shadynet
12.02.2016, aktualisiert am 14.02.2016
view2205
view8
0
Goto Top

NAT auf mehrere externe IPs, Cisco IOS

gelöstFrageNetzwerkeLAN, WAN, Wireless
Hi,

ich habe hier einen Anwendungsfall, bei dem ich nicht weiter komme...
Ein Switch, ein paar APs dran, Router davor, NAT/NVI eingerichtet, alles geht. Aber jetzt kommt der Knackpunkt: das NAT hat auf dem Outside mehrere IPs, die per Overload die internen IPs natten sollen. Leider nimmt der Router aber nur die erste IP des Pools dafür. Gibt es eine Möglichkeit, hier etwas passend zu drehen, dass nicht gerade 150 User auf einer IP genattet werden?

Ein Auszug aus der Config:

interface FastEthernet0/0
 description VLAN 2 NAT outside
 ip address 192.168.202.6 255.255.255.0 secondary
 ip address 192.168.202.7 255.255.255.0 secondary
 ip address 192.168.202.8 255.255.255.0 secondary
 ip address 192.168.202.9 255.255.255.0 secondary
 ip address 192.168.202.10 255.255.255.0 secondary
 ip address 192.168.202.11 255.255.255.0 secondary
 ip address 192.168.202.12 255.255.255.0 secondary
 ip address 192.168.202.13 255.255.255.0 secondary
 ip address 192.168.202.14 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
interface FastEthernet0/1
 description VLAN 4 new NAT inside
 ip address 192.168.204.1 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
ip nat pool ip 192.168.202.6 192.168.202.14 netmask 255.255.255.0
ip nat source list client-list pool ip overload

Aktuell sieht es leider so aus
NAT Enabled interfaces:
  FastEthernet0/0, FastEthernet0/1
Hits: 713272  Misses: 4570
CEF Translated packets: 346414, CEF Punted packets: 2365
Expired translations: 6596
Dynamic mappings:
-- Source [Id: 1] access-list client-list pool ip refcount 134
 pool ip: netmask 255.255.255.0
        start 192.168.202.6 end 192.168.202.14
        type generic, total addresses 9, allocated 1 (11%), misses 0

Danke schonmal!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 296041

Url: https://administrator.de/contentid/296041

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
Lösung aqui 12.02.2016, aktualisiert am 14.02.2016 um 09:06:53 Uhr
Goto Top
Was ist der tiefere Sinn der secondary IP Adressen ?? Eigentlich sind die überflüssig und vermutlich der Grund warum es nicht geht !
Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
tikayevent
Lösung tikayevent 12.02.2016, aktualisiert am 14.02.2016 um 09:06:52 Uhr
Goto Top
Ich kenn Cisco jetzt nicht so, aber ich kenne es von anderen Systemen so, dass man für IP-Adressen, die nur für NAT genutzt werden, auf dem Interface nichts eintragen muss.

Es kommt aber auf die Richtung an. Wenn es Destination NAT ist, kann es anders aussehen. Du betreibst hier aber Source NAT.

Ich glaub, da muss shady nochmal zum CCNP Route :-P
aqui
Lösung aqui 13.02.2016, aktualisiert am 14.02.2016 um 09:06:50 Uhr
Goto Top
von anderen Systemen so, dass man für IP-Adressen, die nur für NAT genutzt werden, auf dem Interface nichts eintragen muss.
Genau so ist es...das ist auch bei Cisco nicht anders face-wink
Die obige Konfig sieht er aus nach "Raten im freien Fall..."
Secondary Adressen sind wie immer ein absolutes NoGo in IP Netzen und sollte man nur für Migrationszwecke temporär einsetzen.
shadynet
shadynet 14.02.2016 um 09:06:40 Uhr
Goto Top
Nuja,

die Kiste ist eh etwas sehr lahm, ist nur ein 2651XM und packt gerade 10Mbit beim NATten. Der fliegt wieder, das "Rack" wird etwas warm dadurch...
War eigentlich nur ein Test, ein WLAN im Ort hinter einer Sophos nochmal zu NATten, aber ist wohl fehlgeschlagen.
Von daher löse ich das Ding jetzt mal und reiße den Kasten wieder weg face-smile
aqui
aqui 15.02.2016 um 14:10:41 Uhr
Goto Top
Nimm einen 880er der kann das besser face-wink
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
shadynet
shadynet 15.02.2016 um 20:13:27 Uhr
Goto Top
Problem wurde mit einer kleinen VM gelöst, es waren noch Ressourcen frei am Server...warum komm ich nicht erst auf die einfachste Idee?
aqui
aqui 15.02.2016 um 20:16:18 Uhr
Goto Top
Router in einer VM ?? Na ja ...kann man nur hoffen das du weisst was du da tust. Generell aus Sicherheitsgründen sollte man von sowas die Finger lassen, ein NoGo für einen Netzwerk Admin.
Aber deine Entscheidung....
shadynet
shadynet 16.02.2016 um 11:52:02 Uhr
Goto Top
Ist alles intern, daher sehe ich da keine Bedenken. Zumal es auch nur ein Privathaushalt ist, nix Enterprise. Da tut man so böses nicht.
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von shadynetshadynetCisco WLC, kein DHCP auf WLANshadynet - 4 KommentareshadynetDNS-Registrierung bei VPN-Verbindung für private IP vom DSL-Router verhindernshadynet - 3 KommentareshadynetSekundärer DNS wird bei Ausfall von primärem ignoriertshadynet - 4 KommentareshadynetWSUS-Konfiguration geht verlorenshadynet - 1 Kommentar
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare