Configurar a sobrecarga do roteador Cisco NAT (IOS 15)

Navegue suas respostas
1

Estou tentando configurar um roteador Cisco 2901 usando o IOS 15 para executar corretamente a conversão NAT / PAT entre a LAN e a conexão com a Internet. Eu configurei o pool DHCP para a interface local, que funciona corretamente (mesmo usando um switch adicional, ponto de acesso sem fio, ...). Da mesma forma, a interface WAN é configurada para obter seu próprio IP pelo DHCP do ISP. Eu posso trabalhar nos computadores da LAN e posso acessar a internet diretamente do roteador (usando, por exemplo, os comandos ping do telnet e do roteador). O problema é que o NAT não funciona corretamente e a conexão da interface LAN (GigabitEthernet0 / 1) não atinge a interface WAN (GigabitEthernet0 / 0).

Eu segui vários guias em o assunto, mas parece que não importa o que eu faça, NAT parece não funcionar. Eu tentei tanto o interface GigabitEthernet0/0 overload NAT dentro da lista de origem quanto a lista de origem do pool NAT (sendo o IP atribuído pelo ISP atual) descrito nos guias.

Anexada é a configuração completa, esperando que alguém encontre o problema que eu perdi. 

Current configuration : 2007 bytes
!
! Last configuration change at 19:59:30 UTC Wed Jul 6 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname odin
!
boot-start-marker
boot-end-marker
!
enable secret 5 enablesecret
enable password enablepassword
!
no aaa new-model
!
!
!
!
no ipv6 cef
ip source-route
no ip routing
no ip cef
!
!
ip dhcp excluded-address 10.1.1.1 10.1.1.10
!
ip dhcp pool lan
   import all
   network 10.1.1.0 255.255.255.0
   default-router 10.1.1.1
   dns-server 8.8.8.8
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
license udi pid licensepid sn licensesn
!
!
!
redundancy
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
 !
!
interface ISM0/0
 no ip address
 no ip route-cache
 shutdown
 service-module fail-open
 no cdp enable
 !
 hold-queue 60 out
!
interface ISM0/1
 no ip address
 no ip route-cache
 shutdown
 no cdp enable
 !
!
interface GigabitEthernet0/1
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
 duplex auto
 speed auto
 no cdp enable
 !
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
!
!
!
!
snmp-server community snmp_lan RO
!
control-plane
 !
!
!
!
!
!
!
!
!
gatekeeper
 shutdown
!
!
line con 0
 exec-timeout 0 0
line aux 0
line 67
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
 flowcontrol software
line vty 0 4
 password password
 login
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
end

UPDATE 1:

Tentei especificar as regras de saída adicionando 

interface GigabitEthernet0/0
 ip access-group lan_out out
!
ip access-list extended la_out
 permit ip any any

mas sem sucesso.

Depois disso, também tentei usar pools nat e mapas de rotas, resultando em 

ip nat pool lan_np 1.2.3.135 1.2.3.135 prefix-length 24
ip nat inside source route-map natmap pool lan_np overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0 permanent
!
ip access-list extended lan_out
 permit ip any any
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 any
!
!
!
!
route-map natmap permit 10
 match ip address lan_out

Ambos com e sem qualquer combinação de ip route 0.0.0.0 0.0.0.0 e interface GigabitEthernet0/0 ou o IP do gateway padrão do ISP. Resultados em sh ip nat st de 

offblast_odin#sh ip nat st
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0, occurred 02:58:27 ago
Outside interfaces:
  GigabitEthernet0/0
Inside interfaces:
  GigabitEthernet0/1
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 2] route-map natmap pool offblast_lan_np refcount 0
 pool offblast_lan_np: netmask 255.255.255.0
        start 1.2.3.135 end 1.2.3.135
        type generic, total addresses 1, allocated 0 (0%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0

Infelizmente, nada funcionou até agora. Configuração final completa .

    
por Naltharial 06.07.2011 / 23:07

2 respostas

1

Você pode mostrar a saída de 'sh ip nat stat' e 'sh ip nat tran'?

Acho que a configuração parece correta. Você tentou aplicar uma ACL na interface externa para permitir especificamente o tráfego? 

interface GigabitEthernet0/0
 ip access-group OUTBOUND out
!
ip access-list extended OUTBOUND
 permit ip any any


aqui está um exemplo de trabalho de uma série de 1800: 

interface FastEthernet0
 description $FW_OUTSIDE$
 bandwidth 34000
 ip address 1.2.3.141 255.255.255.240
 ip access-group OUTBOUND out
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 load-interval 60
 duplex auto
 speed auto
!
interface FastEthernet1
 description $FW_INSIDE$
 bandwidth 34000
 ip address 192.168.0.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 load-interval 60
 duplex auto
 speed auto
!
ip nat pool GLOBAL_IP_POOL 1.2.3.139 1.2.3.141 prefix-length 24
ip nat inside source route-map natmap pool GLOBAL_IP_POOL overload
!
ip access-list extended natrules
 deny   ip 192.168.0.0 0.0.0.255 10.180.3.0 0.0.0.255
 permit ip 192.168.0.0 0.0.255.255 any
!
route-map natmap permit 10
 match ip address natrules

Espero que isso ajude.


Editado:

Não consigo identificar nada de estranho com a sua configuração. Como você parece não ter nenhum acesso nas tabelas de tradução, deve haver um problema na conectividade ou na configuração do cliente ou simplesmente em uma lista de acesso que nega o tráfego.

Você pode:

1) ping do roteador, certifique-se de fazê-lo a partir da interface correta, digitando:

ping 8.8.8.8 source 10.1.1.1

2) mostre as listas de acesso

show access-lists

Eu configurei três roteadores em um laboratório e configurei o rip + nat, e ele funciona exatamente como está. O roteador em questão e o roteador remoto que especificamente nega a rede interna do 'roteador em questão'.

    
por 07.07.2011 / 10:16
0

Como esta questão já recebeu mais de 1000 visualizações ( whoah ), postarei a resposta precisa: pelo que me disseram depois (depois de usar algumas das configurações postadas pelo @molo), a linha 

no ip routing

foi a culpa do NAT não funcionar corretamente (em retrospecto, bastante óbvio).

    
por 08.09.2012 / 18:02

Tags

modelos de NIC para convidados do HVM no Xen 4.0 Nível funcional rebaixado para 2008 Standard, mas ainda recebendo erro ao tentar ingressar no 2º DC