[Cisco] met NAT/BVI en ATM Link aggregation - Netwerken

zondag 29 juli 2007 04:09

Acties:

Topicstarter

Ik heb een (redelijk) complexe situatie;

Ik heb een Cisco 2621XM Router met 1 SDSL WIC en 2 Ethernet poorten.
De Router hangt aan de ene kant (SDSL-WIC) aan internet met 16 ip adressen. Aan de andere kant hangt de router in het LAN, echter, de 2 Ethernet poorten zijn samengevoegd in een BVI om zo aan link aggregation te doen. Aan beide poorten hangt namelijk een switch, als er ooit een switch uitvalt is er niets aan de hand, want elke PC/server zit op beide switches

Deze week is er een SDSL lijn toegevoegd aan de router, er is dus een tweede SDSL-WIC bijgezet.

De configuratie is iets veranderd; Vroeger werd er gebruik gemaakt van een Dialer0 interface en PPPoA, etc. Nu wordt er gebruik gemaakt van "ip cef" en "ip load-sharing per-packet".

Mijn vraag: Hoe kan ik het LAN / PC's laten NAT' ten naar het internet ?
Vroeger stond er namelijk "ip nat outside" bij de Dialer0 interface en ik heb nu immers geen Dialer0 meer. Ik heb geprobeerd "ip nat outside" op beide ATM interfaces te zetten maar zonder succes.

Hieronder beide (uitgelklede) configuraties, de oude config en de nieuwe.

OUDE CONFIG (met 1 SDSL WIC en Dialer interface)

code:

version 12.4
!
hostname xxxxOudeConfigxxxxx
!
no aaa new-model
no ip source-route
ip cef
!
bridge irb
!
interface ATM0/0
 description The outgoing SDSL interface
 no ip address
 no atm ilmi-keepalive
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
 pvc 0 0/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0/0
 description Is part of (Virtual) Bridge Group 1 for redundancy
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface FastEthernet0/1
 description Is part of (Virtual) Bridge Group 1 for redundancy
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface Dialer0
 description Dials Bbeyond with username and password authentication
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 no peer default ip address
 ppp authentication chap pap callin
 ppp pap sent-username xxxxxxxx password 7 xxxxxxxxxxxxxxx
 ppp ipcp dns request
 ppp ipcp wins request
 hold-queue 224 in
!
interface BVI1
 description (Virtual) Bridge Group with IRB enabled (Layer3, routes between subnets). Has two Fast Ethernet Interfaces in it for redundancy
 !BELOW IS THE INTERNET IP ADDRESS (RANGE), THIS IS THE GATEWAY FOR THE DMZ. (ALL SERVERS)
 ip address 60.0.0.1 255.255.255.0 secondary
 !BELOW IS THE LAN IP ADDRESS (GATEWAY FOR THE LAN)
 ip address 192.168.0.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
!
ip nat inside source list 101 interface Dialer0 overload
access-list 101 remark The NAT Allows traffic from the LAN to be NAT'ed
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
end

NIEUWE CONFIG (2 SDSL WIC's en IP-CEF, geen DIALER meer)

code:

version 12.4
!
hostname xxxxxNieuweConfigxxxxx
!
no aaa new-model
no ip source-route
ip cef
!
bridge irb
!
interface ATM0/0
 description The outgoing SDSL interface 1
 no ip address
 no atm ilmi-keepalive
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
!
interface ATM0/0.1 point-to-point
 ip unnumbered BVI1
 ip load-sharing per-packet
 ip virtual-reassembly
 no snmp trap link-status
 pvc 0 0/35
  oam-pvc manage
 !
!
interface FastEthernet0/0
 description Is part of (Virtual) Bridge Group 1 for redundancy
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface ATM0/1
 description The outgoing SDSL interface 2
 no ip address
 no atm ilmi-keepalive
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
!
interface ATM0/1.1 point-to-point
 ip unnumbered BVI1
 ip load-sharing per-packet
 ip virtual-reassembly
 no snmp trap link-status
 pvc 0 0/35
  oam-pvc manage
 !
!
interface FastEthernet0/1
 description Is part of (Virtual) Bridge Group 1 for redundancy
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface BVI1
 description (Virtual) Bridge Group with IRB enabled (Layer3, routes between sub
nets). Has two Fast Ethernet Interfaces in it for redundancy
 !BELOW IS THE INTERNET IP ADDRESS (RANGE), THIS IS THE GATEWAY FOR THE DMZ. (ALL SERVERS)
 ip address 60.0.0.1 255.255.255.0 secondary
 !BELOW IS THE LAN IP ADDRESS (GATEWAY FOR THE LAN)
 ip address 192.168.0.254 255.255.255.0
 ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 ATM0/0.1
ip route 0.0.0.0 0.0.0.0 ATM0/1.1
!
!
ip nat inside source list 101 interface BVI1 overload
access-list 101 remark The NAT Allows traffic from the LAN to be NAT'ed
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
end

(in de nieuwe config heb ik NAT er helemaal maar even uitgehaald)

In de nieuwe config werkt NAT dus niet, ik heb verschillende dingen geprobeerd, o.a. een BVI2 aanmaken en daaraan de 2 ATM's koppelen, maar dat lukte me ook niet. Al lijkt me dit wel het idee (de beste oplossing) ?

...don't know what should be here...

zondag 29 juli 2007 09:14

Acties:

jvanhambelgium

Een 2e BVI is mischien nog geen slecht idee (heb geen idee of het mogelijk is echter...) ... 1 BVI voor de LAN kant, 1 BVI voor de WAN kant.
Met daarop de normale NAT-statements.

Wat bedoel je met "lukte me ook niet" ? Configuratie-technisch accepteerde hij dit niet of werkte de NAT niet ?

Debugging ? Heb je al een NAT debugging gedaan, zie je iets van activiteit ?
Desnoods op een rustige moment even een full-debug over netwerk naar een syslog-server ("minder" belastend dan naar console ;-)

Good Luck!

zondag 29 juli 2007 13:21

Acties:

Roel Broersma

Topicstarter

jvanhambelgium schreef op zondag 29 juli 2007 @ 09:14:
Een 2e BVI is mischien nog geen slecht idee (heb geen idee of het mogelijk is echter...) ... 1 BVI voor de LAN kant, 1 BVI voor de WAN kant.
Met daarop de normale NAT-statements.

Wat bedoel je met "lukte me ook niet" ? Configuratie-technisch accepteerde hij dit niet of werkte de NAT niet ?

Toen ik een BVI2 aanmaakte en op de twee ATM interfaces had gezet: "ip unnumbered BVI2".
Ik heb toen ook de regel:

code:

1 2	!BELOW IS THE INTERNET IP ADDRESS (RANGE), THIS IS THE GATEWAY FOR THE DMZ. (ALL SERVERS) ip address 60.0.0.1 255.255.255.0 secondary

van de BVI1 interface weggehaald en onder de BVI2 interface gezet. Ik merkte toen dat ik niet meer van het LAN naar het DMZ (de servers) kon en andersom. Blijkbaar 'praatte' de twee BVI's niet met elkaar.
Misschien kan ik wel geen tweede BVI gebruiken omdat de 2 switches met PC's en Servers (De twee subnetten) op de twee Ethernet interfaces zitten en die zitten weer aan BVI1 gekoppeld.
Zodra ik dan het DMZ ip/subnet ga koppelen aan BVI2 werkt het niet... ?

NAT debugging, klinkt intressant, had ik nog niet aan gedacht of gedaan.

...don't know what should be here...

zondag 29 juli 2007 13:55

Acties:

jvanhambelgium

Tja, debugging is nu net 1 van de meest essentiele zaken als je met zo'n configs bezig bent.
Zekers als er iets niet werkt is dat stap 1 ;-)
Stap 2 is mischien wat soortgelijke configs proberen te zoeken op CCO.

Mischien moet je ook es durven resetten na zo'n config.
In het verleden ook al meegemaakt dat er na verschillende config-updates toch effe een resetje nodig is om die zaken in orde te krijgen...
Zeker als je vb interface aanmaakt,terug wegwist, andere aanmaakt etc kan het nooit eens kwaad ;-)

Jan

zondag 29 juli 2007 14:53

Acties:

Roel Broersma

Topicstarter

Als ik "debug ip nat" of "debug ip nat detailed" doe in enable-modus, dan komt er inderdaad veel voorbij op de console.

Ik heb dus de syslog aangezet voor debugging

code:

1 2	logging trap debugging syslog x.x.x.x (log to a lan pc with Kiwi syslog daemon)

Aan mijn Cisco config heb ik het volgende toegevoegd, echter zonder succes: NAT werkt nog niet.

code:

interface ATM0/0.1 point-to-point
  ip nat outside
!
interface ATM0/1.1 point-to-point
  ip nat outside
!
interface BVI1
  ip nat inside
!
ip nat inside source list 101 interface ATM0/0.1 overload
access-list 101 permit ip 192.168.0.0 0.0.0.255 any

Ik krijg in mijn Kiwi syslog nu veelal de volgende messages:

code:

2007-07-29 14:46:40 Local7.Debug    192.168.0.254   1642: *Jul 29 11:43:28.111: NAT*: Can't create new inside entry - forced_punt_flags: 0
2007-07-29 14:46:40 Local7.Debug    192.168.0.254   1643: *Jul 29 11:43:28.115: NAT*: Can't create new inside entry - forced_punt_flags: 0
2007-07-29 14:46:40 Local7.Debug    192.168.0.254   1644: *Jul 29 11:43:28.115: NAT*: Can't create new inside entry - forced_punt_flags: 0
2007-07-29 14:46:40 Local7.Debug    192.168.0.254   1649: *Jul 29 11:43:28.123: NAT: translation failed (A), dropping packet s=192.168.0.2 d=128.63.2.53
2007-07-29 14:46:40 Local7.Debug    192.168.0.254   1650: *Jul 29 11:43:28.123: NAT: translation failed (A), dropping packet s=192.168.0.2 d=202.12.27.33

...don't know what should be here...

maandag 30 juli 2007 03:46

Acties:

Roel Broersma

Topicstarter

Ik ben eruit !

Ik heb behoorlijk zitten vogelen, en toen begreep ik dat de regel

code:

1	ip nat inside source list 101 interface ATM0/0.1 overload

niet betekend: "route al het nat verkeer naar buiten via ATM0/0.1" maar: "Gebruik als uitgaand IP de IP addressen van de ATM0/0.1 interface"

En aangezien de ATM0/0.1 interface geen IP adressen heeft omdat deze "ip unnumbered BVI1" zijn (aan de BVI1 worden toegewezen) kan je dus niet uitgaand natten.

Om het op te lossen moet ik dus de volgende twee regels gebruiken:

code:

1 2	ip nat pool MYNATPOOL 62.1.1.12 62.1.1.12 prefix-length 1 ip nat inside source list 101 pool MYNATPOOL overload

Ik begrijp alleen niet precies wat die "Prefix-length 1" doet (dan wel anders doet dan netmask)
Wanneer ik onderstaande doe werkt het namelijk niet!! ??

code:

1	ip nat pool MYNATPOOL 62.1.1.12 62.1.1.12 netmask 255.255.255.252

(255.255.255.252 is namelijk het minimale netmask dat ik kan opgeven? Anders wordt de regel niet geaccepteerd).
Ik wil namelijk maar onder 1 IP adres alle clients naar buiten hebben (NAT), niet onder meer.

...don't know what should be here...

maandag 30 juli 2007 07:21

Acties:

jvanhambelgium

prefix-lenght slaagt weer op de scope van uwe pool, in dit geval een /32 of 1 enkel IP , meer niet dacht ik.
tja, feit dat je een 255.255.255.252 als minimal netmask moet opgeven indien je de notatie zo doet begrijp ik ook niet helemaal ... toen vonden ze het prefix-statement uit ;-)

Als je uiteindelijk de nat-outside op de BVI1 zet (waarin dus atm0/0.1 en atm0/1.1 zitten) dan werkt het niet ?? Op de BVI1 staan nochtans IP's he...

Tof te horen dat het goed gekomen is !

maandag 30 juli 2007 15:21

Acties:

Roel Broersma

Topicstarter

jvanhambelgium schreef op maandag 30 juli 2007 @ 07:21:
Als je uiteindelijk de nat-outside op de BVI1 zet (waarin dus atm0/0.1 en atm0/1.1 zitten) dan werkt het niet ?? Op de BVI1 staan nochtans IP's he...

Moet ik "ip nat outside" op de BVI1 zetten ? Ik dacht juist "ip nat inside" op de BVI1 en "ip nat outside" op beide ATM interfaces (?)
Waar moet ik anders "ip nat inside" op zetten ?

...don't know what should be here...

maandag 30 juli 2007 15:55

Acties:

jvanhambelgium

jaja, de outside op de BVI met de atm-interfaces en het inside statement op de BVI met de 2 ethernet-interfaces.

Of heb je nu geen 2 BVI's meer ??

Oh ik zie het .. je BVI bevat de 2 LAN interfaces (inside) en de outside statements staan op beide ATM's afzonderlijk...

Nevermind ... it works now ;-)

maandag 30 juli 2007 21:32

Acties:

Roel Broersma

Topicstarter

Ik dacht vanmiddag nog even: "Ik moet toch ECHT maar over naar 2 verschillende BVI's. Ik merk dat je allemaal problemen krijgt als ik 1 BVI blijf gebruiken"

Ik dacht bijvoorbeeld dat je problemen zou krijgen met "ip packet inspect" (CBAC's). Je zou dan bijv. "ip packet inspect xxxx out" op zowel ATM0/0.1 en ATM0/1.1 moeten zetten, en misschien zou je dan wel problemen krijgen omdat de poort op de verkeerde ATM wordt opengezet en het pakketje terug komt via de andere ATM.

Niets is minder waar;
Je kunt gewoon "ip packet inspect xxx out" op beide ATM's zetten.
Ook IPS, TCP intercept en NAT werken allemaal op beide interfaces.

Op beide ATM interdaces staat dus ook "ip nat outside" en "ip access-group xxx in" aan!
De ATM is tenslotte je 'laatste'/uitgaande interface, dus kan hier NAT-outside op. De BVI1 is de eerste/inkomende interface (vanaf binnen gezien). Op de BVI1 zet ik dan ook "ip nat inside".

Bedankt voor je hulp!

...don't know what should be here...