Два ната параллельно

Valentin Davydov написал(а) к All в Feb 15 14:38:15 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

Есть три интерфейса, один внтуренний (в терминологии цискиного ip nat)
192.168.0.1/24 и два внешних 172.16.0.2/24 и A.B.C.D/24. В каждой из
внешних сетей есть свой default route (172.16.0.1 и A.B.C.1 соответственно).
Требуется трафик из внутренней сети на определённые хосты натить
через 172.16.0.2, а весь остальной - через A.B.C.D. Ну и, разумеется,
чтобы после каждого ната весь нелокальный трафик шёл через соответствующий
default route.

Правильно ли я понимаю, что достаточно прописать соответствующие static
routes, а про нат просто сказать ip nat inside на один интерфейс
и ip nat outside на два других?

А как быть, если на определённые хосты надо натить только tcp трафик с
определёнными портами назначения?

Вал. Дав.

P.S. Циска 39-какая-то, если важно.
--- ifmail v.2.15dev5.4

Denis Ognewsky написал(а) к All в Feb 15 16:44:39 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Valentin Davydov.
On 09.02.15 16:38 you wrote:

> Есть три интерфейса, один внтуренний (в терминологии цискиного ip
> nat) 192.168.0.1/24 и два внешних 172.16.0.2/24 и A.B.C.D/24. В
> каждой из внешних сетей есть свой default route (172.16.0.1 и
> A.B.C.1 соответственно). Требуется трафик из внутренней сети на
> определённые хосты натить через 172.16.0.2, а весь остальной - через
> A.B.C.D. Ну и, разумеется, чтобы после каждого ната весь нелокальный
> трафик шёл через соответствующий default route. Правильно ли я
> понимаю, что достаточно прописать соответствующие static routes, а
> про нат просто сказать ip nat inside на один интерфейс и ip nat
> outside на два других? А как быть, если на определённые хосты надо
> натить только tcp трафик с определёнными портами назначения?

cisco pbr
за одно стоит стоит применить ip sla для резервирования


--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.10.1 (Android; Google Android; rv:1) Нotdoged/1412747058000 НotdogEd/2.10.1

Valentin Davydov написал(а) к Denis Ognewsky в Mar 15 17:09:18 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>
> Date: Mon, 09 Feb 2015 16:44:39 +0300
>
> > А как быть, если на определённые хосты надо
> > натить только tcp трафик с определёнными портами назначения?
>
>cisco pbr

Спасибо, заработало. Правда, это оказалось не столько pbr, сколько
extended acl.

Теперь следующий вопрос: есть два интерфейса, эзернет Gi0/2 и dot1Q
влан Gi0/3.100. Надо их забриджевать так, чтобы клиенты, подключённые
к влану, могли получать адреса от dhcp-сервера, подключённого к Gi0/2.
Я сделал так:

bridge 1 protocol ieee
interface Gi0/2 bridge-group 1
interface Gi0/3.100 bridge-group 1

А оно не заработало. Т.е. бродкасты, прилетающие из сотого влана,
не вылазят из Gi0/2. Чего я ещё забыл сделать?

Вал. Дав.

P.S. По show bridge 1 почему-то показывается только Gi0/2, хотя попытка
изменить stp protocol приводит к ругани о том, что у вас, дескать, в
брижде есть влан, который только ieee поддерживают.
--- ifmail v.2.15dev5.4

Ivan Levchenko написал(а) к Valentin Davydov в Mar 15 18:51:20 по местному времени:

Привет, Valentin!

Ответ на сообщение Valentin Davydov (2:5020/400) к Denis Ognewsky, написанное 12 мар 15 в 17:09:

!
bridge irb
!
interface Gi0/3.100
no ip address
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
!
interface Gi0/2
no ip address
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 192.168.100.1 255.255.255.128
ip virtual-reassembly
!

таким способом у меня весь трафик прозрачно через порты роутера коммутируется
С уважением - Ivan
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Denis Ognewsky написал(а) к All в Mar 15 02:37:31 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Valentin Davydov.
On 12.03.15 19:09 you wrote:

>> > А как быть, если на определённые хосты надо > натить только tcp
>> трафик с определёнными портами назначения? cisco pbr
> Спасибо, заработало. Правда, это оказалось не столько pbr, сколько
> extended acl. Теперь следующий вопрос: есть два интерфейса, эзернет
> Gi0/2 и dot1Q влан Gi0/3.100. Надо их забриджевать так, чтобы
> клиенты, подключённые к влану, могли получать адреса от
> dhcp-сервера, подключённого к Gi0/2. Я сделал так: bridge 1 protocol
> ieee interface Gi0/2 bridge-group 1 interface Gi0/3.100 bridge-group
> 1 А оно не заработало. Т.е. бродкасты, прилетающие из сотого влана,
> не вылазят из Gi0/2. Чего я ещё забыл сделать?

proxyarp на влане ?

> P.S. По show bridge 1 почему-то показывается только Gi0/2, хотя
> попытка изменить stp protocol приводит к ругани о том, что у вас,
> дескать, в брижде есть влан, который только ieee поддерживают.

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.10.1 (Android; Google Android; rv:1) Нotdoged/1412747058000 НotdogEd/2.10.1