当然、帰りのパケットは先方のサーバーからプロバイダA を経由して帰ってくるので 行きと帰りで経路が変わっちゃうし、サーバーからプロバイダBのIPに直接セッション 張ろうとしても通信できない。 0833anonymous@fusianasan2019/02/01(金) 20:30:08.48ID:???>>832 config見せてくれる方が早そう。PBRしてる?字面だけ見るとACLとNATだけでやろうとしてるようにも見えたので。 0834anonymous@fusianasan2019/02/01(金) 22:58:43.94ID:??? では、関係ありそうな分だけ、パート1 ip inspect name INTERNET tcp ip inspect name INTERNET udp ip inspect name INTERNET icmp! ! interface GigabitEthernet8 ※ ADSLモデムと接続 ip address 192.168.116.2 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 2 pppoe-client dial-pool-number 1 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Dialer1 mtu 1454 ip address negotiated ※ プロバイダーA から a.a.a.a 付与 ip nat outside ip inspect INTERNET out ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap callin ppp chap hostname username@providerA.jp ppp chap password 0 password_A 0835anonymous@fusianasan2019/02/01(金) 23:02:21.52ID:??? パート2
interface Dialer2 mtu 1448 ip address negotiated ※ プロバイダーA から a.a.a.a 付与 ip nat outside ip inspect INTERNET out ip virtual-reassembly in encapsulation ppp ip tcp adjust-mss 1408 dialer pool 2 dialer idle-timeout 0 dialer-group 2 ppp authentication chap callin ppp chap hostname username@providerB.jp ppp chap password 0 password_B ppp ipcp dns request accept ! ip nat inside source list 103 interface Dialer1 overload ip nat inside source list 104 interface Dialer2 overload ip nat inside source list 105 interface GigabitEthernet8 overload ip nat inside source static tcp 192.168.1.10 22 a.a.a.a 22 extendable ip nat inside source static tcp 192.168.1.10 22 a.a.a.a 25 extendable ip nat inside source static tcp 192.168.1.10 22 a.a.a.a 53 extendable no-payload ip nat inside source static udp 192.168.1.10 22 a.a.a.a 53 extendable no-payload ip nat inside source static tcp 192.168.1.10 22 a.a.a.a 80 extendable ip nat inside source static tcp 192.168.1.10 22 a.a.a.a 443 extendable ip nat inside source static tcp 192.168.1.10 22 b.b.b.b 22 extendable ! ip route 0.0.0.0 0.0.0.0 Dialer1 permanent ip route c.c.c.c 255.255.255.255 Dialer2 permanent 0836anonymous@fusianasan2019/02/01(金) 23:04:32.30ID:??? access-list 1 permit 192.168.1.0 0.0.0.255 access-list 101 ※ 全省略しているが、インターネットから a.a.a.a へのアクセス許可関連 access-list 101 ※ 同上、インターネットから b.b.b.b へのアクセス許可関連 これも省いているけどそれぞれ Dialer1/2 で ip access-group 101/102 in してます access-list 103 deny ip 192.168.1.0 0.0.0.255 host 192.168.116.1 access-list 103 deny ip 192.168.1.0 0.0.0.255 host c.c.c.c access-list 103 permit ip 192.168.1.0 0.0.0.255 any access-list 104 permit ip 192.168.1.0 0.0.0.255 host c.c.c.c access-list 104 deny ip 192.168.1.0 0.0.0.255 any access-list 105 permit ip 192.168.1.0 0.0.0.255 host 192.168.116.1 access-list 105 deny ip 192.168.1.0 0.0.0.255 any 0837anonymous@fusianasan2019/02/01(金) 23:07:43.33ID:??? ここまでです。
実際は ACL がより細かい(in だけでなく out も定義してる)し、 ip inspect も ip nat inside ももっと定義が多いですが省略してます。
interface Loopback100 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Ethernet0/0 no ip address ! interface Ethernet0/0.10 encapsulation dot1Q 10 ip address 1.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface Ethernet0/0.20 encapsulation dot1Q 20 ip address 2.2.2.2 255.255.255.0 ip nat outside ip virtual-reassembly in ! ip nat inside source list 103 interface Ethernet0/0.10 overload ip nat inside source list 104 interface Ethernet0/0.20 overload ip route 0.0.0.0 0.0.0.0 Ethernet0/0.10 permanent ip route 3.3.3.3 255.255.255.255 Ethernet0/0.20 permanent !