- Человеческая маршрутизация на циске, ShyLion, 15:06 , 22-Авг-14 (1)
- Человеческая маршрутизация на циске, slowkazak, 15:27 , 22-Авг-14 (2)
> https://supportforums.cisco.com/document/26021/how-configure... Я не слишком силен в английском но правильно ли понимаю что алгоритм в моем случае такой: 1. делаем интерфейс за которым сидит 192.168.1.2 внешним 2. Делаем все мои псевдоинтерфейсы внутренними 3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника ацл будет работать 4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно 5. Исходя из этого маршрута строим правило для nat? Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у сервера 192.168.1.2 откликнулся на запрос?
- Человеческая маршрутизация на циске, ShyLion, 16:07 , 22-Авг-14 (5)
- Человеческая маршрутизация на циске, slowkazak, 16:16 , 22-Авг-14 (6)
>> Добрый день, есть cisco 2921. >> Схема сети такая: >> Сервер (192.168.1.2) > Ну и на всякий случай спрошу - что мешает клиентам обращаться к > серверу по адресу СЕРВЕРА ? > Очередная порносхема.По видимому в этой конторе это народный обычай: есть куча вланов, часть из которых я не очень понимаю зачем вообще нужны у каждого влана свои адреса, за каждым вланом сидят чуваки со своими сетями. Я вообще же хотел сначала заставить всех подключаться по единому адресу, единого интерфейса на циске а потом переправлять все что нужно на нужный мне сервер, но видимо тут так не принято и придется воротить все что есть. По крайней мере я пока не очень представляю что делать со всем этим
- Человеческая маршрутизация на циске, slowkazak, 16:22 , 22-Авг-14 (7)
Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес и настроить простой статик нат а чувакам со своими суперподсетями предложить решить вопрос с маршрутизацией из их сети до моего единого адреса? Или это слишком жесть?
- Человеческая маршрутизация на циске, Merridius, 16:40 , 22-Авг-14 (8)
- Человеческая маршрутизация на циске, slowkazak, 16:46 , 22-Авг-14 (9)
>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес >> и настроить простой статик нат а чувакам со своими суперподсетями предложить >> решить вопрос с маршрутизацией из их сети до моего единого адреса? >> Или это слишком жесть? > Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как > уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к > серверу?не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали. Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}? А в подсетях клиентов видеться сервант уже дожен так как циска посредством интерфейса с вланом уже находится в сети клиентской машины?
- Человеческая маршрутизация на циске, Andrey, 18:17 , 22-Авг-14 (10)
- Человеческая маршрутизация на циске, slowkazak, 22:19 , 22-Авг-14 (11)
Приношу извинения что парил мозги. Вот мой show run. Интерфейсы, чудо маршруты и acl! interface GigabitEthernet0/0 description LAN ip address 192.168.1.5 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 no ip address ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 9 ip address 192.168.10.1 255.255.255.0 no cdp enable ! interface GigabitEthernet0/1.2 encapsulation dot1Q 11 ip address 192.168.4.200 255.255.255.0 ip access-group 100 out no cdp enable ! interface GigabitEthernet0/1.3 encapsulation dot1Q 10 ip address 192.0.0.200 255.255.255.0 secondary ip address 192.168.3.200 255.255.255.0 no cdp enable ! interface GigabitEthernet0/1.4 encapsulation dot1Q 3 ip address 192.168.12.250 255.255.254.0 ip nat inside ip virtual-reassembly in no cdp enable ! ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4 ! access-list 100 permit tcp any any eq 8081 access-list 100 permit tcp any any eq 8080 access-list 100 permit tcp any any eq 554 access-list 100 permit tcp any any eq 555 access-list 100 permit tcp any any eq 556 access-list 100 permit tcp any any eq www access-list 100 permit tcp any any eq 443 access-list 100 permit tcp any any eq 3080 access-list 100 permit tcp any any eq 3081 access-list 100 permit icmp any any echo access-list 101 deny tcp any any eq 22 access-list 101 deny tcp any any eq telnet access-list 101 deny tcp any any eq ftp access-list 101 deny tcp any any eq 21145 access-list 101 deny tcp any any eq 145 access-list 101 deny tcp any any eq 149 access-list 101 permit icmp any any echo ! Нужно чтоб люди которые находятся за GigabitEthernet0/1.1 GigabitEthernet0/1.2 GigabitEthernet0/1.3 GigabitEthernet0/1.4 могли достучаться до сервера, который сидит за GigabitEthernet0/0 Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие дела.
- Человеческая маршрутизация на циске, Merridius, 23:19 , 22-Авг-14 (12)
- Человеческая маршрутизация на циске, slowkazak, 23:45 , 22-Авг-14 (13)
>[оверквотинг удален] >> дела. > Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации > понимаете? > Что ЭТО за роуты на абонентские интерфейсы? Зачем? > ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1 > ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2 > ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3 > ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4 > Плюс ip nat inside у вас висит на main интерфейсе, зачем? > Остальное даже смотреть не стал. У вас By Design все не правильно. Интерфейсы и роуты делались до меня. С натом уже я погорячился. Предположим что я выкидываю роуты, нат, который не нужен ну и до кучи секонд адресс, получаю следующее ! interface GigabitEthernet0/0 description LAN ip address 192.168.1.5 255.255.255.0 ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 no ip address ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 9 ip address 192.168.10.1 255.255.255.0 no cdp enable ! interface GigabitEthernet0/1.2 encapsulation dot1Q 11 ip address 192.168.4.200 255.255.255.0 ip access-group 100 out no cdp enable ! interface GigabitEthernet0/1.3 encapsulation dot1Q 10 ip address 192.168.3.200 255.255.255.0 no cdp enable ! interface GigabitEthernet0/1.4 encapsulation dot1Q 3 ip address 192.168.12.250 255.255.254.0 no cdp enable !
- Человеческая маршрутизация на циске, Merridius, 23:51 , 22-Авг-14 (14)
- Человеческая маршрутизация на циске, slowkazak, 23:58 , 22-Авг-14 (15)
>[оверквотинг удален] >> no cdp enable >> ! >> interface GigabitEthernet0/1.4 >> encapsulation dot1Q 3 >> ip address 192.168.12.250 255.255.254.0 >> no cdp enable >> ! > Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x > На сервере ip route 0.0.0.0/0 192.168.1.5 > Все. Чистая маршрутизация. Хотите большего, скажите что.И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят друг друга? Если так, то в принципе ничего больше и не надо. Все что нужно дальше без изобретания велосипедов надеюсь что сам пойму
- Человеческая маршрутизация на циске, Merridius, 00:02 , 23-Авг-14 (16)
- Человеческая маршрутизация на циске, ShyLion, 21:48 , 23-Авг-14 (18)
- Человеческая маршрутизация на циске, slowkazak, 08:48 , 05-Сен-14 (19)
Конечно, надо бы пробел восполнить, я и не занимался маршрутизацией толком никогда. А вообще спасибо, за ответы, господа!
|