URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 3386
[ Назад ]

Исходное сообщение
"NAT. Помогите!"
Отправлено Andrew , 30-Июн-03 21:02

Здравствуйте уважаемые!
Проблема возникла. Я делал следующее:
1. access-list 3 permit 100.150.200.0 0.0.0.31
2. ip nat pool my-nat 172.16.10.5 172.16.10.5 prefix 14
3. ip nat inside source list 7 pool may-nat overload
Все работало прекрасно.
Потребовалось из списка доступа высщелкнуть один адрес, скажем 100.150.200.10. Сделал следующее:
1. access-list 3 permit 100.150.200.0 0.0.0.10
access-list 3 permit 100.150.200.11 0.0.0.20
2. ip nat pool my-nat 172.16.10.5 172.16.10.5 prefix 14
3. ip nat inside source list 7 pool may-nat overload
Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не смог найти подробное объяснение маски в CISCO.
Смотрел несколько источников, везде по разному. Сделал так как я понял из доков с CISCO.COM.
Помогите разобраться!
Заранее благодарен.

Содержание

NAT. Помогите!,ВОЛКА, 00:02 , 02-Июл-03
NAT. Помогите!,ВОЛКА, 00:02 , 02-Июл-03
- NAT. Помогите!,Andrew, 08:58 , 03-Июл-03
  - NAT. Помогите!,ВОЛКА, 10:20 , 03-Июл-03
    - NAT. Помогите!,Andrew, 17:40 , 03-Июл-03
NAT. Помогите!,Вячеслав, 10:02 , 07-Июл-03
- NAT. Помогите!,Andrew, 08:49 , 14-Июл-03
  - NAT. Помогите!,Вячеслав, 10:29 , 14-Июл-03
    - NAT. Помогите!,Andrew, 17:06 , 15-Июл-03

Сообщения в этом обсуждении

"NAT. Помогите!"
Отправлено ВОЛКА , 02-Июл-03 00:02

access-list 3 deny host 100.150.200.10
access-list 3 permit 100.150.200.11 0.0.0.31

"NAT. Помогите!"
Отправлено ВОЛКА , 02-Июл-03 00:02

access-list 3 deny host 100.150.200.10
access-list 3 permit 100.150.200.0 0.0.0.31

"NAT. Помогите!"
Отправлено Andrew , 03-Июл-03 08:58

>access-list 3 deny host 100.150.200.10
>access-list 3 permit 100.150.200.0 0.0.0.31
Мысль интересная... Но я так уже делал. Не проходит. 100.150.200.10 все равно натится. Хотя... Попутно вопросик. Как удалить pool и access-list задействованные для трансляции? Мне циска пишет, что не может удалить, так как они активные. Но у меня кроме 100.150.200.10 не было включено ни одного клиента. Его я даже физически вырубал... ip nat тоже пытался убрать. Тоже самое пишет. Может у меня руки кривые?

"NAT. Помогите!"
Отправлено ВОЛКА , 03-Июл-03 10:20

clear ip nat tr *

"NAT. Помогите!"
Отправлено Andrew , 03-Июл-03 17:40

Попробовал сделать еще раз следующее:
access-list Y deny host X.X.X.10
access-list Y permit X.X.X.0 0.0.0.31
Заработало вроде. Но почему до этого не работало? Поднял свои записи, делал так и раньше и не работало. Странно...

"NAT. Помогите!"
Отправлено Вячеслав , 07-Июл-03 10:02

>Не работает!!! Понятно, что накосячил в определении списка доступа. Но я не
>смог найти подробное объяснение маски в CISCO.
Может я не прав (т.к. не гуру :) ), но маска доступа в акцесс-листах циски есть ничто иное как двоичная инверсия привычной всем нам маски. Например
255.255.255.0 = 0.0.0.255
255.255.255.255 = 0.0.0.0
255.255.255.252 = 0.0.0.3
и т.д. и подчиняется тем же самым законам что и обычные маски.
Если нуна выкусить хост или диапазон айпи, то пишем соответсвующее deny правило, а ПОТОМ разрешающее на весь диапазон, что Вы собственно и сделали. А не работало скорее всего потому, что правило deny стояло после permit и соответственно не выполнялось. В конце всех правил вообще есть неявно заданное deny any any , но это не значит что каждый акцесс
рубит адназначна весь траффик :) Акцесс листы это такая штука, в которой низя рубануть выборочно правило. Когда назревает рихтовка акцесс листа то его сначала удаляют, а потом набивают с нуля. Кому лень это делать кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее:
no access-list 101
access-list 101 permit ....
access-list 101 permit ....
access-list 101 permit ....
access-list 101 deny ....
.....
!
no access-list 102
access-list 102 permit ....
.....

"NAT. Помогите!"
Отправлено Andrew , 14-Июл-03 08:49

>Когда назревает рихтовка акцесс листа то его
>сначала удаляют, а потом набивают с нуля. Кому лень это делать
>кажный раз руками, пользуют TFTP сервер, подтягивая конфиг содержащий нечто похожее:
>
>
>no access-list 101
>access-list 101 permit ....
>access-list 101 permit ....
>access-list 101 permit ....
>access-list 101 deny ....
>.....
>!
>no access-list 102
>access-list 102 permit ....
>.....
Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list активен поэтому удалить не могу :)) И что в это случае?

"NAT. Помогите!"
Отправлено Вячеслав , 14-Июл-03 10:29

>Интересно... В смысле я уже так делал, сообщение очень простое выдается: access-list
>активен поэтому удалить не могу :)) И что в это случае?
>
Hi!
ну первое что приходит в глову :
а) временно отвинтить рихтуемый акцесс от соответсвующего интерфея
б) на нужном интерфее сказать shut, рихтануть акцесс, сказать no shut
в) забить на все и сказть reload, после чего сразу рихтовать лист :)
....
Возможно есть более правильный путь, но я не гуру, не знаю :) Я лично
с такой ситуацией пока не сталкивался, хотя у меня хватает листов и
трафф по ним неслабый...

"NAT. Помогите!"
Отправлено Andrew , 15-Июл-03 17:06

Так и у меня листов хватает. И на одном интерфейсе сидят 5 ip-адресов. Поэтому обрубить линк просто так нельзя. Делал все как в доках написано. Но... Придется грубыми методами решать этот вопрос.