The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"VPN + VLAN"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]
Курсы по Juniper Junos в Москве и Петербурге
"VPN + VLAN"  +/
Сообщение от Zuul email(ok) on 07-Сен-17, 02:05 
Добрый день!
Столкнулся с такой задачей

Есть провайдер "X" который предоставляет доступ в Интернет выделяя для нас свои внутренние сети с префиксом /30 + vlan. Мы подключены к городской сети и к этому провайдеру.
Есть желание предоставлять доступ абонентов городской сети к этому провайдеру "X"
через vpdn.
Взял cisco 2621XM IOS (tm) C2600 Software (C2600-IPVOICE-M), Version 12.3(9), RELEASE SOFTWARE (fc2)
Настроил на интерфейсе Fa0/0 адрес городской сети для доступа городских абонентов к маршрутизатору.
Второй интерфейс Fa0/1 кабелем подключил в выделенный порт оборудования провайдера "Х"
Провайдер выделил три сети, в будущем будет больше.
192.168.10.0/30 vlan 100
192.168.10.4/30 vlan 101
192.168.10.8/30 vlan 102
У самого провайдера эти сети находятся за натом.
Настроил vpdn с выдачей конкретных адресов по логину пользователя. Об этом позже...
Настроил интерфейсы с адресами провайдера:

interface FastEthernet0/1.100
encapsulation dot1Q 100
ip address 192.168.10.2 255.255.255.252
no cdp enable
interface FastEthernet0/1.101
encapsulation dot1Q 100
ip address 192.168.10.6 255.255.255.252
no cdp enable
interface FastEthernet0/1.102
encapsulation dot1Q 100
ip address 192.168.10.10 255.255.255.252
no cdp enable

всё как бы работает, с маршрутизацией всё понятно, поэтому не буду о ней тут писать
Для быстрой проверки послал пинг с каждого интерфейса на IP шлюза провайдера:

amr-rt-00#ping 192.168.10.1 source Fa0/1.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Ну и сам Интернет:

amr-rt-00#ping 8.8.8.8 source Fa0/1.100      

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms

Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами?
Адресов в сетях данных провайдеров всего два :(
Если раздать адреса клиентам скажем из собственного пула адресов,
то тогда нужен будет нат . У меня нат, у провайдера нат, это как бы вообще не устраивает по ряду причин.

Подскажите плз есть решения для данной задачи?
Подразумеваю, что не в ту сторону копал.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN + VLAN"  +/
Сообщение от zanswer CCNA RS and S on 07-Сен-17, 05:39 
>[оверквотинг удален]
> Packet sent with a source address of 192.168.10.2
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms
> Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами?
> Адресов в сетях данных провайдеров всего два :(
> Если раздать адреса клиентам скажем из собственного пула адресов,
> то тогда нужен будет нат . У меня нат, у провайдера нат,
> это как бы вообще не устраивает по ряду причин.
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.

Эм, лично я не вижу не какого другого решения в вашем случае, кроме NAT, но посмотрим, что другие придумают, даже интересно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "VPN + VLAN"  +/
Сообщение от ACCA (ok) on 08-Сен-17, 03:09 
> Эм, лично я не вижу не какого другого решения в вашем случае,
> кроме NAT, но посмотрим, что другие придумают, даже интересно.

IPv6, разумеется.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "VPN + VLAN"  +/
Сообщение от zanswer CCNA RS and S on 08-Сен-17, 05:55 
>> Эм, лично я не вижу не какого другого решения в вашем случае,
>> кроме NAT, но посмотрим, что другие придумают, даже интересно.
> IPv6, разумеется.

IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов туннелирования IPv6 через IPv4?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "VPN + VLAN"  +/
Сообщение от ACCA (ok) on 08-Сен-17, 21:48 
> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола
> версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов

Всем сесть на белые адреса и не пользовать NAT.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "VPN + VLAN"  +/
Сообщение от zanswer CCNA RS and S on 09-Сен-17, 08:03 
>> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола
>> версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов
> Всем сесть на белые адреса и не пользовать NAT.

Перейти всем на глобально маршрутизируемые адреса я и сам не против, но автор интересуется, как ему обойтись без этого. :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "VPN + VLAN"  +/
Сообщение от ACCA (ok) on 11-Сен-17, 21:49 
> Перейти всем на глобально маршрутизируемые адреса я и сам не против, но
> автор интересуется, как ему обойтись без этого. :)

Не, он хочет обойтись без двух NATов. ;)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "VPN + VLAN"  +/
Сообщение от Аноним (??) on 07-Сен-17, 20:15 
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.

купите AS
с любовью, всегда ваш кэп


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "VPN + VLAN"  +/
Сообщение от Andrey (??) on 08-Сен-17, 09:27 
>[оверквотинг удален]
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.

Раздавать доступ на C2621XM пользователям городской сети через VPN? Реально? А сколько пользователей предполагается? А какой трафик от одного пользователя ожидаете? NAT+VPN на этой железке сожрет CPU уже на первых 3 пользователях.
Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости.

> interface FastEthernet0/1.100
> interface FastEthernet0/1.101
> interface FastEthernet0/1.102

и все они
> encapsulation dot1Q 100

??? Работает? Забавно...

По архитектуре сети:  либо двойной NAT, либо услуга "реальный IP" или "статический IP".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "VPN + VLAN"  +/
Сообщение от zanswer CCNA RS and S on 08-Сен-17, 10:55 
>[оверквотинг удален]
> Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже
> С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости.
>> interface FastEthernet0/1.100
>> interface FastEthernet0/1.101
>> interface FastEthernet0/1.102
>  и все они
>> encapsulation dot1Q 100
> ??? Работает? Забавно...
> По архитектуре сети:  либо двойной NAT, либо услуга "реальный IP" или
> "статический IP".

Андрей, думаю, автор писал руками и совершил ошибку, мы же с вами понимаем, что он не смог бы ввести такие команды в консоль, он получил бы ошибку.  

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor