- Человеческая маршрутизация на циске,
 ShyLion, 15:06 , 22-Авг-14 (1)
- Человеческая маршрутизация на циске, slowkazak, 15:27 , 22-Авг-14 (2)
> https://supportforums.cisco.com/document/26021/how-configure... Я не слишком силен в английском но правильно ли понимаю что алгоритм в моем случае такой: 1. делаем интерфейс за которым сидит 192.168.1.2 внешним 2. Делаем все мои псевдоинтерфейсы внутренними 3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника ацл будет работать
4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно 5. Исходя из этого маршрута строим правило для nat?
Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у сервера 192.168.1.2 откликнулся на запрос?
- Человеческая маршрутизация на циске, ShyLion, 16:07 , 22-Авг-14 (5)
- Человеческая маршрутизация на циске, slowkazak, 16:16 , 22-Авг-14 (6)
>> Добрый день, есть cisco 2921.
>> Схема сети такая:
>> Сервер (192.168.1.2)
> Ну и на всякий случай спрошу - что мешает клиентам обращаться к
> серверу по адресу СЕРВЕРА ?
> Очередная порносхема.По видимому в этой конторе это народный обычай: есть куча вланов, часть из которых я не очень понимаю зачем вообще нужны у каждого влана свои адреса, за каждым вланом сидят чуваки со своими сетями. Я вообще же хотел сначала заставить всех подключаться по единому адресу, единого интерфейса на циске а потом переправлять все что нужно на нужный мне сервер, но видимо тут так не принято и придется воротить все что есть. По крайней мере я пока не очень представляю что делать со всем этим
- Человеческая маршрутизация на циске, slowkazak, 16:22 , 22-Авг-14 (7)
Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес и настроить простой статик нат а чувакам со своими суперподсетями предложить решить вопрос с маршрутизацией из их сети до моего единого адреса? Или это слишком жесть?
- Человеческая маршрутизация на циске, Merridius, 16:40 , 22-Авг-14 (8)
- Человеческая маршрутизация на циске, slowkazak, 16:46 , 22-Авг-14 (9)
>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес
>> и настроить простой статик нат а чувакам со своими суперподсетями предложить
>> решить вопрос с маршрутизацией из их сети до моего единого адреса?
>> Или это слишком жесть?
> Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как
> уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к
> серверу?не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали. Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}?
А в подсетях клиентов видеться сервант уже дожен так как циска посредством интерфейса с вланом уже находится в сети клиентской машины?
- Человеческая маршрутизация на циске, Andrey, 18:17 , 22-Авг-14 (10)
- Человеческая маршрутизация на циске, slowkazak, 22:19 , 22-Авг-14 (11)
Приношу извинения что парил мозги.
Вот мой show run. Интерфейсы, чудо маршруты и acl!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.0.0.200 255.255.255.0 secondary
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
ip nat inside
ip virtual-reassembly in
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
! access-list 100 permit tcp any any eq 8081
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 554
access-list 100 permit tcp any any eq 555
access-list 100 permit tcp any any eq 556
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 3080
access-list 100 permit tcp any any eq 3081
access-list 100 permit icmp any any echo
access-list 101 deny tcp any any eq 22
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq ftp
access-list 101 deny tcp any any eq 21145
access-list 101 deny tcp any any eq 145
access-list 101 deny tcp any any eq 149
access-list 101 permit icmp any any echo
! Нужно чтоб люди которые находятся за GigabitEthernet0/1.1
GigabitEthernet0/1.2
GigabitEthernet0/1.3
GigabitEthernet0/1.4 могли достучаться до сервера, который сидит за GigabitEthernet0/0 Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие дела.
- Человеческая маршрутизация на циске, Merridius, 23:19 , 22-Авг-14 (12)
- Человеческая маршрутизация на циске, slowkazak, 23:45 , 22-Авг-14 (13)
>[оверквотинг удален]
>> дела.
> Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации
> понимаете?
> Что ЭТО за роуты на абонентские интерфейсы? Зачем?
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
> Плюс ip nat inside у вас висит на main интерфейсе, зачем?
> Остальное даже смотреть не стал. У вас By Design все не правильно. Интерфейсы и роуты делались до меня. С натом уже я погорячился.
Предположим что я выкидываю роуты, нат, который не нужен ну и до кучи секонд адресс, получаю следующее
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0 ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
no cdp enable
!
- Человеческая маршрутизация на циске, Merridius, 23:51 , 22-Авг-14 (14)
- Человеческая маршрутизация на циске, slowkazak, 23:58 , 22-Авг-14 (15)
>[оверквотинг удален]
>> no cdp enable
>> !
>> interface GigabitEthernet0/1.4
>> encapsulation dot1Q 3
>> ip address 192.168.12.250 255.255.254.0
>> no cdp enable
>> !
> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
> На сервере ip route 0.0.0.0/0 192.168.1.5
> Все. Чистая маршрутизация. Хотите большего, скажите что.И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят друг друга?
Если так, то в принципе ничего больше и не надо. Все что нужно дальше без изобретания велосипедов надеюсь что сам пойму
- Человеческая маршрутизация на циске, Merridius, 00:02 , 23-Авг-14 (16)
- Человеческая маршрутизация на циске, ShyLion, 21:48 , 23-Авг-14 (18)
- Человеческая маршрутизация на циске, slowkazak, 08:48 , 05-Сен-14 (19)
Конечно, надо бы пробел восполнить, я и не занимался маршрутизацией толком никогда. А вообще спасибо, за ответы, господа!
|
Версия для распечатки
Человеческая маршрутизация на циске, 
