Приветствую. Появилась циска 871-K9. Т.к. я работал в основном с цисковскими полноценными маршрутизаторами 1700, 1800, 2600 и 2800 и их полноценными коммутаторами Catalyst, то проблемы, возникшие у меня с 871 с NAT'ом, мне абсолютно не понятны.

Вопросик №1.
На официальном сайте Cisco в Data Sheets про 871 циску написано, что эта циска вроде бы поддерживает хотя бы 2 Vlan'а. И один Vlan можно вроде бы выделить под DMZ. http://www.cisco.com/en/US/products/hw/routers/ps380/product...

Мне необходимо иметь 2 Vlan'а на строенном коммутаторе 871 циски. Один Vlan должен пойти под сеть DMZ, а второй под частную корпоративную сеть, причем пользователи, находящиеся в частной корпоративной сети не должны видеть сервер, находящийся в DMZ. Объясните, пожалуйста, как создать 2 Vlan'а на 871 циски и отнести их к разным сетям?

Вопросик №2.
Т.к. я не понял, как создать 2 разных Vlan'а с разными ip-подсетями на 871-й циски, то я решил временно повесить на один интерфейс Vlan 1 два разных IP адреса. N.к. все интерфейсы встроенного коммутатора относятся по умолчанию к Vlan 1, то я зашел на интерфейс Vlan 1 и прописал 2 разных адрес (типо для DMZ и для корпоративной сети):
-  interface Vlan 1
-  ip address 10.10.10.1 255.255.255.0
-  ip address 10.12.12.1 255.255.255.0 secondary
Теперь компьютеры, подключенные к встроенному в 871 циску коммутатору, и находящиеся в сетях 10.10.10.0 и 10.12.12.0 могут пинговать друг друга, т.е. между этими сетями есть связь, но мне надо это запретить по начальными условиям, т.к. между DMZ и корпоративной сетью не должно быть связи. Соответственно, я прописываю ACLs:
-  access-list 101 deny ip 10.10.10.0 0.0.0.255 10.12.12.0 0.0.0.255
-  access-list 101 deny ip 10.12.12.0 0.0.0.255 10.10.10.0 0.0.0.255
-  access-list 101 permit ip any any
И прицепляю этот список к интерфейсу Vlan 1:
-  interface Vlan 1
-  ip access-group 101 in
Теперь пользователи в корпоративной сети не имеют связи с DMZ.
Затем, т.к. у нас куплен открытый внешний ip-адрес, то он вешается на wan-интерфейс, т.е. на единственный "честный" ethernet интерфейс у циски 871, а именно на FastEthernet 4. Ну допустим пускай он будет такой: 205.205.205.5
Таким образом получается:
-  interface Fa 4
-  ip address 205.205.205.5 255.255.255.0
Ну и соответственно выход в инет нужно организовать через NAT (а точнее PAT). Соответствен пишу PAT:
-  access-list 1 permit 10.10.10.0 0.0.0.255
-  access-list 1 permit 10.12.12.0 0.0.0.255
-  ip nat inside source list 1 interface FastEthernet 4 overload
Теперь захожу на интерфейс vlan1 и цепляю к нему NAT:
-  interface Vlan 1
-  ip nat inside
Затем захожу на WAN-интерфейс и тоже цепляю к нему NAT:
-  interface fastethernet 4
-  ip nat outside
И после этого хочу проверить как у меня работает NAT. Беру еще одну циску, в моем случае 1721, соединию ее витой парой с wan-интерфейсом 871 циски. Настраиваю на ethernet-интерфейсе 1721 циски ip-адрес 205.205.205.6 и прописываю шлюз на 205.205.205.5
На 871 циски тоже прописываю шлюз, но на 205.205.205.6
Теперь делаю пинг ip-адреса 205.205.205.6 c компьютера с ip-адресом 10.10.10.3. Пинг есть. Смотрю на 871 циски трансляции Nat'а:
-  show ip nat translations
Преобразование адреса идет. Когда я беру и делаю пинг с рутера 1721 (т.е.с адреса 205.205.205.6) на адрес комьютера 10.10.10.4, то пинг тоже идет (сквозь NAT), причем идет и в другую частную сеть 10.12.12.0 Делаю еще один список доступа:
-  access-list 102 deny ip any 10.10.10.0 0.0.0.255
и вешаю его на wan-интерфейс 871 циски:
-  interface fastethernet 4
-  ip access-group 102 in
Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем проблема?? Это у меня где-то крыша съехала или траблы у циски??