Apr 21, 2016 23:27
Есть два роутера c2811 и c2911.
Картинка на обоих схожая. На внешний интерфейс прибит 79.134.xxx.aa5, но nat'им внутрь другой ip из того же диапазона.
Как-то так:
ip nat inside source static tcp 172.31.7.11 80 79.134.xxx.aa7 80 extendable
и на 2911 порт пробрасывается нормально, а на 2811 где-то застревает, хотя acl одинаковые.
Где может быть
Leave a comment
Comments 12
ping, traceroute, логирование в ACL и/или NAT в зубы и вперед. Ещё полезно отзеркалировать трафик, если есть такая возможность и проверить реальное хождение пакетов.
Reply
Reply
В любом случае, инструментарий для выяснения окончательного диагноза уже перечислен: ping, traceroute, ACL log, зеркалирование трафика.
Reply
Т.е. как только добавляю правило для nat, появляется соотв. MAC
Protocol Address Age (min) Hardware Addr Type Interface
Internet 79.134.xxx.y62 - 0023.0414.e830 ARPA FastEthernet0/0
Internet 79.134.xxx.y65 - 0023.0414.e830 ARPA FastEthernet0/0
Internet 79.134.xxx.y67 - 0023.0414.e830 ARPA FastEthernet0/0
На адрес .y65 secondary прописан на .y67 только static nat.
И ping'и снаружи на него(y67) ходят нормально.
И в acl'ки, на входе, трафик попадает.
Reply
Я в такой ситуации выкрутился так - временно повесив "натящийся" адрес на интерфейс, передернул линк, а потом вернул всё как было.
Reply
Какая последовательность действий?
Reply
Поставить на 2800 адрес y67 на интерфейс (можно даже без ната), адрес y65 убрать вообще.
Перезагрузить роутер или мигнуть линком, тем самым аплинку прислать gr.arp со своим маком на этот адрес.
Убедиться, что теперь от y67 пингается шлюз аплинка.
Вернуть на 2800 исходный конфиг, снова мигнуть линком (у аплинка пропишется верный мак и для y65).
Все.
Ну, или просто вырубить все на ночь, если такая возможность есть. У аплинка arp-кэш протухнет и все заработает штатно. Главное потом не включать 2900, а то она опять себя ему пропишет.
Reply
Reply
Leave a comment