Исходное сообщение
"nat на cisco layer-3 switch" Отправлено onion, 16-Янв-10 13:17
Имеется свитч 3-го уровня (6500) с кучей вланов и гигабитных и 10-ти гигабитных портов, объединенных во vlan'ы. на нем же подняты влан-интерфейсы с ip адресами и аксес-листами: interface vlan108 ip address 2.2.2.1 255.255.255.0 interface vlan109 ip address 2.2.3.1 255.255.255.0 и т.д Один из интерфейсов смотрит в провайдера: interface TenGigabitEthernet10/4 ip address 1.1.1.1 255.255.255.252 На этот свитч зароучено несколько реальных сетей статически, условно говоря это 2.2.2.0/24 и 2.2.3.0/24 Возникла необходимость на один из серверов(2.2.3.100) в 109м влане сделать проброс порта из 2.2.2.0 сети. сконфигурировал это следующим образом: interface vlan108 ip address 2.2.2.1 255.255.255.0 ip address 2.2.2.3 255.255.255.0 secondary ip nat outside interface vlan109 ip address 2.2.3.1 255.255.255.0 ip nat inside ip nat inside source static tcp 2.2.3.100 80 2.2.2.3 80 extendable вроде бы всё сделал правильно, но адреса почему-то не транслируются. на все tcp пакеты с флагом SYN, приходящие извне на 2.2.2.3:80 циска отвечает RST и соединение сбрасывается. в show ip nat translation пустота. 2.2.2.3 и 2.2.2.1 при этом извне пингаются. если же пытаться инициировать соединения с самой циски: rp6000# telnet 2.2.2.3 80 то в sh ip nat translation появляется запись трансляции, пакет до сервера доходит, и сервер на него отвечает, но циска почему-то сразу же шлет RST после первого пришедшего с сервера пакета. аксесс листы с этих вланов временно убрал. где может быть затык? у меня только одно подозрение, что может надо было NAT-адрес вешать на TenGigabitEthernet10/4 и определять его как ip nat outside, а не на какой-то один из вланов, куда пакет уже попал пройдя 10гигабитный интерфейс, но даже если и так, как мне организовать nat правильно между вланами, не трогая внешний интерфейс? возможно ли это? делал всё по этой доке: http://www.cisco.com/en/US/products/hw/switches/ps708/produc...