Új hozzászólás Aktív témák

• #5049 crok Topikgazda jerry311 #5046

  Új Válasz 2013-11-16 00:34:59 #5049

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  crok

  Topikgazda

  válasz jerry311 #5046 üzenetére

  Azt hiszem tudom miért kérdezi kristofkax a proxy-arpot:
  20.20.20.230 outside címet 192.168.1.72-re, egy inside
  címre NATolod a leírtak szerint. Így amikor a destination
  válaszolni fog a routeren már nem fog átmenni a csomag,
  mivel a destination (a \b(10\.){3}([34])\b|(12[56]\b) hostoktól)
  úgy kapott csomagot, hogy a source 192.168.1.72, egy
  a routered inside interface-e utáni eszköz volt, pedig nem,
  egy outside interface mögötti volt, a válasz a routerig el se
  fog jutni ("aszimmetrikus" a routing). A statikus utak is ezt
  írják le: a VRF-ben csak egy 0.0.0.0 utad van, ami a routerről
  egy másikra mutat valamint a globális routing táblában egy
  IP-re egy statikus út, az outside felőli IP-je a hostodnak.

  Nem tiszta mit mire és miért szeretnél cserélni. Mi a cél?

  Ha 20.20.20.230 el akarja érni \b(10\.){3}([34])\b|(12[56]\b)
  hostok valamelyikét akkor mindig, kivétel nélkül cserélje le:
  a, 20.20.20.230-at 192.168.1.72-re?
  b, Az ACL alapján:
  talán az inside/outside fel van cserélve?
  (Miért NONAT a neve? Akkor most NAT vagy negált NAT lista?)
  \b(10\.){3}([34])\b|(12[56]\b) most akkor inside vagy outside
  oldalon van? Statikus utak alapján nem derül ki, ám..

  ip access-list extended NONAT
  permit ip host 10.10.10.3 host 20.20.20.230
  permit ip host 10.10.10.4 host 20.20.20.230
  permit ip host 10.10.10.125 host 20.20.20.230
  permit ip host 10.10.10.126 host 20.20.20.230

  route-map NAT-MAP permit 10
  match ip address NONAT

  ..szerint outside felől:
  - ha source \b(10\.){3}([34])\b|(12[56]\b)
  - és destination 20.20.20.230 akkor

  ip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559

  alapján outside felől a source \b(10\.){3}([34])\b|(12[56]\b)
  cserélődik le 192.168.1.72-re (?), ami meg inside interface
  directly connected cím - akkor arra a válasz sose fog még
  a routerig se eljutni. Kivéve ha van proxy-arp. Késő van,
  lehet nem fog az agyam, de egy rajz is sokat segítene:
  mi melyik oldalon van és mit mire szeretnél cserélni?
  A routing-ot megcsinálni utána már nem olyan nagy ügy.
  Bizos pofonegyszerű a felállás és túlbonyolítom, pedig
  alapelvem az Occam borotváját használni..

• #5047 kristofkax csendes tag jerry311 #5046

  Új Válasz 2013-11-15 23:47:49 #5047

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  kristofkax

  csendes tag

  válasz jerry311 #5046 üzenetére

  proxy-arp: azért merült fel mert nem látok next hop ip-t de és egy broadcast domainre mutat a static út és nincs next-hop ip

  Nem kell diagram csak egyszerűen nem értem, hogy hogy az a statikus út benne van a globál táblába és mutat egy olyan interfészre ami nem is létezik abban a vrf-ben.

  A problémáddal kapcs.: a show access-list NONAT mit mutat?

Új hozzászólás Aktív témák