[Cisco IOS] match-host bug

Ik heb 1 op 1 NAT (match-host) nat toegepast op een Cisco 828 router. Een stuk vd running config:

interface Ethernet0
ip address 192.168.254.104 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 500 in
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
pvc 2/32
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Dialer0
ip address 172.16.0.1 255.255.255.250
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
!
ip nat pool net-19 192.168.254.0 192.168.254.255 prefix-length 24
ip nat pool net-10 10.0.6.0 10.0.6.255 prefix-length 24 type match-host
ip nat inside source list 1 pool net-10
ip nat outside source list 1 pool net-19
!

Op zich werkt dit als ik kijk naar de IP nat translaties:

Pro Inside global Inside local Outside local Outside global
--- --- --- 192.168.254.2 192.168.254.2
--- --- --- 192.168.254.6 192.168.254.9
tcp 10.0.6.9:1152 192.168.254.9:1152 65.54.171.32:1863 65.54.171.32:1863
tcp 10.0.6.9:1160 192.168.254.9:1160 193.173.145.187:443 193.173.145.187:44
3
tcp 10.0.6.9:1161 192.168.254.9:1161 193.173.145.187:443 193.173.145.187:44
3
tcp 10.0.6.9:1191 192.168.254.9:1191 80.0.31.146:1203 80.0.31.146:1203

Alleen er is iets heel vreemds aan de hand; ik krijg vaak ip adres conflicten. Na een hoop zoekwerk zijn we erachter gekomen waarom.
Het outside global adres gaat op een gegeven moment op bepaalde ip adressen luisteren (zie hierboven), als ik bijv ping naar 192.168.254.3 dan krijg ik in 1e instantie geen response. Als ik daarna nog een keer ping krijg ik wel response en verschijnt dit ip adres ook in mijn nat transaltie tabel als outside global adres (bovenaan). Als ik dus een host op mijn LAN heb met dat ip adres, krijg ik conflicten.

Dit is getest met Cisco IOS versie 12.2 en 12.4 op verschillende routers (wel hetzelfde type).

Als ik NAT met overload toepas dan heb ik dit probleem niet , alleen in sommige situaties MOET ik NAT match-host toepassen.

Ik heb al vele forums ed afgezocht, zonder resultaat. Is er iemand met hetzelfde probleem, of iemand met een idee wat dit zou kunnen veroorzaken? (het lijkt op een bug)

Kick + toevoeging:

De arp tabel ziet er heel vreemd uit:

Internet 192.168.254.6 - 0011.5cf2.4080 ARPA Ethernet0
Internet 192.168.254.7 - 0011.5cf2.4080 ARPA Ethernet0
Internet 192.168.254.4 - 0011.5cf2.4080 ARPA Ethernet0
Internet 192.168.254.5 - 0011.5cf2.4080 ARPA Ethernet0
Internet 192.168.254.2 - 0011.5cf2.4080 ARPA Ethernet0
Internet 192.168.254.3 - 0011.5cf2.4080 ARPA Ethernet0

Dit zijn allen lokale adressen die aan de E0 interface hangen . dit zijn dus ook precies de IP adressen die pingbaar zijn (ook als alle kabels uit de router worden getrokken). Zodra een werkstation 1 van die ip adressen toegewezen krijgt krijg je dus ip conflicten. Bij een andere router (Zelfde type/config etc), is deze lijst nog VELE malen langer (bijna alle private adressen in dat subnet hangen aan de E0 interface )

Niemand die enig idee heeft? Ik kan moeilijk bij Cisco terecht nl.

Meester_J schreef op vrijdag 26 mei 2006 @ 16:37:
je zegt dat je problemen krijgt zodra je één van de statisch gedefinieerde NAT ip's wordt toegewezen.
Dan haal je die adressen toch uit de dhcp pool.....

edit: Ik heb even het match-host verhaal doorgelezen, maar dit is volgens mij alleen nodig als je het host-adres (laatste byte bijvoorbeeld) gelijk wilt houden aan de wan, en de lan zijde.

Kun je in geval van problemen niet beter eerst een static nat proberen?

static nat is geen oplossing voor mij (250 hosten definiere ). Adressen uit DHCP heeft ook geen nut, want dan worden er gewoon andere ip adressen gekoppeld aan E0 (outside global) = ip conflicten.

Het probleem doet zich alleen voor bij match-host NAT!. ip adressen die gebruikt worden in mijn LAN (DHCP of static maakt niet uit), worden na verloop van tijd als outside global gezien en gekoppeld aan de E0 interface van de cisco router. Daar door krijg ik conflicten.

[ Voor 17% gewijzigd door Verwijderd op 26-05-2006 17:19 ]

FatalError schreef op vrijdag 26 mei 2006 @ 18:20:
N tijd terug had ik ook zoiets...
Probeer eens:
ip dhcp-client default-router distance 1
in plaats van
ip route 0.0.0.0 0.0.0.0 Dialer0

<update>
Hm.. nu ik toch wat beter lees heb je volgens mij n ander probleem dan ik toen

Ik heb dit probleem nu bij meerdere typen routers getest, en dit komt elke keer weer voor. Ik kan over dit probleem geen concrete oplossingen vinden (behalve het gebruik van NAT met overload, alleen wordt het op die manier lastig om van buitenaf hosten binnen het betreffende netwerk te bereiken.)

Meester_J schreef op dinsdag 30 mei 2006 @ 21:46:
hoezo? je kan toch gewoon een secondary ip op je ethernet zetten.
heb je dhcp voor alles wat erom vraagt, en een public ip voor alle servers.

edit: static nat pas je niet toe op je 250 hosts, maar natuurlijk op die 10 servers.... (die wil je tenslotte bereiken, en die hosts maken niet uit)

Jep, daar heb je idd gelijk in, maar in de toekomst willen we ook losse werkstations kunnen bereiken, hiervoor is NAT match-host een uitkomst (mits het goed werkt natuurlijk). Zijn er nog andere mogelijkheden te bedenken?