NAT c роут-мапом

[cololo]

cisco 7000

Код: Выделить всё

Cisco Internetwork Operating System Software
IOS (tm) s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by cisco Systems, Inc.
Compiled Tue 03-Mar-09 23:43 by kellythw
Image text-base: 0x40101040, data-base: 0x42AB7AB0

ROM: System Bootstrap, Version 12.2(17r)SX5, RELEASE SOFTWARE (fc1)
BOOTLDR: s72033_rp Software (s72033_rp-IPSERVICES_WAN-M), Version 12.2(18)SXF16, RELEASE SOFTWARE (fc2)

sw1.1924.la3 uptime is 37 weeks, 1 day, 8 hours, 33 minutes
Time since sw1.1924.la3 switched to active is 37 weeks, 1 day, 8 hours, 33 minutes
System returned to ROM by  power cycle at 21:44:39 UTC Mon Jun 15 2009 (SP by power on)
System restarted at 04:34:59 UTC Tue Jun 16 2009
System image file is "sup-bootflash:s72033-ipservices_wan-mz.122-18.SXF16.bin"

cisco WS-C6513 (R7000) processor (revision 1.0) with 458720K/65536K bytes of memory.
Processor board ID SAL09274ZZ3
SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache
Last reset from s/w reset
SuperLAT software (copyright 1990 by Meridian Technology Corp).
X.25 software, Version 3.0.0.
Bridging software.
TN3270 Emulation software.
22 Virtual Ethernet/IEEE 802.3 interfaces
192 FastEthernet/IEEE 802.3 interfaces
26 Gigabit Ethernet/IEEE 802.3 interfaces
4 Ten Gigabit Ethernet/IEEE 802.3 interfaces
1917K bytes of non-volatile configuration memory.
8192K bytes of packet buffer memory.

65536K bytes of Flash internal SIMM (Sector size 512K).
Configuration register is 0x2102

есть два влана

vlan9 - внешний
vlan15 - внутренний


извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24)

возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу.
помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM

Код: Выделить всё

serverfarm TESTHOST
  nat server
  no nat client
  real 10.40.115.30
   health probe GENERIC-HTTP
   inservice
  real 10.40.115.31
   health probe GENERIC-HTTP
   inservice

и поднят HSRP

Код: Выделить всё

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt

для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15

Код: Выделить всё

interface Vlan105
ip nat outside
ip address 153.17.17.113 255.255.255.248
standby 132 ip 153.17.17.115
standby 132 priority 120
standby 132 preempt

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
ip nat inside
ip policy route-map nat15
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt


route-map nat15 permit 10
     match ip address 190
     set interface vlan105

исключил локальные сетки из роут-мапа:

Код: Выделить всё

access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255
access-list 190 permit ip 10.40.115.0 0.0.0.255 any

создал аксесс лист для ната

Код: Выделить всё

access-list 191 permit ip 10.40.115.0 0.0.0.255 any

и, собственно, сам нат:

Код: Выделить всё

ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248
ip nat inside source list 191 pool localsrvrs overload

в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются.
в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик.

причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так:

Код: Выделить всё

remote_server # tcpdump -ni eth0 host 153.17.17.115
TCP 153.17.17.115.23654 -> remote_server.80 SYN
TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK
TCP 153.17.17.115.23654 -> remote_server.80 RST

такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его.

пробовал в роутмапе вместо "set interface vlan105" ставить:

set ip next-hop 153.17.17.115
set ip default next-hop 153.17.17.115

пробовал
ip nat inside source route-map nat15 interface vlan405 overload
и
ip nat inside source route-map nat15 pool localsrvrs overload

картина ровным счетом никак не меняется.
что я сделал не так?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[cololo]

ни у кого никаких мыслей нету?

[Dirty.Eager]

ни у кого никаких мыслей нету?

А что в секции vserver?

[maga-maga]

что здесь за ххх ip address 153.x.x.x 255.255.255.192 ?
Мысли такие есть, убрать "отдельный вилан для ната", нату впринципе пофег во что транслировать в этом плане, просто возьмите кусок из сети 153.x.x.x 255.255.255.192 в оверлоад, и на все внешние интерфейсы навесте ip nat outside.
но для начала всеже ответьте на вопрос..

[cololo]

ни у кого никаких мыслей нету?

А что в секции vserver?

vserver TESTHOST
virtual 153.18.107.20 tcp www
vlan 15
serverfarm TESTGHOST backup GENERIC-SORRY
advertise
persistent rebalance
inservice

[cololo]

что здесь за ххх ip address 153.x.x.x 255.255.255.192 ?
Мысли такие есть, убрать "отдельный вилан для ната", нату впринципе пофег во что транслировать в этом плане, просто возьмите кусок из сети 153.x.x.x 255.255.255.192 в оверлоад, и на все внешние интерфейсы навесте ip nat outside.
но для начала всеже ответьте на вопрос..

153.x.x.x 255.255.255.192 это маленькая реальная сетка зароученная статиком и порезанная кусками для внутренних серверов, которым требуются реальные адреса.
и в этом же влане есть сервера которым реальные адреса не нужны, поэтому для них я сделал отдельную серую 10ю сеть, которую и нужно натить наружу.


по поводу ненужности отдельного влана это интересно, спасибо за совет, сегодня попробую в peak off, потом отпишу

[maga-maga]

эмм.. я тока счас заметила что у вас стоит на vlan15 ip nat inside, это надо тоже убрать.

[cololo]

что здесь за ххх ip address 153.x.x.x 255.255.255.192 ?
Мысли такие есть, убрать "отдельный вилан для ната", нату впринципе пофег во что транслировать в этом плане, просто возьмите кусок из сети 153.x.x.x 255.255.255.192 в оверлоад, и на все внешние интерфейсы навесте ip nat outside.
но для начала всеже ответьте на вопрос..

сделать по вашему, к сожалению, не получилось =(
как только вешаешь на любой внешний интерфейс ip nat outside, загрузка процессора сразу взлетает до 100% и консоль еле ворочается, приходится сразу нат отключать, чтобы вообще всё не сдохло. там очень серъезный трафик бегает на сервера с реальными адресами.

еще какиу-нибудь варианты есть?

кстати, а если как вариант воткнуть в этьот роутер отдельную мелкую ASA(валяется тут лишняя) и роут мапить пакеты с серых сетей не на влан, сбоку пришитый, а на эту асу, на которой уже и НАТ поднять, собственнно. такой вариант в теории можно провернуть, но будет ли он на практике работать?

[maga-maga]

если загрузка взлетела до 100, значит нат все же у вас заработал но мне кажется что ваша железка не умеет hardware-assisted nat. Сколько мегабит натить нужно?

[cololo]

интерфейсы десятигигабитные, поначалу и 100мегабит будет достаточно, но в ближайшей перспективе предполагается увеличение количества серверов и нужно будет натить гигабит минимум.

[maga-maga]

интерфейсы десятигигабитные, поначалу и 100мегабит будет достаточно, но в ближайшей перспективе предполагается увеличение количества серверов и нужно будет натить гигабит минимум.

надо посмотреть что умеет ваша железка, завтра вечером гляну и подумаю что можно сделать, а то тут где я счас нахожусь с инетом плохо
натить гигабит это уже серьезно, надо не ошибится

[cololo]

буду ждать и спасибо заранее

[maga-maga]

покажите плз sh module

[cololo]

покажите плз sh module

Код: Выделить всё

Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  2    4  SLB Application Processor Complex      WS-X6066-SLB-APC   SAD084703F3
  3   48  48-port 10/100/1000 RJ45 EtherModule   WS-X6148A-GE-TX    SAL11509ZJ8
  4   48  48 port 10/100 mb RJ45                 WS-X6348-RJ-45     SAL0739M6MX
  5   48  48 port 10/100 mb RJ45                 WS-X6348-RJ-45     SAL0734KLSE
  7    2  Supervisor Engine 720 (Active)         WS-SUP720-3B       SAL1019M8C3
  9   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX     SAD092604KN
 10    4  CEF720 4 port 10-Gigabit Ethernet      WS-X6704-10GE      SAL1222RUNZ
 12    4  CEF720 4 port 10-Gigabit Ethernet      WS-X6704-10GE      SAD0726015N
 13   16  Pure SFM-mode 16 port 1000mb GBIC      WS-X6816-GBIC      SAL09030S4D

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  2  0012.7ff6.0de8 to 0012.7ff6.0def   1.7                4.3(3)       Ok
  3  001e.7a84.07f0 to 001e.7a84.081f   1.6   8.4(1)       8.5(0.46)RFW Ok
  4  000d.ed37.a4c8 to 000d.ed37.a4f7   7.4   5.4(2)       8.5(0.46)RFW Ok
  5  000d.bdf4.b7ac to 000d.bdf4.b7db   7.4   5.4(2)       8.5(0.46)RFW Ok
  7  0015.c62f.d32c to 0015.c62f.d32f   5.2   8.5(2)       12.2(18)SXF1 Ok
  9  0013.6067.79b2 to 0013.6067.79e1   2.9   12.2(14r)S5  12.2(18)SXF1 Ok
 10  0021.5539.e4b8 to 0021.5539.e4bb   2.7   12.2(14r)S5  12.2(18)SXF1 Ok
 12  0040.0bf0.c038 to 0040.0bf0.c03b   0.304 12.2(14r)S5  12.2(18)SXF1 Ok
 13  0013.1963.0d30 to 0013.1963.0d3f   1.8   12.2(14r)S3  12.2(18)SXF1 Ok

Mod  Sub-Module                  Model              Serial       Hw     Status
---- --------------------------- ------------------ ----------- ------- -------
  7  Policy Feature Card 3       WS-F6K-PFC3B       SAL1018M4U6  2.3    Ok
  7  MSFC3 Daughterboard         WS-SUP720          SAL1019M761  2.5    Ok
  9  Distributed Forwarding Card WS-F6700-DFC3A     SAD08500D21  2.2    Ok
 10  Distributed Forwarding Card WS-F6700-DFC3A     SAL08280ATY  2.2    Ok
 12  Distributed Forwarding Card WS-F6700-DFC3A     SAD082108NA  2.2    Ok
 13  Distributed Forwarding Card WS-F6K-DFC3A       SAD0748009F  1.2    Ok

Mod  Online Diag Status
---- -------------------
  2  Pass
  3  Pass
  4  Pass
  5  Pass
  7  Pass
  9  Pass
 10  Pass
 12  Pass
 13  Pass

[maga-maga]

ого какое железо, супер
если натом занимается 720 супервизор, то он умеет хардварно это делать
попробуйте дать команду
mls ip nat netflow-frag-l4-zero
а потом включить ip nat outside на всех внешних интерфейсах снова
если загрузка будет снова под 100, посмотрите есть ли трансляции и гляньте логи, может он на что жалуется там

[cololo]

кажется всё заработало у нас, спасибо )

[maga-maga]

супер
если ожидается много трансляций, то лучше уменьшить время их хранения сразу хотябы до 30 минут, т.к. возможно начнет глючить нат.
чистить нат таблицу опасно, загрузка будет под 100, развалится роутинг и т.д.