- Человеческая маршрутизация на циске,
 ShyLion, 15:06 , 22-Авг-14 (1)
- Человеческая маршрутизация на циске, slowkazak, 15:27 , 22-Авг-14 (2)
> https://supportforums.cisco.com/document/26021/how-configure... Я не слишком силен в английском но правильно ли понимаю что алгоритм в моем случае такой: 1. делаем интерфейс за которым сидит 192.168.1.2 внешним 2. Делаем все мои псевдоинтерфейсы внутренними 3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника ацл будет работать
4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно 5. Исходя из этого маршрута строим правило для nat?
Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у сервера 192.168.1.2 откликнулся на запрос?
- Человеческая маршрутизация на циске, Andrey, 16:04 , 22-Авг-14 (3)
>[оверквотинг удален]
> в моем случае такой:
> 1. делаем интерфейс за которым сидит 192.168.1.2 внешним
> 2. Делаем все мои псевдоинтерфейсы внутренними
> 3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника
> ацл будет работать
> 4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно
> 5. Исходя из этого маршрута строим правило для nat?
> Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет
> обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у
> сервера 192.168.1.2 откликнулся на запрос?Покажите сначала что вы накосячили в существующем конфиге, дальше будет понятно что нужно править. Остальное лирика.
- Человеческая маршрутизация на циске, ShyLion, 16:05 , 22-Авг-14 (4)
- Человеческая маршрутизация на циске, ShyLion, 16:07 , 22-Авг-14 (5)
> Добрый день, есть cisco 2921.
> Схема сети такая:
> Сервер (192.168.1.2)Ну и на всякий случай спрошу - что мешает клиентам обращаться к серверу по адресу СЕРВЕРА ?
Очередная порносхема.
- Человеческая маршрутизация на циске, slowkazak, 16:16 , 22-Авг-14 (6)
>> Добрый день, есть cisco 2921.
>> Схема сети такая:
>> Сервер (192.168.1.2)
> Ну и на всякий случай спрошу - что мешает клиентам обращаться к
> серверу по адресу СЕРВЕРА ?
> Очередная порносхема.По видимому в этой конторе это народный обычай: есть куча вланов, часть из которых я не очень понимаю зачем вообще нужны у каждого влана свои адреса, за каждым вланом сидят чуваки со своими сетями. Я вообще же хотел сначала заставить всех подключаться по единому адресу, единого интерфейса на циске а потом переправлять все что нужно на нужный мне сервер, но видимо тут так не принято и придется воротить все что есть. По крайней мере я пока не очень представляю что делать со всем этим
- Человеческая маршрутизация на циске, slowkazak, 16:22 , 22-Авг-14 (7)
Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес и настроить простой статик нат а чувакам со своими суперподсетями предложить решить вопрос с маршрутизацией из их сети до моего единого адреса? Или это слишком жесть?
- Человеческая маршрутизация на циске, Merridius, 16:40 , 22-Авг-14 (8)
> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес
> и настроить простой статик нат а чувакам со своими суперподсетями предложить
> решить вопрос с маршрутизацией из их сети до моего единого адреса?
> Или это слишком жесть?Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к серверу?
- Человеческая маршрутизация на циске, slowkazak, 16:46 , 22-Авг-14 (9)
>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес
>> и настроить простой статик нат а чувакам со своими суперподсетями предложить
>> решить вопрос с маршрутизацией из их сети до моего единого адреса?
>> Или это слишком жесть?
> Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как
> уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к
> серверу?не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали. Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}?
А в подсетях клиентов видеться сервант уже дожен так как циска посредством интерфейса с вланом уже находится в сети клиентской машины?
- Человеческая маршрутизация на циске, Andrey, 18:17 , 22-Авг-14 (10)
>>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес Нет. Один интерфейс - один и более IP. Два интерфейса - два и более IP. Бывают ip unnumbered интрефейсы, но к вашей проблеме они не относятся. > не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали.
> Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}?
> А в подсетях клиентов видеться сервант уже дожен так как циска посредством
> интерфейса с вланом уже находится в сети клиентской машины? Приведите существующий конфиг вашего маршрутизатора. Вся предыдущая переписка без этого бесполезна. Вы пытаетесь получить ответ на вопрос "о смысле жизни и вообще". Естественно, что ответом для вас будет "42". Никто, кроме вас не знает вашу топологию, адресацию и причины по которым вам необходимо натить сервер для всех клиентов.
- Человеческая маршрутизация на циске, slowkazak, 22:19 , 22-Авг-14 (11)
Приношу извинения что парил мозги.
Вот мой show run. Интерфейсы, чудо маршруты и acl!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.0.0.200 255.255.255.0 secondary
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
ip nat inside
ip virtual-reassembly in
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
! access-list 100 permit tcp any any eq 8081
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 554
access-list 100 permit tcp any any eq 555
access-list 100 permit tcp any any eq 556
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 3080
access-list 100 permit tcp any any eq 3081
access-list 100 permit icmp any any echo
access-list 101 deny tcp any any eq 22
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq ftp
access-list 101 deny tcp any any eq 21145
access-list 101 deny tcp any any eq 145
access-list 101 deny tcp any any eq 149
access-list 101 permit icmp any any echo
! Нужно чтоб люди которые находятся за GigabitEthernet0/1.1
GigabitEthernet0/1.2
GigabitEthernet0/1.3
GigabitEthernet0/1.4 могли достучаться до сервера, который сидит за GigabitEthernet0/0 Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие дела.
- Человеческая маршрутизация на циске, Merridius, 23:19 , 22-Авг-14 (12)
>[оверквотинг удален]
> !
> Нужно чтоб люди которые находятся за
> GigabitEthernet0/1.1
> GigabitEthernet0/1.2
> GigabitEthernet0/1.3
> GigabitEthernet0/1.4
> могли достучаться до сервера, который сидит за GigabitEthernet0/0
> Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер
> за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие
> дела.Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации понимаете?
Что ЭТО за роуты на абонентские интерфейсы? Зачем?
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4 Плюс ip nat inside у вас висит на main интерфейсе, зачем?
Остальное даже смотреть не стал. У вас By Design все не правильно.
- Человеческая маршрутизация на циске, slowkazak, 23:45 , 22-Авг-14 (13)
>[оверквотинг удален]
>> дела.
> Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации
> понимаете?
> Что ЭТО за роуты на абонентские интерфейсы? Зачем?
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
> Плюс ip nat inside у вас висит на main интерфейсе, зачем?
> Остальное даже смотреть не стал. У вас By Design все не правильно. Интерфейсы и роуты делались до меня. С натом уже я погорячился.
Предположим что я выкидываю роуты, нат, который не нужен ну и до кучи секонд адресс, получаю следующее
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0 ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
no cdp enable
!
- Человеческая маршрутизация на циске, Merridius, 23:51 , 22-Авг-14 (14)
>[оверквотинг удален]
> interface GigabitEthernet0/1.3
> encapsulation dot1Q 10
> ip address 192.168.3.200 255.255.255.0
> no cdp enable
> !
> interface GigabitEthernet0/1.4
> encapsulation dot1Q 3
> ip address 192.168.12.250 255.255.254.0
> no cdp enable
> !Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
На сервере ip route 0.0.0.0/0 192.168.1.5
Все. Чистая маршрутизация. Хотите большего, скажите что.
- Человеческая маршрутизация на циске, slowkazak, 23:58 , 22-Авг-14 (15)
>[оверквотинг удален]
>> no cdp enable
>> !
>> interface GigabitEthernet0/1.4
>> encapsulation dot1Q 3
>> ip address 192.168.12.250 255.255.254.0
>> no cdp enable
>> !
> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
> На сервере ip route 0.0.0.0/0 192.168.1.5
> Все. Чистая маршрутизация. Хотите большего, скажите что.И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят друг друга?
Если так, то в принципе ничего больше и не надо. Все что нужно дальше без изобретания велосипедов надеюсь что сам пойму
- Человеческая маршрутизация на циске, Merridius, 00:02 , 23-Авг-14 (16)
>[оверквотинг удален]
>>> ip address 192.168.12.250 255.255.254.0
>>> no cdp enable
>>> !
>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>> На сервере ip route 0.0.0.0/0 192.168.1.5
>> Все. Чистая маршрутизация. Хотите большего, скажите что.
> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
> друг друга?
> Если так, то в принципе ничего больше и не надо. Все
> что нужно дальше без изобретания велосипедов надеюсь что сам пойму В общем да, если я вас правильно понял.
- Человеческая маршрутизация на циске, Merridius, 00:14 , 23-Авг-14 (17)
>[оверквотинг удален]
>>>> no cdp enable
>>>> !
>>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>>> На сервере ip route 0.0.0.0/0 192.168.1.5
>>> Все. Чистая маршрутизация. Хотите большего, скажите что.
>> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
>> друг друга?
>> Если так, то в принципе ничего больше и не надо. Все
>> что нужно дальше без изобретания велосипедов надеюсь что сам пойму
> В общем да, если я вас правильно понял.Ну и вам мой совет, старайтесь избегать ната, довольно ресурсоемкий процесс, а в плане безопасности (из интерента) толку от него как с козла молока. Его можно использовать в основном в четырех моментах: первое - это для чего он был создан - для отсрочки исчерпания ipv4 адресов, второе - для административного разграничения (тут еще надо подумать, поскольку statefull firewall в общем-то замещяет и дополняет его функции), третье - балансировка нагрузки,и четвертое - это первый этап слияния сетей с пересекающейся адресацией. Так что если очень хочется перенаправить трафик в одну точку лучше использовать для этого специализированные решения, такие как WCCP и PBR.
- Человеческая маршрутизация на циске, ShyLion, 21:48 , 23-Авг-14 (18)
>[оверквотинг удален]
>>> ip address 192.168.12.250 255.255.254.0
>>> no cdp enable
>>> !
>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>> На сервере ip route 0.0.0.0/0 192.168.1.5
>> Все. Чистая маршрутизация. Хотите большего, скажите что.
> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
> друг друга?
> Если так, то в принципе ничего больше и не надо. Все
> что нужно дальше без изобретания велосипедов надеюсь что сам пойму Дорогой товарищ, почитай азы IP. Без обид.
- Человеческая маршрутизация на циске, slowkazak, 08:48 , 05-Сен-14 (19)
Конечно, надо бы пробел восполнить, я и не занимался маршрутизацией толком никогда. А вообще спасибо, за ответы, господа!
|
Версия для распечатки
Человеческая маршрутизация на циске, 
