мой адрес соответствует одному определенному партнерскому. Делаю я это так:<br><br>ip nat inside source static 192.168.1.10 10.1.2.10<br><br>При этом надо, чтобы для адреса 192.168.1.10 был доступен Интернет, т.е. при прохождении пакета через Ethernet2 адрес 192.168.1.10 должен подменяться на адрес интерфейса Ethernet2, но вместо этого Циска делает подмену на 10.1.2.10<br><br>PS: Простите, а dg - это что такое :)<br> https://www.opennet.dev/openforum/vsluhforumID6/22761.html#1 Wed, 15 Jun 2011 14:48:10 GMT &gt;[оверквотинг удален]<br>&gt; !<br>&gt; interface Ethernet2 <br>&gt; ip address 4.3.2.1 255.255.255.0 <br>&gt; ip nat outside <br>&gt; !<br>&gt; ip nat inside source list 1 interface Ethernet2 overload <br>&gt; ip nat inside source static 192.168.1.10 10.1.2.10 <br>&gt; ip nat inside source static 192.168.1.11 10.1.2.11 <br>&gt; ...<br>&gt; access-list 1 permit 192.168.1.0 0.0.0.255 <br><br>Не понял, dg у вас один ведь, значит локалка натится будет только через один интерфейс.<br>Поясните что вы хотите сделать. <br>