The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"проясните пару вопросов пожалуйста"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"проясните пару вопросов пожалуйста"  +/
Сообщение от biggi email on 28-Сен-12, 05:45 
привет знатокам проясните пожалуста : нужно пробросить  телефонию через VPN, а доступ в интернет через НАТ , соответственно делаю ACL110 и исключаю то что идет в VPN, но закавыка: Voicemail PC (192.168.10.2/29)должен иметь доступ в инет и общаться с VoipPBX (IPOFFICE500) , он в одной подсетке  vlan20 (192.168.10.0/29) с VoipPBX  , вопрос можно ли часть IP с подсетки vlan 20 через НАТ а часть через VPN кинуть, как я тут сделал? , будет ли ето работать? меня смушает то что я вынужден сделать ip nat inside na vlan 20  иначе PC не выйдет в инет ...   как мне кажется рутер сперва посмотрит в ACL110 увидит VoicemailPC незя через НАТ и кинет через VPN -ето верно ? не не помешает ли этому  команда ip nat inside  нa interface vlan 20 ?
RA#sho run
Building configuration...
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
!
no aaa new-model
memory-size iomem 10
clock timezone PCTime -5
clock summer-time PCTime date Apr 6 2003 2:00 Oct 26 2003 2:00
!        
crypto pki trustpoint TP-self-signed-3088937797
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3088937797
revocation-check none
rsakeypair TP-self-signed-3088937797
!
ip source-route!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
   import all
   network 10.10.10.0 255.255.255.248
   default-router 10.10.10.1
   lease 0 2
!
!
ip cef
ip domain name yourdomain.com
ip name-server 71.250.0.12
ip name-server 71.242.0.12
no ipv6 cef
!
!
license udi pid CISCO881-K9 sn FTX162683BP
!
!
username admin privilege 15 secret 5 $1$9.I7$4C61J/DT957rNQXyeuJ18/
!
class-map match-all voip
match access-group name voice
class-map match-all data
match vlan  30
!
!
policy-map voip
class voip
    bandwidth percent 65
class data
    bandwidth percent 34
policy-map Voice_policy
!
!        
!
crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key 1voice1 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set voice_set esp-des esp-md5-hmac
!
crypto dynamic-map voice 10
set transform-set voice_set
match address voice
!
crypto map voice 10 ipsec-isakmp dynamic voice

interface Loopback0
ip address 2.2.2.2 255.255.255.255
!        
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 30
!
interface FastEthernet2
switchport access vlan 20
!
interface FastEthernet3
switchport access vlan 20
!
interface FastEthernet4
ip address ABCD 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex full
speed 100
crypto map voice
service-policy output voip
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan20
ip address 192.168.10.1 255.255.255.248
description to_voice
ip nat inside
ip virtual-reassembly
!
interface Vlan30
description data
ip address 192.168.16.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!

ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source route-map nonat interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 ABCD name www
ip route 172.16.2.0 255.255.255.0 192.168.10.2
ip route 192.168.15.0 255.255.255.0 192.168.16.2
!
ip access-list extended voice
permit tcp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1720
permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1718
permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1719
deny   ip any any
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 110 permit ip 192.168.16.0 0.0.0.3 any
access-list 110 permit ip 192.168.15.0 0.0.0.255 any
access-list 110 deny   ip host 192.168.10.2 192.168.20.0 0.0.0.15-----isklyuchayu iz NAT to chto idet v VPN
access-list 110 deny   ip 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15--isklyuchayu iz NAT to chto idet v VPN
access-list 110 permit ip 192.168.10.0 0.0.0.7 any
access-list 110 permit icmp any any echo-reply
access-list 110 permit icmp any any time-exceeded
access-list 110 permit icmp any any unreachable
access-list 110 permit ip 172.16.2.0 0.0.0.255 any
no cdp run

route-map nonat permit 10
match ip address 110
!
!line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
logging synchronous
login local
transport input telnet ssh
!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "проясните пару вопросов пожалуйста"  +/
Сообщение от biggi email on 28-Сен-12, 05:48 
добавлю IP на VoicemailPC: 192.168.10.2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "проясните пару вопросов пожалуйста"  +/
Сообщение от biggi email on 28-Сен-12, 05:52 
> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "проясните пару вопросов пожалуйста"  +/
Сообщение от jied83 (ok) on 28-Сен-12, 17:58 
>> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3

не совсем понял, что надо, но трафик между  хостами сети 192.168.10.0/29 на рутер не попадет и соответственно натиться не будет. Если что-то нужно исключить из ната, то просто в ACL в первую строчку добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если пакет с хоста 10.2 идет на 2.1 он натится не будет, все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 any

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "проясните пару вопросов пожалуйста"  +/
Сообщение от bekzod email on 28-Сен-12, 20:53 
> не совсем понял, что надо, но трафик между  хостами сети 192.168.10.0/29
> на рутер не попадет и соответственно натиться не будет. Если что-то
> нужно исключить из ната, то просто в ACL в первую строчку
> добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если
> пакет с хоста 10.2 идет на 2.1 он натится не будет,
> все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 any

Spasibo, proyasnil , znachit budet rabotat ;)


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру