Внешний пул адресов отличный от адреса подключения

Собственно ситуация такая. Имеется подключение к вышестоящему магистральному провайдеру интернетов: 85.YY.XX.72/30, также имеется выделенные пул адресов 85.YY.ZZ.0/24, который не совпадает с сетью подключения.

Я делал следующее (Cisco 3945, IOS 15.1).
В сторону провайдера смотрит:
Скрытый текст
!
interface GigabitEthernet0/1
 description === Internet ===
 ip address 85.YY.XX.73 255.255.255.252
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no cdp enable
!


В сторону клиентов смотрят основной интерфейс и два VLAN:
Скрытый текст
!
interface GigabitEthernet0/0
 description === LAN ===
 ip address 172.16.0.10 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.2
 encapsulation dot1Q 2
 ip address 10.1.0.10 255.255.0.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
!
interface GigabitEthernet0/0.3
 encapsulation dot1Q 3
 ip address 10.2.0.10 255.255.0.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
!


Сейчас NAT настроен так:
Скрытый текст
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 85.YY.XX.74
!
ip access-list extended NAT
 permit ip 172.16.0.0 0.0.0.255 any
 permit ip 10.1.0.0 0.0.255.255 any
 permit ip 10.2.0.0 0.0.255.255 any


Все работает через один внешний IP.

Я хочу повесить каждый из внутренних VLAN на свой внешний IP из пула выделенного провайдером.
Делаю так (пока только для VLAN2):
Скрытый текст
ip nat pool vlan2 85.YY.ZZ.02 85.YY.ZZ.254 prefix-length 24
ip nat inside source list NAT1 pool vlan2 overload
!
ip access-list extended NAT1
 permit ip 10.1.0.0 0.0.255.255 any


Из списка acl NAT естественно удаляю:
Скрытый текст
permit ip 10.1.0.0 0.0.255.255 any


И ничего не работает.

Также я пробовал поднять виртуальный интерфейс:
Скрытый текст
!
interface GigabitEthernet0/1.2
 encapsulation dot1Q 6
 ip address 85.YY.ZZ.01 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!


Никаких положительных изменений.

Есть еще подозрение, что провайдер не прописал у себя роутинг:
Скрытый текст
ip route 85.YY.ZZ.0 255.255.255.0 85.YY.XX.73


Хотя в сопроводительных документах полученных от него это заявлено.
Завтра буду звонить и узнавать не забыли ли они прописать у себя выше обозначенный роутинг.

Собственно вопрос — что я сделал не так. Гугление и курение мануалов не дало другой пищи для размышлений. Единственное отличие во всех изученных примерах сеть подключения и пул адресов находятся в одной подсети, а у меня они отличаются. Помогите люди добрые.
  • Вопрос задан
  • 4271 просмотр
Решения вопроса 1
paralon
@paralon
Вот так:
interface GigabitEthernet0/1.2
 encapsulation dot1Q 6
 ip address 85.YY.ZZ.01 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
!

делать точно не надо. Так как, не думаю, что провайдер у себя включил dot1q.

Действительно, необходимо проверить, сделан ли в вашу строну роутинг вашей /24 подсети. Проведите как минимум трасировку до адреса 85.YY.ZZ.01 ИЗВНЕ вашей сети, и сравните с трассировкой до адреса 85.YY.XX.73

Если на первый взгляд всё ок (пакеты ходят по одинаковому пути), смотрите что показывает sh ip nat tr при попытке выхода из второго влана в Интернет, отрабатывает ли PAT в принципе
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Mario_Z Автор вопроса
Да, настройки правильные. Я сам и есть сисадмин маленького провайдера.

Я извиняюсь за свою неграмотность в терминологии, но что подразумевает фраза «просто secondary у себя включил»?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы