Внешний пул адресов отличный от адреса подключения

Question

[Mario_Z]

Собственно ситуация такая. Имеется подключение к вышестоящему магистральному провайдеру интернетов: 85.YY.XX.72/30, также имеется выделенные пул адресов 85.YY.ZZ.0/24, который не совпадает с сетью подключения.

Я делал следующее (Cisco 3945, IOS 15.1).
В сторону провайдера смотрит:

Скрытый текст

!
interface GigabitEthernet0/1
 description === Internet ===
 ip address 85.YY.XX.73 255.255.255.252
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!

В сторону клиентов смотрят основной интерфейс и два VLAN:

Скрытый текст

!
interface GigabitEthernet0/0
 description === LAN ===
 ip address 172.16.0.10 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.2
 encapsulation dot1Q 2
 ip address 10.1.0.10 255.255.0.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
!
interface GigabitEthernet0/0.3
 encapsulation dot1Q 3
 ip address 10.2.0.10 255.255.0.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
!

Сейчас NAT настроен так:

Скрытый текст

ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 85.YY.XX.74
!
ip access-list extended NAT
 permit ip 172.16.0.0 0.0.0.255 any
 permit ip 10.1.0.0 0.0.255.255 any
 permit ip 10.2.0.0 0.0.255.255 any

Все работает через один внешний IP.

Я хочу повесить каждый из внутренних VLAN на свой внешний IP из пула выделенного провайдером.
Делаю так (пока только для VLAN2):

Скрытый текст

ip nat pool vlan2 85.YY.ZZ.02 85.YY.ZZ.254 prefix-length 24
ip nat inside source list NAT1 pool vlan2 overload
!
ip access-list extended NAT1
 permit ip 10.1.0.0 0.0.255.255 any

Из списка acl NAT естественно удаляю:

Скрытый текст

permit ip 10.1.0.0 0.0.255.255 any

И ничего не работает.

Также я пробовал поднять виртуальный интерфейс:

Скрытый текст

!
interface GigabitEthernet0/1.2
 encapsulation dot1Q 6
 ip address 85.YY.ZZ.01 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!

Никаких положительных изменений.

Есть еще подозрение, что провайдер не прописал у себя роутинг:

Скрытый текст

ip route 85.YY.ZZ.0 255.255.255.0 85.YY.XX.73

Хотя в сопроводительных документах полученных от него это заявлено.
Завтра буду звонить и узнавать не забыли ли они прописать у себя выше обозначенный роутинг.

Собственно вопрос — что я сделал не так. Гугление и курение мануалов не дало другой пищи для размышлений. Единственное отличие во всех изученных примерах сеть подключения и пул адресов находятся в одной подсети, а у меня они отличаются. Помогите люди добрые.

Comments

[Валентин]

А провайдер точно вланы отдает? Именно такие номера? Или он просто secondary у себя включил?

Answer 1

[paralon]

Вот так:

interface GigabitEthernet0/1.2
 encapsulation dot1Q 6
 ip address 85.YY.ZZ.01 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!

делать точно не надо. Так как, не думаю, что провайдер у себя включил dot1q.

Действительно, необходимо проверить, сделан ли в вашу строну роутинг вашей /24 подсети. Проведите как минимум трасировку до адреса 85.YY.ZZ.01 ИЗВНЕ вашей сети, и сравните с трассировкой до адреса 85.YY.XX.73

Если на первый взгляд всё ок (пакеты ходят по одинаковому пути), смотрите что показывает sh ip nat tr при попытке выхода из второго влана в Интернет, отрабатывает ли PAT в принципе

Comments

[Mario_Z]

Сейчас дозвонился до представителей технических служб и реакция мягко говоря удивила. Если мы не пользовались год, то они отдали этот пул кому то другому, а у них роутинг не прописан естественно. В общем такой вот сервис у одного из магистральных операторов интернетов РФии.

Answer 2

[Mario_Z]

Да, настройки правильные. Я сам и есть сисадмин маленького провайдера.

Я извиняюсь за свою неграмотность в терминологии, но что подразумевает фраза «просто secondary у себя включил»?

Comments

[Максим Мосейчук]

Видимо второй IP на порт.