О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Esr 21 fstek: snat

MES, ESR
Dit
Сообщения: 32
Зарегистрирован: 16 авг 2022 21:10
Reputation: 0

Esr 21 fstek: snat

Сообщение Dit » 03 апр 2023 16:09

Добрый день, может кто то подсказать? Можно ли настроить snat на ip адрес которого нет на l3 интерфейсе.

Схема такая: Провайдер дает pppoe и роутит туда еще 2 блока белых адресов.
Сперва стоит Cicso 2901, он поднимает ppp туннель, дальше на нем прописан маршрут к белым сетям через esr21.

Все что находится за esr имеет белый адрес, без натирования. И вот возникла необходимость сделать snat одного серого адреса.
Cisco и eltex имеют между собой /30 сетку, для маршрутов.

Накидал схему, возможно с ней будет понятнее.(На ней все примерно)

Как можно настроить snat пк (к примеру 192.168.0.2) из security zone 1 через ip адрес из security zone 2 в security zone untrusted.
Т.Е. выйти в security zone untrusted из зоны security zone 1, через ip security zone 2.
В интернет в общем выпустить, но с определенного ip из другой зоны.

Я не могу добавить nat proxy arp на gi1/0/1, так как это адрес не из этой сети. Может кто то подсказать, возможно ли это вообще?

Сейчас я настроил статический snat для этого на cisco, но хотелось бы сделать это на esr.
Вложения
123.jpg
Схема
123.jpg (77.35 КБ) 2301 просмотр

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Esr 21 fstek: snat

Сообщение Garri » 04 апр 2023 00:11

Добрый вечер !
А циска в данном случае это чья железка? Ваша или провайдера?

Dit
Сообщения: 32
Зарегистрирован: 16 авг 2022 21:10
Reputation: 0

Re: Esr 21 fstek: snat

Сообщение Dit » 04 апр 2023 00:13

наша, она только для pppoe стоит

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Esr 21 fstek: snat

Сообщение Garri » 04 апр 2023 00:20

А почему не повесили сети 2.2.2.0 и 3.3.3.0 на внутренний интерфейс/суб-интерфейс циски и туда бы их(сети) провайдер смаршрутизировал через свой же ррр. Или он так не может сделать, не спрашивали?

Dit
Сообщения: 32
Зарегистрирован: 16 авг 2022 21:10
Reputation: 0

Re: Esr 21 fstek: snat

Сообщение Dit » 04 апр 2023 00:34

Мы вообще не хотели ставить циску, но пришлось из за pppoe. В силу некоторых специфичных проблем, мы не можем эти адреса повесить на циску. До этого стоял только 1 juniper srx, все было хорошо. Но нам нужен был сертифицированный МСЭ. Посмотрели в сторону esr, он тоже zone based и т.д.
Фактически циской мы заменили pppoe провайдера на ipoe для esr.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Esr 21 fstek: snat

Сообщение Garri » 04 апр 2023 00:39

Да, с ррр это конечно беда. Не писали в ТП по этому вопросу?

Могу предложить вариант, но придется задействовать два дополнительных физических интерфейса.

Dit
Сообщения: 32
Зарегистрирован: 16 авг 2022 21:10
Reputation: 0

Re: Esr 21 fstek: snat

Сообщение Dit » 04 апр 2023 00:45

Писал, надо ждать ПО. Придется видимо оставить все так как сейчас стоит. Но блин, неужели snat можно настроить только с адресами из сети которая прописана на нужном мне интерфейсе, а с отличающейся адресацией нельзя.

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Esr 21 fstek: snat

Сообщение Garri » 04 апр 2023 01:30

Вариант с 2-я vrf.
1) Создать vrf, с именем local;
2) Поместить в vrf local интерфейс1 с сетью 192.168.0.х/24;
3) Поместить в vrf local интерфейс2 с адресом из сети 2.2.2.0 ( в этот адрес будет натиться сеть/адрес 192.168.0.х/24 );
4) В vrf-default переделать настройки сети с интерфейса3 (если он конечно на физ интерфейсе) на vlanХХХ (2.2.2.0) и подключить туда текущую сеть 2.2.2.0;
5) Выделить доп. физ. интерфейс4 настроить на нём vlanХХХ (2.2.2.0);
6) Соединить патч-кордом интерфейс2 и интерфейс4;
7) В vrf local настроить snat из 192.168.0.х/24 в выделенный адрес 2.2.2.х

Пока писал появилась идея сделать с помощью 2-х vrf и lt, без доп. интерфейсов. Завтра попробую расписать.


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя