8
NAT auf mehrere externe IPs, Cisco IOS
Hi,
ich habe hier einen Anwendungsfall, bei dem ich nicht weiter komme...
Ein Switch, ein paar APs dran, Router davor, NAT/NVI eingerichtet, alles geht. Aber jetzt kommt der Knackpunkt: das NAT hat auf dem Outside mehrere IPs, die per Overload die internen IPs natten sollen. Leider nimmt der Router aber nur die erste IP des Pools dafür. Gibt es eine Möglichkeit, hier etwas passend zu drehen, dass nicht gerade 150 User auf einer IP genattet werden?
Ein Auszug aus der Config:
Aktuell sieht es leider so aus
Danke schonmal!
ich habe hier einen Anwendungsfall, bei dem ich nicht weiter komme...
Ein Switch, ein paar APs dran, Router davor, NAT/NVI eingerichtet, alles geht. Aber jetzt kommt der Knackpunkt: das NAT hat auf dem Outside mehrere IPs, die per Overload die internen IPs natten sollen. Leider nimmt der Router aber nur die erste IP des Pools dafür. Gibt es eine Möglichkeit, hier etwas passend zu drehen, dass nicht gerade 150 User auf einer IP genattet werden?
Ein Auszug aus der Config:
interface FastEthernet0/0
description VLAN 2 NAT outside
ip address 192.168.202.6 255.255.255.0 secondary
ip address 192.168.202.7 255.255.255.0 secondary
ip address 192.168.202.8 255.255.255.0 secondary
ip address 192.168.202.9 255.255.255.0 secondary
ip address 192.168.202.10 255.255.255.0 secondary
ip address 192.168.202.11 255.255.255.0 secondary
ip address 192.168.202.12 255.255.255.0 secondary
ip address 192.168.202.13 255.255.255.0 secondary
ip address 192.168.202.14 255.255.255.0
ip nat enable
duplex auto
speed autointerface FastEthernet0/1
description VLAN 4 new NAT inside
ip address 192.168.204.1 255.255.255.0
ip nat enable
duplex auto
speed autoip nat pool ip 192.168.202.6 192.168.202.14 netmask 255.255.255.0
ip nat source list client-list pool ip overloadAktuell sieht es leider so aus
NAT Enabled interfaces:
FastEthernet0/0, FastEthernet0/1
Hits: 713272 Misses: 4570
CEF Translated packets: 346414, CEF Punted packets: 2365
Expired translations: 6596
Dynamic mappings:
-- Source [Id: 1] access-list client-list pool ip refcount 134
pool ip: netmask 255.255.255.0
start 192.168.202.6 end 192.168.202.14
type generic, total addresses 9, allocated 1 (11%), misses 0Danke schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296041
Url: https://administrator.de/contentid/296041
Printed on: April 20, 2024 at 02:04 o'clock
8 Comments
Latest comment
Was ist der tiefere Sinn der secondary IP Adressen ?? Eigentlich sind die überflüssig und vermutlich der Grund warum es nicht geht !
Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Ich kenn Cisco jetzt nicht so, aber ich kenne es von anderen Systemen so, dass man für IP-Adressen, die nur für NAT genutzt werden, auf dem Interface nichts eintragen muss.
Es kommt aber auf die Richtung an. Wenn es Destination NAT ist, kann es anders aussehen. Du betreibst hier aber Source NAT.
Ich glaub, da muss shady nochmal zum CCNP Route :-P
Es kommt aber auf die Richtung an. Wenn es Destination NAT ist, kann es anders aussehen. Du betreibst hier aber Source NAT.
Ich glaub, da muss shady nochmal zum CCNP Route :-P
von anderen Systemen so, dass man für IP-Adressen, die nur für NAT genutzt werden, auf dem Interface nichts eintragen muss.
Genau so ist es...das ist auch bei Cisco nicht anders 
Die obige Konfig sieht er aus nach "Raten im freien Fall..."
Secondary Adressen sind wie immer ein absolutes NoGo in IP Netzen und sollte man nur für Migrationszwecke temporär einsetzen.
Nuja,
die Kiste ist eh etwas sehr lahm, ist nur ein 2651XM und packt gerade 10Mbit beim NATten. Der fliegt wieder, das "Rack" wird etwas warm dadurch...
War eigentlich nur ein Test, ein WLAN im Ort hinter einer Sophos nochmal zu NATten, aber ist wohl fehlgeschlagen.
Von daher löse ich das Ding jetzt mal und reiße den Kasten wieder weg
die Kiste ist eh etwas sehr lahm, ist nur ein 2651XM und packt gerade 10Mbit beim NATten. Der fliegt wieder, das "Rack" wird etwas warm dadurch...
War eigentlich nur ein Test, ein WLAN im Ort hinter einer Sophos nochmal zu NATten, aber ist wohl fehlgeschlagen.
Von daher löse ich das Ding jetzt mal und reiße den Kasten wieder weg
Nimm einen 880er der kann das besser
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Problem wurde mit einer kleinen VM gelöst, es waren noch Ressourcen frei am Server...warum komm ich nicht erst auf die einfachste Idee?
Router in einer VM ?? Na ja ...kann man nur hoffen das du weisst was du da tust. Generell aus Sicherheitsgründen sollte man von sowas die Finger lassen, ein NoGo für einen Netzwerk Admin.
Aber deine Entscheidung....
Aber deine Entscheidung....
Ist alles intern, daher sehe ich da keine Bedenken. Zumal es auch nur ein Privathaushalt ist, nix Enterprise. Da tut man so böses nicht.
