The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Замена IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Замена IP"  +/
Сообщение от fanat (ok) on 25-Июн-09, 12:03 
Доброе день цисководы.
Возникла ситуация.
Есть некий девайс который рулит VPN и к которому разрешён вход только с IP 10.0.6.30
Подсетей много поэтому на Unix было сделано правило
-A POSTROUTING -s 10.0.10.0/24 -d 190.160.90.0/24 -j SNAT --to 10.0.6.30

то есть шлюз просто подменял IP

Всё бы ничего но у меня ступор...
NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно.
А вот как подменить IP в цисаке я просто уже пол дня убиваюсь. Если делать например VLAN и врубать его в сеть то будет конфликт адресов с той машиной. К сожалению вариант смена IP на той машине не возможен.
Сопсно вопрос. А как подмена IP делается в cisco?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • Замена IP, BoBa, 15:20 , 25-Июн-09, (1)  
    • Замена IP, fanat, 15:30 , 25-Июн-09, (2)  
      • Замена IP, sh_, 16:30 , 25-Июн-09, (3)  
      • Замена IP, BoBa, 18:48 , 25-Июн-09, (4)  
  • Замена IP, dispay666, 04:44 , 26-Июн-09, (5)  
    • Замена IP, fanat, 08:18 , 26-Июн-09, (6)  
      • Замена IP, dispay666, 09:58 , 26-Июн-09, (7)  
        • Замена IP, fanat, 10:11 , 26-Июн-09, (8)  
  • Замена IP, BoBa, 10:16 , 26-Июн-09, (9)  
    • Замена IP, fanat, 12:11 , 26-Июн-09, (10)  
      • Замена IP, BoBa, 12:36 , 26-Июн-09, (11)  
      • Замена IP, BoBa, 12:37 , 26-Июн-09, (12)  
        • Замена IP, fanat, 13:01 , 26-Июн-09, (13)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Замена IP"  +/
Сообщение от BoBa (??) on 25-Июн-09, 15:20 
а нат это подмена чего?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Замена IP"  +/
Сообщение от fanat (ok) on 25-Июн-09, 15:30 
>а нат это подмена чего?

Так то оно так. Nat работает интернет есть. для подсети 10,0,6,0 есть подинтерфейс
!
Ip address 10.0.6.1 255.255.255.0
!
который уже является ip nat inside. дело в том чтобы занатить все IP через 10.0.6.30 необходимо назначить интрфейс с таким IP но дело в том что cisca не даст создать 2 интерфейса с айпишниками с одной сети. Unix  в этом плане более гибок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Замена IP"  +/
Сообщение от sh_ email(ok) on 25-Июн-09, 16:30 
Вы чего хотите сделать? Объясните на пальцах. Нифтыкайу какие адреса и на что хотите менять... И какие интерфейсы есть на маршрутизаторе.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Замена IP"  +/
Сообщение от BoBa (??) on 25-Июн-09, 18:48 
тоже не пойму что есть и что требуется... и слышать что линух гибче иоса вообще дикость )

опишите, а лучше нарисуйте существующую сеть/конфигурацию, и что хотите в итоге...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Замена IP"  +/
Сообщение от dispay666 (ok) on 26-Июн-09, 04:44 
>[оверквотинг удален]
>то есть шлюз просто подменял IP
>
>Всё бы ничего но у меня ступор...
>NAT в циско привязывается к интерфейсу inside outside. Интернет работает. Всё прекрасно.
>
>А вот как подменить IP в цисаке я просто уже пол дня
>убиваюсь. Если делать например VLAN и врубать его в сеть то
>будет конфликт адресов с той машиной. К сожалению вариант смена IP
>на той машине не возможен.
>Сопсно вопрос. А как подмена IP делается в cisco?

Да, тяжело по описанию сообразить что куда и через что идет.
Как я понял:

access-list 111 permit ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255
access-list 112 deny ip 10.0.10.0 0.0.0.255 190.160.90.0 0.0.0.255
access-list 112 permit ip 10.0.10.0 0.0.0.255 any

ip local pool ippool1address 10.0.6.30

ip nat inside source list 111 pool ippool1address overload


111 - лист правило для тех кто идет на впн девайс 190.160.90.0 0.0.0.255 -тут думаю стоит только один IP указать того девайса
112 - для всего остального
ну и с inside и outside интерфейсами правильно определись

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Замена IP"  +/
Сообщение от fanat (ok) on 26-Июн-09, 08:18 
Схема такая
!
interface GigabitEthernet0/0.5
encapsulation dot1Q 5
ip address 10.0.5.100 255.255.255.0
Ip nat inside
!
Смотрит в сторону LAN (это один из под интерфейсов)

!
interface Vlan50
bandwidth 1024
ip address х.х.х.151 255.255.255.0
ip nat outside
ip route-cache flow
!
Смотрит в сторону Internet.
!
interface GigabitEthernet0/0.6
encapsulation dot1Q 6
ip address 10.0.6.100 255.255.255.0
!
Подсеть в которой находится VPN девайс.

VPN девайс пускает тока IP 10.0.6.30 Это реально существующая машина. На линуксе дело было проще Подменяли адрес на 10.0.6.30. На циске думал тоже есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1 10.0.6.30 роутер не даст создать его так как получается петля. Необходимо Всех желающих кто хочет попасть за VPN устройство натить через IP 10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо роутить через х.x.x.151.
Соображения:
На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем ACL для входа всех желающих.
Чтобы Юзвери выходили из сети 10.0.6.0 в интернет делать полный NAT на этом интерфейсе (полное соответствие адресов). Пока мысли только такие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Замена IP"  +/
Сообщение от dispay666 (??) on 26-Июн-09, 09:58 
>[оверквотинг удален]
>есть такая фишка НО. Если даже создать спецефичный порт Loopbаck 1
>10.0.6.30 роутер не даст создать его так как получается петля. Необходимо
>Всех желающих кто хочет попасть за VPN устройство натить через IP
>10.0.6.30 а желающих попасть в интернет из под сети 10.0.6.0 необходимо
>роутить через х.x.x.151.
>Соображения:
>На интерфейс вместо 10.0.6.100 вешаем 10.0.6.30 делаем его ip nat OUTSIDE пишем
>ACL для входа всех желающих.
>Чтобы Юзвери выходили из сети 10.0.6.0 в интернет делать полный NAT на
>этом интерфейсе (полное соответствие адресов). Пока мысли только такие.

ip local pool ippool1address 10.0.6.30

ip nat inside source list 111 pool ippool1address overload

а так что тоже не дает задать адрес для трансляции?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Замена IP"  +/
Сообщение от fanat (ok) on 26-Июн-09, 10:11 
>>[оверквотинг удален]
>ip local pool ippool1address 10.0.6.30
>
>ip nat inside source list 111 pool ippool1address overload
>
>а так что тоже не дает задать адрес для трансляции?

хм..
в таком случаи на под интерфейс 0/0.6
вешается Ip nat Outside
ip address 10.0.6.100 не меняется...

и при учёте что было написано выше...
получается что будет натится не под 100 IP а под 30?
или я чаго не понял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Замена IP"  +/
Сообщение от BoBa (??) on 26-Июн-09, 10:16 
на сколько мог понять требуется два ната?

[quote]
осталось занатить оба интерфейса соответствующими адресами:
access-list 11 permit 10.1.0.0 0.0.255.255
route-map NAT-ISP1 permit 10
match ip address 11
match interface FastEthernet0
!
route-map NAT-ISP2 permit 10
match ip address 11
match interface Dialer1
!
ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload
ip nat inside source route-map NAT-ISP2 interface Dialer1 overload
[/quote]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Замена IP"  +/
Сообщение от fanat (ok) on 26-Июн-09, 12:11 
>[оверквотинг удален]
> match ip address 11
> match interface FastEthernet0
>!
>route-map NAT-ISP2 permit 10
> match ip address 11
> match interface Dialer1
>!
>ip nat inside source route-map NAT-ISP1 interface FastEthernet0 overload
>ip nat inside source route-map NAT-ISP2 interface Dialer1 overload
>[/quote]

от куда вылезло это match interface Dialer1 (диалер у меня нет модема)
и чёт вообще не понял.
Меня порой удивляют люди бросая кусок кода

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Замена IP"  +/
Сообщение от BoBa (??) on 26-Июн-09, 12:36 
это цитата (видно по тегам) примера двух натов на двух интерфейсах... или вы думали за вас будут писать нужный вам конфиг?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Замена IP"  +/
Сообщение от BoBa (??) on 26-Июн-09, 12:37 
а меня порой удивляют люди ленивые до гугла...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Замена IP"  +/
Сообщение от fanat (ok) on 26-Июн-09, 13:01 
тема закрыта.
И исчо прежде чем отписаться на форуме я 3 дня потратил на прочтение мануалов и не найдя нужного направления обратился к форуму. Где сопсно заного сказали то, что уже прочитал.
Нужного решения до сих пор так и не нашёл. В итоге пришёл к выводу оис не такой гибкий как хотелось бы. И фигово то что нат физически привязан к портам. Сопсно поэтому тема и закрыта. Спасибо за внимание.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру