[GTER] NAT num SSR-8600

[luiz.eduardo at gmail.com]

David, com certeza o Igor poderá te ajudar mais, já que estou enferrujado
com esse tipo de switch-router, mas algumas coisas que percebi (e não sei se
são suportados pelo seu SSR):

não sei se precisa colocar um "any any any" depois da definição do vlal
local pool.

outra coisa, na definição do NAT em si, colocar um "enable ip overload"

Você falou que os ips e range não estão corretos, apenas uma nota, no seu
exemplo, o range está fora da rede /26 da interface externa.

outra coisa para tentar, é colocar o NAT para usar apenas um ip externo, ao
invés de um range.

inté
le


On 5/12/06, barg at if.usp.br <barg at if.usp.br> wrote:
>
>
>   Olá Igor,
>
>   segue uma pequena parte da configuracao do SSR-8600, ok!!!
>
>   vlan make trunk-port gi.2(1-2),gi.3.(1-2),gi.6.(1-2),gi.7.(1-2),gi.10
> .(1-4)
>   .
>   vlan create vlan128c ip id 2127
>   vlan create vlanlal ip id 3333
>   .
>   vlan add ports gi.6.2 to vlan128c
>   vlan add ports gi.6.2 to vlanlal
>   vlan add ports gi.10.1 to vlanlal
>   .
>   interface create ip int128c address-netmask 143.xxx.xxx.193/26 vlan
> vlan128c
>   interface create ip intvlal address-netmask 10.1.1.1/25 vlan vlanlal
>   .
>   acl vlal-out permit ip 10.1.1.0/25
>   .
>   dhcp vlaldhcp define parameters address-netmask 10.1.1.0/25 gateway
> 10.1.1.1
> lease-time 3 dns-domain if.usp.br dns-server 10.1.1.2 netbios-name-server
> 10.1.1.2
>   dhcp vlaldhcp define poll 10.1.1.10-10.1.1.110
>   dhcp global set commt-interval 15
>   dhcp global set lease-database
> tftp://143.xxx.xxx.16/tftpboot/dhcp_lease.db
>   .
>   nat set interface vlanlal inside
>   nat set interface vlan128c outside
>   nat create dynamic local-acl-pool vlal-out global-pool
> 143.xxx.xxx.248-143.xxx.xxx.250
>
>   Desculpe por mascarar a faixa de IP's, mas creio que isto não afetará a
> análise. Existem acl's aplicadas, tanto na entrada quando na saida da
> interface
> int128c, mas que dever ser aplicadas a qualquer IP desta interface. A
> idéia é
> criar uma vlan com DHCP e NAT servida pelo roteador. Com este tipo de
> vlan,
> poderíamos agrupar os grupos que estão separados em várias vlan's do
> roteador e
> assim unificar o procedimento de conexão dentro de cada grupo, além de
> economizar IP's válidos, tudo isto de uma forma centralizada.
> Atualialmente,
> nesta vlan experimental, o DHCP funciona a contento, mas o NAT é feito por
> uma
> máquina (portanto a configuração atual do roteador difere da que passei no
> IP
> do gateway passado, que é 10.1.1.2).
>
>   Espero que ajude a entender a questão. Muito obrigado e se precisar de
> mais
> alguma informação é só falar, ok!!!
>
>   Inté,
>     David.
>
>
>