URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12917
[ Назад ]

Исходное сообщение
"subinterface, dot1q, access-list"
Отправлено mogul , 28-Фев-07 10:57

помогите пожалуйста новичку
собрана такая схема
cisco 7206==modem---modem==cisco1721==catalyst2950==(2)pc
на cisco7206
interface GigabitEthernet0/1
    ip address 100.100.100.10 255.255.255.224
!
interface Serial6/6
    no ip redirects
    ip unnumbered GigabitEthernet0/1
    no cdp enable
!
ip route 90.90.90.0 255.255.255.252 Serial6/6

на cisco1721
interface FastEthernet0
    no ip address
    speed auto
!
interface FastEthernet0.100
    description GLOBAL
    encapsulation dot1Q 100
    ip address 90.90.90.1 255.255.255.252
    ip access-group 100 in
!
interface FastEthernet0.200
    description LOCAL
    encapsulation dot1Q 200
    ip address 10.0.2.254 255.255.255.0
    ip nat inside
!
interface Serial0
    description OUT
    ip unnumbered FastEthernet0.100
    ip nat outside
    no cdp enable
!
ip nat pool NAT 90.90.90.1 90.90.90.1 prefix-length 30
ip nat inside source list 1 pool NAT overload
ip route 0.0.0.0 0.0.0.0 Serial0
access-list 1 permit 10.0.0.0 0.255.255.255
access-list 100 deny ip 90.90.90.0 0.0.0.3 10.0.0.0 0.255.255.255
access-list 100 permit ip any any
на catalyst2950
interface FastEthernet0/1
    switchport mode trunk
    switchport trunk allowed vlan 100,200
!
interface FastEthernet0/2
    switchport access vlan 100
!
interface FastEthernet0/3
    switchport access vlan 200
!
задача основная:
выделить 1 порт catalyst под машину с внешним адресом, которую будет видно из Интернета. 2 порты и последующие задейстовать под организацию доступа в сеть Интернет в пределах локальной сети через NAT.
задача второстепенная:
чтобы из сети 90.90.90.0/30 (конкретно с машины, подключенной к порту catalyst fas0/2, и имеющей ip 90.90.90.2) не была доступна сетка 10.0.0.0 255.0.0.0.0 (локальная), а наоборот, т.е 10.0.0.0->90.90.90.0 было всё доступно.
что получается:
1. с основной задачей схема справляется
2. с данным access-list'ом (100) действительно сетка 10.0.0.0 не доступна с машины 90.90.90.2
3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина 90.90.90.2 (файрвол откл., с c1751 доступно)
собственно в п. 3 и заключается моя проблема.
кто знает как решить?
спасибо.

Содержание

subinterface, dot1q, access-list,sn, 15:54 , 28-Фев-07
- subinterface, dot1q, access-list,mogul, 18:10 , 28-Фев-07
  - subinterface, dot1q, access-list,sn, 08:45 , 01-Мрт-07

Сообщения в этом обсуждении

"subinterface, dot1q, access-list"
Отправлено sn , 28-Фев-07 15:54

>interface FastEthernet0.200
> description LOCAL
> encapsulation dot1Q 200
> ip address 10.0.2.254 255.255.255.0
>access-list 1 permit 10.0.0.0 0.255.255.255
>3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина
>90.90.90.2 (файрвол откл., с c1751 доступно)
>собственно в п. 3 и заключается моя проблема.
>
>кто знает как решить?
>спасибо.
разницу в масках заметил? если 10 сетка реально побита, то пишешь
ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети>

"subinterface, dot1q, access-list"
Отправлено mogul , 28-Фев-07 18:10

>>interface FastEthernet0.200
>> description LOCAL
>> encapsulation dot1Q 200
>> ip address 10.0.2.254 255.255.255.0
>
>>access-list 1 permit 10.0.0.0 0.255.255.255
>
>>3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина
>>90.90.90.2 (файрвол откл., с c1751 доступно)
>>собственно в п. 3 и заключается моя проблема.
>>
>>кто знает как решить?
>>спасибо.
>
>разницу в масках заметил? если 10 сетка реально побита, то пишешь
>
>ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети>
я не понимаю причём тут этот роутинг?
например, с ip 10.0.2.1 (шлюз 10.0.2.254) не доступен адрес 90.90.90.2.
когда я пытаюсь пинговать 90.90.90.2 с 10.0.2.1, "пинги" до него всё-таки доходят, но ответ не возвращается, т.к срабатывает ACL 100
(source получается 90.90.90.2), что этим-же ACL запрещено...если я правильно понимаю

"subinterface, dot1q, access-list"
Отправлено sn , 01-Мрт-07 08:45

>>>interface FastEthernet0.200
>>> description LOCAL
>>> encapsulation dot1Q 200
>>> ip address 10.0.2.254 255.255.255.0
>>
>>>access-list 1 permit 10.0.0.0 0.255.255.255
>>
>>>3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина
>>>90.90.90.2 (файрвол откл., с c1751 доступно)
>>>собственно в п. 3 и заключается моя проблема.
>>>
>>>кто знает как решить?
>>>спасибо.
>>
>>разницу в масках заметил? если 10 сетка реально побита, то пишешь
>>
>>ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети>
>
>я не понимаю причём тут этот роутинг?
>например, с ip 10.0.2.1 (шлюз 10.0.2.254) не доступен адрес 90.90.90.2.
>когда я пытаюсь пинговать 90.90.90.2 с 10.0.2.1, "пинги" до него всё-таки доходят,
>но ответ не возвращается, т.к срабатывает ACL 100
>(source получается 90.90.90.2), что этим-же ACL запрещено...если я правильно понимаю
если с масками у тебя все в порядке, то тут надо посмотреть, что сначала отрабатывает acl или нат. с цискиным натом не очень дружу.