Здравствуйте!

Почему-то нигде не нашёл упоминания, возможно ли одновременно использовать на одном рутере N-ное число NAT на разных интерфейсах в случае 802.1q маршрутизации?

Например, так:

A.B.C.0 - сетка прова с выходом в инет.
A.B.D.0 - наша сетка с AS5350, тоже смотрящая в инет.
W.X.Y.0 - сетка альтернативного прова, пакеты с которой надо транслировать в 5350.

interface FastEthernet3/0.1  //Локалка для раздачи инета клиентам
encapsulation dot1Q 1 native
ip address 10.1.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.80  //Альтернативный пров для льготного трафа
encapsulation dot1Q 80
ip address W.X.Y.134 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.89  //Основной интерфейс к провайдеру
encapsulation dot1Q 89
ip address A.B.C.210 255.255.255.240
no ip redirects
no ip unreachables
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.100  //Интерфейс для статической трансляции
encapsulation dot1Q 100
ip address A.B.D.133 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
ip http server
no ip http secure-server
ip flow-export source FastEthernet3/0.1
ip flow-export version 5
ip flow-export destination 10.1.1.11 3339
!
ip route 0.0.0.0 0.0.0.0 A.B.C.209
ip route W.X.Y.0 255.255.255.0 W.X.Y.133
!
ip nat pool VOIP_NAT W.X.Y.134 W.X.Y.134 netmask 255.255.255.248
ip nat inside source list 1 interface FastEthernet3/0.89 overload
ip nat inside source list 2 pool VOIP_NAT
ip dns server
!
access-list 1 permit 10.1.1.0 0.0.0.255
access-list 2 permit A.B.D.131 255.255.255.255

• InterVLAN рутинг, NAT: статика и динамика?,sh_, 09:42 , 31-Авг-06
  • InterVLAN рутинг, NAT: статика и динамика?,BuxpbSN, 10:06 , 31-Авг-06
    • InterVLAN рутинг, NAT: статика и динамика?,sh_, 10:40 , 31-Авг-06
      • InterVLAN рутинг, NAT: статика и динамика?,BuxpbSN, 11:38 , 31-Авг-06
        • InterVLAN рутинг, NAT: статика и динамика?,BuxpbSN, 16:20 , 02-Сен-06
          • InterVLAN рутинг, NAT: статика и динамика?,ram_scan, 10:41 , 04-Сен-06
            • InterVLAN рутинг, NAT: статика и динамика?,BuxpbSN, 10:57 , 04-Сен-06
              • InterVLAN рутинг, NAT: статика и динамика?,BuxpbSN, 07:18 , 05-Сен-06

>N-ное число NAT на разных интерфейсах в случае 802.1q маршрутизации

ЭТАКАК?

>>N-ное число NAT на разных интерфейсах в случае 802.1q маршрутизации
>
>ЭТАКАК?

Ну вот так :))

Нада дать клиентам инет через pat, это раз.

Есть N провайдеров и N присоединений к ним. Каждый даёт по IP-адресу. Задача: сливать весь трафик, направленный по адресам интерфейсов рутера c сетей этих провов на voip softswitch в сети A.B.D.128/29. Это, как я понимаю, статик nat.

Для чего? Для клиента такой трафик становится внутрисетевым  => дешевле, быстрее, связь по g729 качественней.

Вот каринка что-ли. Вверху - свои узлы, внизу - провайдеры, рутит всё 3640, что справа нарисована:

AS IS:
      A.B.D.128/29       10.1.1.0/24
_   -----|---------------|---------------------------           -----------------------
_  |              Allied Telesyn AT-8024             |-------- | 3640 Intervlan router |
_   -----|---------|---------------------------------           -----------------------
_   A.B.D.129  W.X.Y.133  

TO BE:
      A.B.D.131       10.1.1.0/24
_   -----|---------------|---------------------------           -----------------------
_  |             Allied Telesyn AT-8024              |-------- | 3640 Intervlan router |
_   -----|---------|----------|----------|--------|--           -----------------------
_   W.X.Y.133  A.B.C.209  A.B.D.129  ПровА-GW  ПровБ-GW

Можно такое сделать...

>Можно такое сделать...

У меня большие сомнения, что конфиг будет такой, какой я в первой теме чиркнул...

Тут ещё другая проблема: присоединение к прову, который выдаёт блоки A.B.C.0 и A.B.D.0 реализовано по одной физической линии (витая пара). На один подинтерфейс 3640 можно повесить только один IP, как я понимаю. В то же время, на один порт телесина можно прицепить один utagged vlan.

Вот надо бы чтобы было так:

_     A.B.D.131       10.1.1.0/24
_   -----|---------------|---------------------------           -----------------------
_  |             Allied Telesyn AT-8024              |-------- | 3640 Intervlan router |
_   -----|---------|----------|----------|-----------           -----------------------
_   W.X.Y.133      |   ПровА-GW  ПровБ-GW
_                  |
_              A.B.C.209
_              A.B.D.129
_              A.B.F.xxx

Но это, насколько я понимаю, никак не возможно... Вариант поставить на стык второй, неуправляемый коммутатор и, раскидав подсети по vlan'ам, отправлять их в него двумя шнурками, не работает...

Может есть какое-нибудь человеческое решение проблемы?

Собрали следцующую схемку:

Voip софтсвич имеет IP 192.168.1.30,
на рутере 2 ната: клиентский и для софтсвича.

Из A.B.C.132/30 прилетает трафик H.323,
через D.F.E.132/30 ходим в инет.

Building configuration
!
ip cef
!
!
no vlan accounting input
!
interface FastEthernet3/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
!
interface FastEthernet3/0.1 //локалка для клиентов за натом
encapsulation dot1Q 1 native
ip address 10.1.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.40 //локалка с софтсвичом за вторым натом
encapsulation dot1Q 40
ip address 192.168.1.50 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.80 //сюда приходят H.323 пакеты для 192.168.1.30
encapsulation dot1Q 80
ip address A.B.C.134 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
interface FastEthernet3/0.100
encapsulation dot1Q 100
ip address D.F.E.133 255.255.255.248 //смотрит в инет
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
no snmp trap link-status
!
ip http server
no ip http secure-server
ip flow-export source FastEthernet3/0.1
ip flow-export version 5
ip flow-export destination 10.1.1.11 3339
!
ip route 0.0.0.0 0.0.0.0 D.F.E.129
ip route 192.168.1.0 255.255.255.0 FastEthernet3/0.40
ip route A.B.C.0 255.255.255.0 A.B.C.133
!
ip nat inside source list 1 interface FastEthernet3/0.100 overload
ip nat inside source static 192.168.1.30 A.B.C.134
!
access-list 1 permit 10.1.1.0 0.0.0.255

Клиент через нат в инет ходить может, а аддпак с софтсвичом не дружат :(

Ткните носом в ошибку, пожалуйста!

P.S. sh ip nat trans при попытке дозвона:

Pro Inside global         Inside local          Outside local         Outside global
tcp 195.222.147.134:1720  192.168.1.30:1720     84.254.209.99:14000   84.254.209.99:14000
--- 195.222.147.134       192.168.1.30          ---                   ---

>Собрали следцующую схемку:

h323 в общем случае не будет натиться без 1) портмапа и 2) тюнинга аддпака на предмет суппорта ната и минимайз-воип портс.

>>Собрали следцующую схемку:
>
>h323 в общем случае не будет натиться без 1) портмапа и 2)
>тюнинга аддпака на предмет суппорта ната и минимайз-воип портс.

Спасибо. А можно пример портмапа?

Даже при minimize-voip-ports в аддпаке там остаётся диапазон udp 16000-17000...

Может, eACL как-то поможет?

Мне пока в голову приходит только что-то такое:
ip nat source static udp A.B.C.D 10000 E.F.G.H 10000
ip nat source static udp A.B.C.D 10001 E.F.G.H 10001
and so on...

Это, мягко говоря, глупо.

Ну хоть бы полпримерчика... Я в тупике (т.е. безбожно туплю).