The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от iGLaX6 email(ok) on 18-Сен-10, 17:48 
Добрый день!

Имеется
Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN
Как настроить, чтобы компьютеры из VLAN 20(10.0.5.0\24) видели хосты из 10.0.3.0\24?

Схема нужная:
http://farm5.static.flickr.com/4127/5000713437_916595e917_z.jpg

Конфиг приложен:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname tpk_shab23
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip host CALLCENTER 10.0.3.5
ip dhcp-server 10.0.3.30
no ipv6 cef
!
multilink bundle-name authenticated
!
!

!
!
username admin privilege 15 secret 5 $bdffgdfhsdher34taewtf
archive
log config
  hidekeys
!
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
!
interface FastEthernet0/0
description =Internet connection=
ip address XXX.XXX.XXX.XXX 255.255.255.0
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map to_udal1a
!
interface FastEthernet0/1
description =LAN=
ip address 10.0.3.1 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
description =FOR Internet Connection 2=
switchport access vlan 10
!
interface FastEthernet0/0/1
description =FOR VLAN 20=
switchport access vlan 20
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan10
ip address YYY.YYY.YYY.YYY 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Vlan20
ip address 10.0.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map ISP2
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 217.10.46.1

no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source route-map NAT-ISP-2 interface Vlan10 overload
ip nat inside source static tcp 10.0.5.10 80 YYY.YYY.YYY.YYY 80 extendable
ip nat inside source static tcp 10.0.3.104 80 XXX.XXX.XXX.XXX 80 extendable

!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
ip access-list extended TO_BY
permit ip 10.0.3.0 0.0.0.255 10.52.14.0 0.0.0.255

!
access-list 23 permit 10.0.3.0 0.0.0.255
access-list 23 permit 10.0.10.0 0.0.0.255
access-list 101 deny   ip 10.0.3.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit ip host 10.0.3.74 any
access-list 101 permit ip host 10.0.3.110 any
access-list 101 permit ip host 10.0.3.24 any
access-list 101 permit ip host 10.0.3.57 any
access-list 101 permit ip host 10.0.3.93 any
access-list 101 permit ip host 10.0.3.26 any
access-list 101 permit ip host 10.0.3.27 any
access-list 101 permit ip host 10.0.3.111 any
access-list 101 permit ip host 10.0.3.104 any
access-list 101 permit ip host 10.0.3.33 any
access-list 101 permit ip host 10.0.3.14 any
access-list 101 permit ip host 10.0.3.18 any
access-list 101 permit ip host 10.0.3.202 any
access-list 102 permit ip 10.37.80.96 0.0.0.31 any
access-list 104 permit ip 10.0.5.0 0.0.0.255 any
!
!
!
!
route-map NAT-ISP-2 permit 1
match ip address 104
!
route-map ISP2 permit 20
match ip address 104
match interface Vlan10
set ip next-hop YYY.YYY.YYY.YYY.97
!
!
snmp-server group Group v3 priv match exact
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
session-timeout 50
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
session-timeout 50
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от sh_ email(??) on 18-Сен-10, 17:57 
Они и так их "видят". Кстати, а что вы под этим словом имели в виду?


ПС. И хватит убирать публичные адреса из конфигофф (тем более не до конца). Секурности это не прибавляет, траблшутенг усложняет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от sh_ email(??) on 18-Сен-10, 17:59 
Да. И еще в роутмапе ISP2 замените set ip next-hop YYY.YYY.YYY.YYY.97 на set ip default next-hop YYY.YYY.YYY.YYY.97
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от iGLaX6 email(ok) on 18-Сен-10, 18:07 
>Да. И еще в роутмапе ISP2 замените set ip next-hop YYY.YYY.YYY.YYY.97 на
>set ip default next-hop YYY.YYY.YYY.YYY.97

Ок. А разница сильна?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от iGLaX6 email(ok) on 18-Сен-10, 18:02 
>Они и так их "видят". Кстати, а что вы под этим словом
>имели в виду?
>
>
>ПС. И хватит убирать публичные адреса из конфигофф (тем более не до
>конца). Секурности это не прибавляет, траблшутенг усложняет.

Нет, не видит.

После ip policy route-map ISP2 в VLAN 20 перестало.
Все дело в ACL 104. Но как его сконфигурить, чтобы сеть 10.0.5.0/24 осталась с Интернетом.

"Видят" -  к примеру хост 10.0.5.10 пингует 10.0.3.10.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от crash (ok) on 18-Сен-10, 21:12 
>После ip policy route-map ISP2 в VLAN 20 перестало.
>Все дело в ACL 104. Но как его сконфигурить, чтобы сеть 10.0.5.0/24
>осталась с Интернетом.
>
>"Видят" -  к примеру хост 10.0.5.10 пингует 10.0.3.10.

возможно, отредактировав acl 104:
access-list 104 deny ip 10.0.5.0 0.0.0.255 10.0.3.0 0.0.0.255
access-list 104 permit ip 10.0.5.0 0.0.0.255 any

а вместо
route-map ISP2 permit 20
match ip address 104
match interface Vlan10
set ip next-hop YYY.YYY.YYY.YYY.97

оставить
route-map ISP2 permit 20
match ip address 104
set ip next-hop YYY.YYY.YYY.YYY.97

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN"  +/
Сообщение от iGLaX6 email(ok) on 18-Сен-10, 21:49 
>[оверквотинг удален]
>а вместо
>route-map ISP2 permit 20
>match ip address 104
>match interface Vlan10
>set ip next-hop YYY.YYY.YYY.YYY.97
>
>оставить
>route-map ISP2 permit 20
>match ip address 104
>set ip next-hop YYY.YYY.YYY.YYY.97

Спасибо Crash. Помогло.
Тему можно закрывать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру