Salve, per necessità mi ritrovo su un router serie 2800 con una interfaccia FastEthernet su cui c'è un indirizzo primario 213.x.x.x, e due secondari 192.x.x.x e 217.x.x.x.
Dovendo usare le route-map per mandare attraverso un filtro i pacchetti destinati a delle reti, mi ritrovo il problema che, se voglio contattare una macchina di 217.x.x.x da una 192.x.x.x non ci riesco se le route-map sono attive, in quanto il traffico mi esce nattato su 213.x.x.x e non mi torna.
Invece senza route-map il traffico 192.x.x.x mi viene rigirato su 217.x.x.x senza problemi.
Qualcuno mi sa indicare una possibile soluzione?
Grazie in anticipo!!!
Problema con route-map
Moderatore: Federico.Lagni
-
berni_n1
- Cisco fan
- Messaggi: 52
- Iscritto il: dom 14 ott , 2007 4:26 pm
- Località: Verona
- Contatta:
Ciao,
puoi postare la configuraziine così vediamo meglio il contesto in cui ti trovi?
Ciao!
puoi postare la configuraziine così vediamo meglio il contesto in cui ti trovi?
Questo non è un problema, gli diciamo alla route-map di non fare nat quando da sorgente 192.x.x.x cerchiamo 217.x.x.x.alcatraz79 ha scritto:Dovendo usare le route-map per mandare attraverso un filtro i pacchetti destinati a delle reti, mi ritrovo il problema che, se voglio contattare una macchina di 217.x.x.x da una 192.x.x.x non ci riesco se le route-map sono attive, in quanto il traffico mi esce nattato su 213.x.x.x e non mi torna.
Grazie in anticipo!!!
Ciao!
Impossible Is Nothing
-CCNA-
-CCNA-
-
alcatraz79
- n00b
- Messaggi: 4
- Iscritto il: mar 20 mag , 2008 7:32 pm
Ecco la conf che dovrebbe chiarire la situazione, alcune cose le ho omesse
per brevità... spero che mi saprai illuminare!!! grazie!!!
version 12.2
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
memory-size iomem 20
clock timezone GMT 1
clock summer-time summertime recurring last Sun Mar 3:00 last Sun Oct 3:00
ip subnet-zero
no ip source-route
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Tunnel0
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
interface FastEthernet0/0
description WAN/LAN
ip address 192.x.x.x 255.255.255.0 secondary
ip address 217.x.x.x 255.255.255.x secondary
ip address 213.x.x.x 255.255.255.x
ip access-group 109 in
ip accounting output-packets
ip policy route-map GrandeFratello
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface Serial0/0
no ip address
encapsulation frame-relay
ip route-cache flow
load-interval 30
no fair-queue
!
interface Serial0/0.1 point-to-point
description PuntoPunto
ip address 217.x.x.x 255.255.255.x
ip access-group 110 in
ip nat outside
no arp frame-relay
no cdp enable
frame-relay interface-dlci 50 IETF
!
ip nat inside source list 1 interface FastEthernet0/0 overload
no ip http server
ip flow-export version 5
ip flow-export destination 192.x.x.x x
ip flow-export destination 89.x.x.x x
ip classless
ip route 0.0.0.0 0.0.0.0 217.x.x.x
ip route 192.x.x.0 255.255.255.0 x.x.x.x //sulla VPN
!
!
!
no cdp run
!
route-map GrandeFratello permit 5
match ip address 123
set interface Tunnel0 //verso VPN
!
route-map GrandeFratello permit 10
match ip address 21
set ip next-hop 217.x.x.x //faccio uscire delle macchine direttamente perché non devono essere filtrate
!
route-map GrandeFratello permit 20
match ip address 122
set ip next-hop 192.x.x.x //manda al filtro
!
route-map GrandeFratello permit 25
match ip address 124
set ip next-hop x.x.x.x
! // queste due forse le potrei eliminare perché cadono nella route di default
route-map GrandeFratello permit 30
match ip address 22
set ip next-hop 217.x.x.x
!
per brevità... spero che mi saprai illuminare!!! grazie!!!
version 12.2
no service pad
service tcp-keepalives-in
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
memory-size iomem 20
clock timezone GMT 1
clock summer-time summertime recurring last Sun Mar 3:00 last Sun Oct 3:00
ip subnet-zero
no ip source-route
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Tunnel0
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
interface FastEthernet0/0
description WAN/LAN
ip address 192.x.x.x 255.255.255.0 secondary
ip address 217.x.x.x 255.255.255.x secondary
ip address 213.x.x.x 255.255.255.x
ip access-group 109 in
ip accounting output-packets
ip policy route-map GrandeFratello
ip nat inside
duplex auto
speed auto
no cdp enable
!
interface Serial0/0
no ip address
encapsulation frame-relay
ip route-cache flow
load-interval 30
no fair-queue
!
interface Serial0/0.1 point-to-point
description PuntoPunto
ip address 217.x.x.x 255.255.255.x
ip access-group 110 in
ip nat outside
no arp frame-relay
no cdp enable
frame-relay interface-dlci 50 IETF
!
ip nat inside source list 1 interface FastEthernet0/0 overload
no ip http server
ip flow-export version 5
ip flow-export destination 192.x.x.x x
ip flow-export destination 89.x.x.x x
ip classless
ip route 0.0.0.0 0.0.0.0 217.x.x.x
ip route 192.x.x.0 255.255.255.0 x.x.x.x //sulla VPN
!
!
!
no cdp run
!
route-map GrandeFratello permit 5
match ip address 123
set interface Tunnel0 //verso VPN
!
route-map GrandeFratello permit 10
match ip address 21
set ip next-hop 217.x.x.x //faccio uscire delle macchine direttamente perché non devono essere filtrate
!
route-map GrandeFratello permit 20
match ip address 122
set ip next-hop 192.x.x.x //manda al filtro
!
route-map GrandeFratello permit 25
match ip address 124
set ip next-hop x.x.x.x
! // queste due forse le potrei eliminare perché cadono nella route di default
route-map GrandeFratello permit 30
match ip address 22
set ip next-hop 217.x.x.x
!
-
berni_n1
- Cisco fan
- Messaggi: 52
- Iscritto il: dom 14 ott , 2007 4:26 pm
- Località: Verona
- Contatta:
mi faresti vedere anche le acl che la route-map utilizza per favore?
Ciao
Ciao
Impossible Is Nothing
-CCNA-
-CCNA-
-
alcatraz79
- n00b
- Messaggi: 4
- Iscritto il: mar 20 mag , 2008 7:32 pm
access-list 21 permit 192.x.x.x
access-list 122 permit ip 192.x.x.0 0.0.0.255 65.x.x.0 0.0.255.255
access-list 123 permit ip 192.x.x.0 0.0.0.255 192.x.x.0 0.0.0.255
eccole... scusami per il ritardo... ma sono stato troooooppo occupato!!!
grazie ancora!!!
access-list 122 permit ip 192.x.x.0 0.0.0.255 65.x.x.0 0.0.255.255
access-list 123 permit ip 192.x.x.0 0.0.0.255 192.x.x.0 0.0.0.255
eccole... scusami per il ritardo... ma sono stato troooooppo occupato!!!
grazie ancora!!!
-
alcatraz79
- n00b
- Messaggi: 4
- Iscritto il: mar 20 mag , 2008 7:32 pm
una cosa...
ma secondo te posso utilizzare il nat basato su route-map per risolvere il problema? Nel senso che gli ip 192.x.x.x diretti verso 217.x.x.x e 213.x.x.x non li faccio nattare? Oppure il fatto che applico le route-map implica la perdita della funzionalità presente prima, ovvero il fatto che mi venivano girati su rete interna senza nulla di eplicito?
ciao
ma secondo te posso utilizzare il nat basato su route-map per risolvere il problema? Nel senso che gli ip 192.x.x.x diretti verso 217.x.x.x e 213.x.x.x non li faccio nattare? Oppure il fatto che applico le route-map implica la perdita della funzionalità presente prima, ovvero il fatto che mi venivano girati su rete interna senza nulla di eplicito?
ciao
