 1841 и модуль HWIC-4ESW,  Xelaes, 04-Апр-10, 12:31 [смотреть все]Здравствуйте.Провайдер выделил для подключения интернет восьми адресную сеть 1.1.1.0/29
1.1.1.1 является шлюзом у провайдера, остальные адреса можно использовать.
Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW, версия IOS c1841-advipservicesk9-mz.124-25a.bin. Провод провайдера заходит в interface FastEthernet0/0/0 К interface FastEthernet0/0/3 подключено два устройства (с белыми IP 1.1.1.5, 1.1.1.6) к которым надо ограничить доступ из интернет. Ограничиваю в access-list 105. Но правило почему-то не срабатывает, пакеты до 1.1.1.5 доходят с любого хоста.
Это особенность модуля 4ESW или что-то делаю не правильно? Конфиг прилагается: no aaa new-model
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
no spanning-tree vlan 1
no spanning-tree vlan 2
no spanning-tree vlan 3
!
interface FastEthernet0/0
ip address 10.0.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet0/1
no ip address
ip virtual-reassembly
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 2
no cdp enable
!
interface FastEthernet0/0/1
switchport access vlan 3
no cdp enable
!
interface FastEthernet0/0/2
switchport access vlan 3
no cdp enable
!
interface FastEthernet0/0/3
switchport access vlan 2
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
ip address 1.1.1.2 255.255.255.248
ip access-group 105 in
ip nat outside
ip virtual-reassembly
no mop enabled
!
interface Vlan3
ip address 10.0.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no mop enabled
!
ip default-gateway 1.1.1.1
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip route 10.0.1.0 255.255.255.0 10.0.1.1
ip route 10.0.0.0 255.255.255.0 2.2.2.2
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 1.1.1.2 22 interface Vlan2 22
ip nat inside source static 10.0.1.1 1.1.1.2 route-map nonat
ip nat inside source static tcp 10.0.2.201 80 1.1.1.3 80 extendable
ip nat inside source static tcp 10.0.2.202 80 1.1.1.4 80 extendable
!
access-list 105 permit ip host 2.2.2.2 host 1.1.1.5
access-list 105 permit ip host 2.2.2.2 host 1.1.1.6
access-list 105 deny ip any host 1.1.1.5
access-list 105 deny ip any host 1.1.1.6
access-list 105 permit ip any any
access-list 150 deny ip host 10.0.1.1 10.0.0.0 0.0.0.255
access-list 150 permit ip host 10.0.1.1 any
no cdp run
!
route-map nonat permit 10
match ip address 150
!
control-plane
|
- 1841 и модуль HWIC-4ESW, Gbyte, 13:11 , 04-Апр-10 (1)
- 1841 и модуль HWIC-4ESW, Xelaes, 13:31 , 04-Апр-10 (2)
>если ты хочешь именно так сервера подключать, то тебе нужен VACL (если
>рутер его умеет). 1841 VACL, видимо, не умеет >если хочешь ACL, то убирай сервера в другой вилан и делай НАТ. Вариант с натом не подходит, т.к. у тех двух устройств должен быть обязательно белый IP Может есть еще какие-то решения без использования дополнительного оборудования?
- 1841 и модуль HWIC-4ESW, Gbyte, 18:59 , 04-Апр-10 (3)
- 1841 и модуль HWIC-4ESW, Xelaes, 22:00 , 04-Апр-10 (4)
>Договорится с провайдером о делегировании маршрутизиции белой сети: Можно попытаться. К FastEthernet0/0 подключен коммутатор 3560.
Если у него несколько портов назначить в другой Vlan и в них подключить провод провайдера, те два устройства и обратно в роутер к FastEthernet0/0/0, а на коммутаторе сделать необходимое ограничение, будет ли такое решение безопасным?
- 1841 и модуль HWIC-4ESW, Gbyte, 22:27 , 04-Апр-10 (5)
- 1841 и модуль HWIC-4ESW, Xelaes, 16:14 , 05-Апр-10 (9)
>так если у тебя 3560ый есть почему на нем не развести интернет
>и лан? он всетаки L3 коммутатор и мозгов у него побольше
>будет... ну кроме впнов... Какая примерно схема должна получиться? Которую я предложил наделав колец или как-то более грамотно?
- 1841 и модуль HWIC-4ESW, Gbyte, 19:21 , 05-Апр-10 (10)
- 1841 и модуль HWIC-4ESW, Xelaes, 23:08 , 06-Апр-10 (11)
>мы пока еще ни одной твоей схемы не видели, а ты очешь
>чтоб тебе уже сеть нарсовали... Я на словах попытался объяснить, примерно так сделать?
3560:
interface GigabitEthernet0/1 - приходит провод провайдера
здесь сделать VACL
switchport access vlan 2
interface GigabitEthernet0/2 - уходит в 1841 в FE0/0/0
switchport access vlan 2
interface GigabitEthernet0/3 - устройства с белыми ip
switchport access vlan 2
interface GigabitEthernet0/4 - приходит от 1841 из FE0/0 локальные компьютеры
switchport access vlan 1 1841:
interface FastEthernet0/0 - уходит в 3560 в GE0/4 - сеть за натом
ip address 10.0.1.2 255.255.255.0
ip nat inside
interface FastEthernet0/0/0 - приходит от 3560 из GE0/4 с интернет
switchport access vlan 2
interface FastEthernet0/0/1 - устройства за натом
switchport access vlan 3
interface FastEthernet0/0/2 - устройства за натом
switchport access vlan 3
interface Vlan2 - интернет
ip address 1.1.1.2 255.255.255.248
ip nat outside
interface Vlan3 - устройства за натом
ip address 10.0.2.1 255.255.255.0
ip nat inside
ip default-gateway 1.1.1.1 Или лучше соединить GE0/2 и FE0/0/0 транком? С провайдером пока выясняются технические возможности
- 1841 и модуль HWIC-4ESW, ShyLion, 07:26 , 05-Апр-10 (6)
|
Версия для распечатки
