 2 провайдера, ACL,  mikeer, 15-Дек-11, 10:21 [смотреть все]Уважаемые гуру. Знаю, что тема с интернетом от 2ух провайдеров избита и изъезжена, но все же. Сломал себе уже всю голову. Суть проблемы: имеется интернет от двух провайдеров, локальные пользователи поделены для пользования оными провайдерами. Если падает один провайдер, пользователи подключенные к нему сидят без инета и наоборот. Решил сделать через ip policy и route-map (в дальнейшем возможно понадобится конфа с резервным провайдером) Вроде работает, НО при создании ACL и привязывании к внешн интерфейсу циски рубится трафик. Подскажите, где накосячил?
interface FastEthernet0
ip address x.x.x.2 255.255.255.z
ip nat outside
ip inspect FTP-trffic in
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet1
ip address y.y.y.162 255.255.255.z
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
interface Vlan1
ip address 172.16.0.1 255.255.0.0
ip access-group 102 in
ip flow ingress
ip flow egress
ip nat inside
no ip virtual-reassembly
ip route-cache flow
ip policy route-map RouteSelect ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.1
ip route 0.0.0.0 0.0.0.0 y.y.y.161
ip nat inside source route-map yNat interface FastEthernet1 overload
ip nat inside source route-map xNat interface FastEthernet0 overload
ip nat inside source static tcp 172.16.1.15 20 x.x.x.6 20 extendable
ip nat inside source static tcp 172.16.1.15 21 x.x.x.6 21 extendable
ip nat inside source static tcp 172.16.1.14 25 x.x.x.6 25 extendable
ip nat inside source static tcp 172.16.1.14 53 x.x.x.6 53 extendable
ip nat inside source static tcp 172.16.1.14 80 x.x.x.6 80 extendable
ip nat inside source static tcp 172.16.1.14 110 x.x.x.6 110 extendable
ip nat inside source static tcp 172.16.1.14 143 x.x.x.6 143 extendable
ip nat inside source static tcp 172.16.1.4 3389 x.x.x.6 3389 extendable
ip nat inside source static 172.16.1.14 x.x.x.6 access-list 1 permit 172.16.0.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 permit 172.16.100.0 0.0.0.255
access-list 2 permit 172.16.4.0 0.0.0.255
вот мой примерный не работающий ACL:
access-list 103 permit tcp any host x.x.x.6 eq www
access-list 103 permit tcp any host x.x.x.6 eq smtp
access-list 103 permit tcp any host x.x.x.6 eq pop3
access-list 103 permit tcp any host x.x.x.6 eq 3389
access-list 103 permit icmp any host x.x.x.6
access-list 103 permit tcp any host x.x.x.6 eq 443
access-list 103 permit tcp any host x.x.x.6 eq ftp-data
access-list 103 permit tcp any host x.x.x.6 eq ftp
access-list 103 permit tcp any host x.x.x.6 eq 24021
access-list 103 permit tcp any host x.x.x.6 eq 24023
access-list 103 permit tcp any host x.x.x.6 eq 24024
access-list 103 permit icmp any host x.x.x.2 echo
access-list 103 permit icmp any host x.x.x.2 echo-reply
access-list 103 permit tcp any host x.x.x.6 eq 22
access-list 103 permit tcp any host x.x.x.6 eq cmd
access-list 103 permit udp any eq domain any
access-list 103 permit udp any any
access-list 103 permit icmp any host x.x.x.2
no cdp run route-map yNat permit 10
match ip address 2
match interface FastEthernet1
!
route-map RouteSelect permit 20
match ip address 1
set ip next-hop x.x.x.1
!
route-map RouteSelect permit 30
match ip address 2
set ip next-hop y.y.y.161
!
route-map xNat permit 10
match ip address 1
match interface FastEthernet0
|
- 2 провайдера, ACL, Николай_kv, 14:56 , 15-Дек-11 (1)
Что есть сегодня внешний интерфейс?Если вы про это
access-list 103 permit tcp any host x.x.x.6 eq www
access-list 103 permit tcp any host x.x.x.6 eq smtp
access-list 103 permit tcp any host x.x.x.6 eq pop3
access-list 103 permit tcp any host x.x.x.6 eq 3389
access-list 103 permit icmp any host x.x.x.6
access-list 103 permit tcp any host x.x.x.6 eq 443
access-list 103 permit tcp any host x.x.x.6 eq ftp-data
access-list 103 permit tcp any host x.x.x.6 eq ftp
access-list 103 permit tcp any host x.x.x.6 eq 24021
access-list 103 permit tcp any host x.x.x.6 eq 24023
access-list 103 permit tcp any host x.x.x.6 eq 24024
access-list 103 permit icmp any host x.x.x.2 echo
access-list 103 permit icmp any host x.x.x.2 echo-reply
access-list 103 permit tcp any host x.x.x.6 eq 22
access-list 103 permit tcp any host x.x.x.6 eq cmd
access-list 103 permit udp any eq domain any
access-list 103 permit udp any any
access-list 103 permit icmp any host x.x.x.2 то рассудим логически: пользователь ломится в Инет открывается динамический dest (допустим 32456) порт - пакет транслируеться и уходит в Инет. Инет отвечает на динамический порт 32456 и успешно отбивается вашим листом 103.
- 2 провайдера, ACL, Николай_kv, 14:58 , 15-Дек-11 (2)
а вообще если я проникся полностью - то ваша конструкция ничего положительного не дала и переключения в случае падения не произойдет - поскольку 99% инет пропадает у ИСП а линки у вас как были в апе так и останутся а это две большие разницы ;)
- 2 провайдера, ACL, mikeer, 15:06 , 15-Дек-11 (3)
> а вообще если я проникся полностью - то ваша конструкция ничего положительного
> не дала и переключения в случае падения не произойдет - поскольку
> 99% инет пропадает у ИСП а линки у вас как были
> в апе так и останутся а это две большие разницы ;) Переключение пользователей не надо, не заслужили... пока
Я так понимаю дописать
permit tcp any any established ?
- 2 провайдера, ACL, Николай_kv, 15:08 , 15-Дек-11 (4)
>> а вообще если я проникся полностью - то ваша конструкция ничего положительного
>> не дала и переключения в случае падения не произойдет - поскольку
>> 99% инет пропадает у ИСП а линки у вас как были
>> в апе так и останутся а это две большие разницы ;)
> Переключение пользователей не надо, не заслужили... пока
> Я так понимаю дописать
> permit tcp any any established ?тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.
- 2 провайдера, ACL, mikeer, 15:25 , 15-Дек-11 (5)
> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.Так нехорошо. Объясните тогда пожалуйста как создать ACL для доступа вовнутрь по определенным портам. Насколько я понимаю в конце ACL стоит неявный deny? Почему тогда это будут равнозначные действия? )
- 2 провайдера, ACL, Николай_kv, 15:47 , 15-Дек-11 (6)
>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.
> Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным
> портам. Поменять in на out будет правильно?По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт для инициализации соединений из вне. Поднимая NAT extended вы даете доступ только по тем портам которые указали - никаких других портов открыто не будет - не верите снифер в руки и просканьте свой внешний ИП.
- 2 провайдера, ACL, mikeer, 15:50 , 15-Дек-11 (7)
>>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.
>> Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным
>> портам. Поменять in на out будет правильно?
> По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт
> для инициализации соединений из вне. Поднимая NAT extended вы даете доступ
> только по тем портам которые указали - никаких других портов открыто
> не будет - не верите снифер в руки и просканьте свой
> внешний ИП.Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если нужно открыть порты для сервисов? Ведь тогда ацл нужен?
- 2 провайдера, ACL, Николай_kv, 16:19 , 15-Дек-11 (8)
>>>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.
>>> Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным
>>> портам. Поменять in на out будет правильно?
>> По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт
>> для инициализации соединений из вне. Поднимая NAT extended вы даете доступ
>> только по тем портам которые указали - никаких других портов открыто
>> не будет - не верите снифер в руки и просканьте свой
>> внешний ИП.
> Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если
> нужно открыть порты для сервисов? Ведь тогда ацл нужен?в вашем случае вы их открываете натом - если порты публичные ацл не нужен
- 2 провайдера, ACL, mikeer, 16:28 , 15-Дек-11 (9)
>[оверквотинг удален]
>>>> портам. Поменять in на out будет правильно?
>>> По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт
>>> для инициализации соединений из вне. Поднимая NAT extended вы даете доступ
>>> только по тем портам которые указали - никаких других портов открыто
>>> не будет - не верите снифер в руки и просканьте свой
>>> внешний ИП.
>> Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если
>> нужно открыть порты для сервисов? Ведь тогда ацл нужен?
> в вашем случае вы их открываете натом - если порты публичные ацл
> не нужен Спасибо за ответ. Буду пробовать.
|
Версия для распечатки
