vlan e nat
Inviato: ven 14 apr , 2006 7:58 pm
Salve a tutti .
dunqe ho un router 2621 ove è configurato il Nat in overloading , al router è poi attaccato uno switch 2950-12 in cui sono settate due vlan, quella di default e la vlan 2(prova) .
ho settato quindi sul router il trunking 802.1q per far comunicare le due vlan e fin qui tutto bene .
il problema si presenta quando dagli host nella vlan 2 cerco di accedere ad internet , pensavo fosse solo un problema di access list pero anche modificando opprtunamente l'access list non sono riuscito a far uscire su internet i pc della vlan 2 .
mi date una mano per favore ?
vi posto per completezza le configurazioni dello switch e del router .
conf router cisco 2621
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2621
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$BM8W$sLBWuDXmMhJaIYhQzSNk01
!
no aaa new-model
ip subnet-zero
ip cef
!
no ip domain lookup
ip name-server 213.156.xx.xx
ip name-server 213.156.xx.xx
!
ip audit po max-events 100
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface FastEthernet0/0.1
encapsulation dot1Q 2
ip address 172.16.1.254 255.255.255.0
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
ip address 23.243.115.xxx 255.255.248.0
ip access-group CONF1 in
ip nat outside
speed auto
half-duplex
!
ip nat pool ovrld-nat 23.243.115.1.xx 23.243.115.1xx netmask 255.255.248.0
ip nat inside source list 2 pool ovrld-nat overload
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 23.243.11x.x
!
ip access-list extended CONF1
permit icmp any any echo
permit icmp any any echo-reply
deny tcp any any eq 2000
deny tcp any any eq 2049
deny udp any any eq 2049
deny tcp any any range 6000 6010
permit tcp any any gt 1023
permit udp any any gt 1023
access-list 2 permit 172.16.0.0 0.0.1.255
no cdp run
!
banner motd ^C
ciao come va oggi,spero bene io sono sempre qui
a processare pacchetti giorno e notte .......
non ne posso piu !!!^C
!
line con 0
line aux 0
password cisco
login
line vty 0 4
access-class 2 in
exec-timeout 0 0
password cisco
login
!
end
conf cisco 2950.
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cisco2950
!
enable secret 5 $1$VBKR$DTUQ0vXqHQEjdBaorkF9i.
!
ip subnet-zero
no ip domain-lookup
vtp domain GENFIT
vtp mode transparent
!
vlan 2
name prova
!
vlan 10
state suspend
!
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport mode access
no ip address
!
interface FastEthernet0/8
switchport mode trunk (questa è l'interfaccia che si attacca al router )
no ip address
!
interface FastEthernet0/9
switchport access vlan 2
switchport mode dynamic auto
no ip address
!
!
interface FastEthernet0/12
switchport access vlan 2
no ip address
!
interface Vlan1
ip address 172.16.0.253 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 172.16.1.253 255.255.255.0
no ip route-cache
shutdown
!
ip http server
!
!
line con 0
line vty 0 4
exec-timeout 0 0
password cisco
login
line vty 5 12
exec-timeout 0 0
password cisco
login
line vty 13 15
login
!
end
ho tagliato per brevità la conf di alcune interfaccie che non sono attive .
secondo voi ho sbagliato qualcosa nella conf, l'interfaccia fa 0/8 è configurata correttamente ?.
vi ringrazio in anticipo per le vostre risposte .
Saluti
kobaiachi.
dunqe ho un router 2621 ove è configurato il Nat in overloading , al router è poi attaccato uno switch 2950-12 in cui sono settate due vlan, quella di default e la vlan 2(prova) .
ho settato quindi sul router il trunking 802.1q per far comunicare le due vlan e fin qui tutto bene .
il problema si presenta quando dagli host nella vlan 2 cerco di accedere ad internet , pensavo fosse solo un problema di access list pero anche modificando opprtunamente l'access list non sono riuscito a far uscire su internet i pc della vlan 2 .
mi date una mano per favore ?
vi posto per completezza le configurazioni dello switch e del router .
conf router cisco 2621
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2621
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$BM8W$sLBWuDXmMhJaIYhQzSNk01
!
no aaa new-model
ip subnet-zero
ip cef
!
no ip domain lookup
ip name-server 213.156.xx.xx
ip name-server 213.156.xx.xx
!
ip audit po max-events 100
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface FastEthernet0/0.1
encapsulation dot1Q 2
ip address 172.16.1.254 255.255.255.0
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
ip address 23.243.115.xxx 255.255.248.0
ip access-group CONF1 in
ip nat outside
speed auto
half-duplex
!
ip nat pool ovrld-nat 23.243.115.1.xx 23.243.115.1xx netmask 255.255.248.0
ip nat inside source list 2 pool ovrld-nat overload
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 23.243.11x.x
!
ip access-list extended CONF1
permit icmp any any echo
permit icmp any any echo-reply
deny tcp any any eq 2000
deny tcp any any eq 2049
deny udp any any eq 2049
deny tcp any any range 6000 6010
permit tcp any any gt 1023
permit udp any any gt 1023
access-list 2 permit 172.16.0.0 0.0.1.255
no cdp run
!
banner motd ^C
ciao come va oggi,spero bene io sono sempre qui
a processare pacchetti giorno e notte .......
non ne posso piu !!!^C
!
line con 0
line aux 0
password cisco
login
line vty 0 4
access-class 2 in
exec-timeout 0 0
password cisco
login
!
end
conf cisco 2950.
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cisco2950
!
enable secret 5 $1$VBKR$DTUQ0vXqHQEjdBaorkF9i.
!
ip subnet-zero
no ip domain-lookup
vtp domain GENFIT
vtp mode transparent
!
vlan 2
name prova
!
vlan 10
state suspend
!
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport mode access
no ip address
!
interface FastEthernet0/8
switchport mode trunk (questa è l'interfaccia che si attacca al router )
no ip address
!
interface FastEthernet0/9
switchport access vlan 2
switchport mode dynamic auto
no ip address
!
!
interface FastEthernet0/12
switchport access vlan 2
no ip address
!
interface Vlan1
ip address 172.16.0.253 255.255.255.0
no ip route-cache
!
interface Vlan2
ip address 172.16.1.253 255.255.255.0
no ip route-cache
shutdown
!
ip http server
!
!
line con 0
line vty 0 4
exec-timeout 0 0
password cisco
login
line vty 5 12
exec-timeout 0 0
password cisco
login
line vty 13 15
login
!
end
ho tagliato per brevità la conf di alcune interfaccie che non sono attive .
secondo voi ho sbagliato qualcosa nella conf, l'interfaccia fa 0/8 è configurata correttamente ?.
vi ringrazio in anticipo per le vostre risposte .
Saluti
kobaiachi.