forum.opennet.ru - "Как сделать изолированные VLAN на CISCO 871 c NAT?" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как сделать изолированные VLAN на CISCO 871 c NAT?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
Сообщение от mxkmaster (ok) on 22-Июн-09, 21:22
Коллеги, безуспешно пытаюсь настроить два VLAN на CISCO 871, так чтобы две локальные сети друг друга "не видели", но имели возможность выхода в Интернет через NAT. Перерыл кучу информации, но в основном народ борется с противоположной проблемой "подружить" сетки. Заранее благодарю за дельные советы по сабжу! Я пробовал настраивать access-list на интерфейсах, но все равно любые пакеты спокойно проходят через маршрутизатор. Надо изолировать Vlan1 от Vlan2. Краткая конфа: ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 switchport access vlan 2 ! interface FastEthernet4 no ip address no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly ip route-cache flow duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Vlan1 ip address 10.65.10.1 255.255.255.0 ip mask-reply no ip redirects no ip unreachables no ip proxy-arp ip nbar protocol-discovery ip flow ingress ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1452 ! interface Vlan2 ip address 10.65.20.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Dialer0 description $FW_OUTSIDE$ ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username ???? password 7 ??? ! ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.65.10.0 255.255.255.0 Vlan1 ip route 10.65.20.0 255.255.255.0 Vlan2 !
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Как сделать изолированные VLAN на CISCO 871 c NAT?, john_32, 05:50 , 23-Июн-09, (1)

Как сделать изолированные VLAN на CISCO 871 c NAT?, john_32, 06:43 , 23-Июн-09, (2)

Как сделать изолированные VLAN на CISCO 871 c NAT?, mxkmaster, 17:44 , 23-Июн-09, (3)

Как сделать изолированные VLAN на CISCO 871 c NAT?, mxkmaster, 17:28 , 03-Июл-09, (4)

Как сделать изолированные VLAN на CISCO 871 c NAT?, vnn, 17:43 , 03-Июл-09, (5)
Как сделать изолированные VLAN на CISCO 871 c NAT?, Stell, 17:57 , 03-Июл-09, (6)

Как сделать изолированные VLAN на CISCO 871 c NAT?, mxkmaster, 19:56 , 14-Июл-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от john_32 (ok) on 23-Июн-09, 05:50

>[оверквотинг удален]
> dialer pool 1
> dialer-group 1
> no cdp enable
> ppp authentication pap callin
> ppp pap sent-username ???? password 7 ???
>!
>ip route 0.0.0.0 0.0.0.0 Dialer0
>ip route 10.65.10.0 255.255.255.0 Vlan1
>ip route 10.65.20.0 255.255.255.0 Vlan2
>!
Приветствую, честно сказать не вижу проблемы!
все нармально решается АЦЛ на локальных интерфейсах, в вашем случае это свой АЦЛ на vl1 и vl2.
а это вообще бессмысленный кусок конфига:
/*
ip route 10.65.10.0 255.255.255.0 Vlan1
ip route 10.65.20.0 255.255.255.0 Vlan2
*/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от john_32 (ok) on 23-Июн-09, 06:43

В качестве примера: 871 у меня под руками нет, но делается это примерно так же:

interface FastEthernet0/0
ip address 10.228.0.5 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip access-group vl1 in
ip nat inside
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 2.2.2.2 255.255.255.0
ip access-group vl2 in
ip nat inside
ip route 0.0.0.0 0.0.0.0 10.228.0.1
ip nat inside source list nat1 interface FastEthernet0/0 overload
ip nat inside source list nat2 interface FastEthernet0/0 overload
ip access-list extended nat1
permit ip 1.1.1.0 0.0.0.255 any
ip access-list extended nat2
permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended vl1
deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 1.1.1.0 0.0.0.255 any
deny   ip any any
ip access-list extended vl2
deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip 2.2.2.0 0.0.0.255 any
deny   ip any any
Если не прав то поправте :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от mxkmaster (ok) on 23-Июн-09, 17:44

john_32, спасибо за отклик!
ip route 10.65.10.0 255.255.255.0 Vlan1
ip route 10.65.20.0 255.255.255.0 Vlan2
Эти строчки "следы" моих экспериментов)) Где-то увидел на форумах и решил попробовать.
В общем они не помогли, но остались в конфе. Уберу, когда полностью закрою вопрос.
Я предполагаю, что все дело в тэгировании VLAN типа
encapsulation dot1Q 2
В моей конфе сейчас этого нет. Я проверю и отпишусь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от mxkmaster (ok) on 03-Июл-09, 17:28

В общем такой команды "encapsulation dot1Q" в моем IOS нет.
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M),
Version 12.4(15)T, RELEASE SOFTWARE (fc3)
Так и не удалось пока изолировать две VLAN.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от vnn (ok) on 03-Июл-09, 17:43

>В общем такой команды "encapsulation dot1Q" в моем IOS нет.
>Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M),
>Version 12.4(15)T, RELEASE SOFTWARE (fc3)
>
>Так и не удалось пока изолировать две VLAN.
access-list 101 deny ip 10.65.10.0 0.0.0.255 10.65.20.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 deny ip 10.65.20.0 0.0.0.255 10.65.10.0 0.0.0.255
access-list 102 permit ip any any
interface vlan1
  ip access-group 101 in
interface vlan2
  ip access-group 102 in
вбей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от Stell (??) on 03-Июл-09, 17:57

Попробуйте так.
ip access-list extended vlan1_in
deny ip any 10.65.20.0 0.0.0.255
permit ip any any
# Запретили трафик в vlan2, Разрешили все остальное.
ip access-list extended vlan2_in
deny ip any 10.65.10.0 0.0.0.255
permit ip any any
# Тоже самое наоборот
int vlan 1
ip access-group vlan1_in in
int vlan 2
ip access-group vlan2_in in
# Приложили access-list'ы к интерфейсам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как сделать изолированные VLAN на CISCO 871 c NAT?" +/–

Сообщение от mxkmaster (ok) on 14-Июл-09, 19:56

В общем, сделал, как в двух предыдущих рекомендациях через ACL.
Все заработало. Спасибо!!
Самое обидное, что именно так все себе сам и представлял и даже вначале пытался настроить.
Но скорее всего ошибался в направлении файервола. Наверное, из-за этого ничего не получилось. Надо быть внимательнее. Еще раз спасибо всем за помощь!
Вот кусок рабочего конфига:
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
ip address 10.65.10.1 255.255.255.0
ip access-group vlan1 in
!
interface Vlan2
ip address 10.65.20.1 255.255.255.0
ip access-group vlan2 in
!
ip access-list extended vlan1
deny   ip 10.65.20.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 10.65.10.0 0.0.0.255 any
deny   ip any any
ip access-list extended vlan2
deny   ip 10.65.10.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 10.65.20.0 0.0.0.255 any
deny   ip any any
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
Сообщение от john_32 (ok) on 23-Июн-09, 05:50
>[оверквотинг удален] > dialer pool 1 > dialer-group 1 > no cdp enable > ppp authentication pap callin > ppp pap sent-username ???? password 7 ??? >! >ip route 0.0.0.0 0.0.0.0 Dialer0 >ip route 10.65.10.0 255.255.255.0 Vlan1 >ip route 10.65.20.0 255.255.255.0 Vlan2 >! Приветствую, честно сказать не вижу проблемы! все нармально решается АЦЛ на локальных интерфейсах, в вашем случае это свой АЦЛ на vl1 и vl2. а это вообще бессмысленный кусок конфига: /* ip route 10.65.10.0 255.255.255.0 Vlan1 ip route 10.65.20.0 255.255.255.0 Vlan2 */
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от john_32 (ok) on 23-Июн-09, 06:43
	В качестве примера: 871 у меня под руками нет, но делается это примерно так же: interface FastEthernet0/0 ip address 10.228.0.5 255.255.255.0 ip nat outside duplex auto speed auto ! interface FastEthernet0/1.1 encapsulation dot1Q 1 native ip address 1.1.1.1 255.255.255.0 ip access-group vl1 in ip nat inside ! interface FastEthernet0/1.2 encapsulation dot1Q 2 ip address 2.2.2.2 255.255.255.0 ip access-group vl2 in ip nat inside ip route 0.0.0.0 0.0.0.0 10.228.0.1 ip nat inside source list nat1 interface FastEthernet0/0 overload ip nat inside source list nat2 interface FastEthernet0/0 overload ip access-list extended nat1 permit ip 1.1.1.0 0.0.0.255 any ip access-list extended nat2 permit ip 2.2.2.0 0.0.0.255 any ip access-list extended vl1 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 permit ip 1.1.1.0 0.0.0.255 any deny ip any any ip access-list extended vl2 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 permit ip 2.2.2.0 0.0.0.255 any deny ip any any Если не прав то поправте :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от mxkmaster (ok) on 23-Июн-09, 17:44
	john_32, спасибо за отклик! ip route 10.65.10.0 255.255.255.0 Vlan1 ip route 10.65.20.0 255.255.255.0 Vlan2 Эти строчки "следы" моих экспериментов)) Где-то увидел на форумах и решил попробовать. В общем они не помогли, но остались в конфе. Уберу, когда полностью закрою вопрос. Я предполагаю, что все дело в тэгировании VLAN типа encapsulation dot1Q 2 В моей конфе сейчас этого нет. Я проверю и отпишусь.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от mxkmaster (ok) on 03-Июл-09, 17:28
	В общем такой команды "encapsulation dot1Q" в моем IOS нет. Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T, RELEASE SOFTWARE (fc3) Так и не удалось пока изолировать две VLAN.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от vnn (ok) on 03-Июл-09, 17:43
	>В общем такой команды "encapsulation dot1Q" в моем IOS нет. >Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), >Version 12.4(15)T, RELEASE SOFTWARE (fc3) > >Так и не удалось пока изолировать две VLAN. access-list 101 deny ip 10.65.10.0 0.0.0.255 10.65.20.0 0.0.0.255 access-list 101 permit ip any any access-list 102 deny ip 10.65.20.0 0.0.0.255 10.65.10.0 0.0.0.255 access-list 102 permit ip any any interface vlan1 ip access-group 101 in interface vlan2 ip access-group 102 in вбей.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от Stell (??) on 03-Июл-09, 17:57
	Попробуйте так. ip access-list extended vlan1_in deny ip any 10.65.20.0 0.0.0.255 permit ip any any # Запретили трафик в vlan2, Разрешили все остальное. ip access-list extended vlan2_in deny ip any 10.65.10.0 0.0.0.255 permit ip any any # Тоже самое наоборот int vlan 1 ip access-group vlan1_in in int vlan 2 ip access-group vlan2_in in # Приложили access-list'ы к интерфейсам.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Как сделать изолированные VLAN на CISCO 871 c NAT?"		+/–
	Сообщение от mxkmaster (ok) on 14-Июл-09, 19:56
	В общем, сделал, как в двух предыдущих рекомендациях через ACL. Все заработало. Спасибо!! Самое обидное, что именно так все себе сам и представлял и даже вначале пытался настроить. Но скорее всего ошибался в направлении файервола. Наверное, из-за этого ничего не получилось. Надо быть внимательнее. Еще раз спасибо всем за помощь! Вот кусок рабочего конфига: ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 switchport access vlan 2 ! interface Vlan1 ip address 10.65.10.1 255.255.255.0 ip access-group vlan1 in ! interface Vlan2 ip address 10.65.20.1 255.255.255.0 ip access-group vlan2 in ! ip access-list extended vlan1 deny ip 10.65.20.0 0.0.0.255 2.2.2.0 0.0.0.255 permit ip 10.65.10.0 0.0.0.255 any deny ip any any ip access-list extended vlan2 deny ip 10.65.10.0 0.0.0.255 2.2.2.0 0.0.0.255 permit ip 10.65.20.0 0.0.0.255 any deny ip any any !
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору