/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
cisco route-map og nat
Fra : Michal


Dato : 07-09-06 15:39

Hej NG

Jeg er lidt i tvivl om det er muligt at lave denne "erstatning".

En route-map benyttes i en no-nat situation. F.eks. når der skal laves
en ipsec lan2lan tunnel, men der ikke skal nattes mellem de forskellige
192.168.0.0/16 subnet.

ip nat inside source route-map nonat interface FastEthernet0/0 overload
access-list 110 deny ip 192.168.117.0 0.0.0.255 192.168.118.0 0.0.0.255
.... flere net der ikke skal nattes til
route-map nonat permit 10
match ip address 110

Er det i sådan et scenarie ikke muligt blot at bruge en access-liste
(faktisk den samme som route-map'en bruger) til blot at matche
natningen?

ip nat inside source list 110 interface FastEthernet0/0 overload

Alle steder jeg kigger på cisco.com kan jeg kun finde ipsec eksempler
med en route-map. Ingen skriver om at man blot kan lave en selektiv
natning med en ACL. Er der noget om det, eller kan det virkelig passe?

--
Venlig Hilsen
Michal

 
 
Michal (11-09-2006)
Kommentar
Fra : Michal


Dato : 11-09-06 13:06

On 07 Sep 2006 14:39:15 GMT, Michal wrote:
> En route-map benyttes i en no-nat situation. F.eks. når der skal laves
> en ipsec lan2lan tunnel, men der ikke skal nattes mellem de forskellige
> 192.168.0.0/16 subnet.
>
> ip nat inside source route-map nonat interface FastEthernet0/0 overload
> access-list 110 deny ip 192.168.117.0 0.0.0.255 192.168.118.0 0.0.0.255
> ... flere net der ikke skal nattes til
> route-map nonat permit 10
> match ip address 110
>
> Er det i sådan et scenarie ikke muligt blot at bruge en access-liste
> (faktisk den samme som route-map'en bruger) til blot at matche
> natningen?
>
> ip nat inside source list 110 interface FastEthernet0/0 overload
>
> Alle steder jeg kigger på cisco.com kan jeg kun finde ipsec eksempler
> med en route-map. Ingen skriver om at man blot kan lave en selektiv
> natning med en ACL. Er der noget om det, eller kan det virkelig passe?

Det kan sagtens lade sig gøre. Jeg har lige testet successfuldt.

Nogen som ved hvorfor det ingen steder er skrevet det kan lade sig gøre,
og hvilke ulemper/fejl der er ved at no-natte uden route-map?

--
Venlig Hilsen
Michal

Asbjorn Hojmark (11-09-2006)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-09-06 22:28

On 07 Sep 2006 14:39:15 GMT, Michal <usenet@spamwodzinskitrap.dk>
wrote:

> Er det i sådan et scenarie ikke muligt blot at bruge en access-liste
> (faktisk den samme som route-map'en bruger) til blot at matche
> natningen?

Det gør jeg altid, både i PIXOS og IOS. Det er faktisk sjældent, man
støder på en lavet med et route-map.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste