форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"2 провайдера, ACL"	+/–
Сообщение от mikeer (ok) on 15-Дек-11, 10:21
Уважаемые гуру. Знаю, что тема с интернетом от 2ух провайдеров избита и изъезжена, но все же. Сломал себе уже всю голову. Суть проблемы: имеется интернет от двух провайдеров, локальные пользователи поделены для пользования оными провайдерами. Если падает один провайдер, пользователи подключенные к нему сидят без инета и наоборот. Решил сделать через ip policy и route-map (в дальнейшем возможно понадобится конфа с резервным провайдером) Вроде работает, НО при создании ACL и привязывании к внешн интерфейсу циски рубится трафик. Подскажите, где накосячил? interface FastEthernet0   ip address x.x.x.2 255.255.255.z ip nat outside ip inspect FTP-trffic in ip virtual-reassembly ip route-cache flow duplex auto speed auto ! interface FastEthernet1 ip address y.y.y.162 255.255.255.z ip nat outside ip virtual-reassembly duplex auto speed auto interface Vlan1   ip address 172.16.0.1 255.255.0.0 ip access-group 102 in ip flow ingress ip flow egress ip nat inside no ip virtual-reassembly ip route-cache flow ip policy route-map RouteSelect ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.1 ip route 0.0.0.0 0.0.0.0 y.y.y.161 ip nat inside source route-map yNat interface FastEthernet1 overload ip nat inside source route-map xNat interface FastEthernet0 overload ip nat inside source static tcp 172.16.1.15 20 x.x.x.6 20 extendable ip nat inside source static tcp 172.16.1.15 21 x.x.x.6 21 extendable ip nat inside source static tcp 172.16.1.14 25 x.x.x.6 25 extendable ip nat inside source static tcp 172.16.1.14 53 x.x.x.6 53 extendable ip nat inside source static tcp 172.16.1.14 80 x.x.x.6 80 extendable ip nat inside source static tcp 172.16.1.14 110 x.x.x.6 110 extendable ip nat inside source static tcp 172.16.1.14 143 x.x.x.6 143 extendable ip nat inside source static tcp 172.16.1.4 3389 x.x.x.6 3389 extendable ip nat inside source static 172.16.1.14 x.x.x.6 access-list 1 permit 172.16.0.0 0.0.0.255 access-list 1 permit 172.16.1.0 0.0.0.255 access-list 1 permit 172.16.2.0 0.0.0.255 access-list 1 permit 172.16.3.0 0.0.0.255 access-list 1 permit 172.16.100.0 0.0.0.255 access-list 2 permit 172.16.4.0 0.0.0.255 вот мой примерный не работающий ACL: access-list 103 permit tcp any host x.x.x.6 eq www access-list 103 permit tcp any host x.x.x.6 eq smtp access-list 103 permit tcp any host x.x.x.6 eq pop3 access-list 103 permit tcp any host x.x.x.6 eq 3389 access-list 103 permit icmp any host x.x.x.6 access-list 103 permit tcp any host x.x.x.6 eq 443 access-list 103 permit tcp any host x.x.x.6 eq ftp-data access-list 103 permit tcp any host x.x.x.6 eq ftp access-list 103 permit tcp any host x.x.x.6 eq 24021 access-list 103 permit tcp any host x.x.x.6 eq 24023 access-list 103 permit tcp any host x.x.x.6 eq 24024 access-list 103 permit icmp any host x.x.x.2 echo access-list 103 permit icmp any host x.x.x.2 echo-reply access-list 103 permit tcp any host x.x.x.6 eq 22 access-list 103 permit tcp any host x.x.x.6 eq cmd access-list 103 permit udp any eq domain any access-list 103 permit udp any any access-list 103 permit icmp any host x.x.x.2 no cdp run route-map yNat permit 10 match ip address 2 match interface FastEthernet1 ! route-map RouteSelect permit 20 match ip address 1 set ip next-hop x.x.x.1 ! route-map RouteSelect permit 30 match ip address 2 set ip next-hop y.y.y.161 ! route-map xNat permit 10 match ip address 1 match interface FastEthernet0
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "2 провайдера, ACL"	+/–
Сообщение от Николай_kv on 15-Дек-11, 14:56
Что есть сегодня внешний интерфейс? Если вы про это access-list 103 permit tcp any host x.x.x.6 eq www access-list 103 permit tcp any host x.x.x.6 eq smtp access-list 103 permit tcp any host x.x.x.6 eq pop3 access-list 103 permit tcp any host x.x.x.6 eq 3389 access-list 103 permit icmp any host x.x.x.6 access-list 103 permit tcp any host x.x.x.6 eq 443 access-list 103 permit tcp any host x.x.x.6 eq ftp-data access-list 103 permit tcp any host x.x.x.6 eq ftp access-list 103 permit tcp any host x.x.x.6 eq 24021 access-list 103 permit tcp any host x.x.x.6 eq 24023 access-list 103 permit tcp any host x.x.x.6 eq 24024 access-list 103 permit icmp any host x.x.x.2 echo access-list 103 permit icmp any host x.x.x.2 echo-reply access-list 103 permit tcp any host x.x.x.6 eq 22 access-list 103 permit tcp any host x.x.x.6 eq cmd access-list 103 permit udp any eq domain any access-list 103 permit udp any any access-list 103 permit icmp any host x.x.x.2 то рассудим логически: пользователь ломится в Инет открывается динамический dest (допустим 32456) порт - пакет транслируеться и уходит в Инет. Инет отвечает на динамический порт 32456 и успешно отбивается вашим листом 103.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "2 провайдера, ACL"	+/–
	Сообщение от Николай_kv on 15-Дек-11, 14:58
	а вообще если я проникся полностью - то ваша конструкция ничего положительного не дала и переключения в случае падения не произойдет - поскольку 99% инет пропадает у ИСП а линки у вас как были в апе так и останутся а это две большие разницы ;)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "2 провайдера, ACL"	+/–
	Сообщение от mikeer (ok) on 15-Дек-11, 15:06
	> а вообще если я проникся полностью - то ваша конструкция ничего положительного > не дала и переключения в случае падения не произойдет - поскольку > 99% инет пропадает у ИСП а линки у вас как были > в апе так и останутся а это две большие разницы ;) Переключение пользователей не надо, не заслужили... пока Я так понимаю дописать permit tcp any any established ?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "2 провайдера, ACL"	+/–
	Сообщение от Николай_kv on 15-Дек-11, 15:08
	>> а вообще если я проникся полностью - то ваша конструкция ничего положительного >> не дала и переключения в случае падения не произойдет - поскольку >> 99% инет пропадает у ИСП а линки у вас как были >> в апе так и останутся а это две большие разницы ;) > Переключение пользователей не надо, не заслужили... пока > Я так понимаю дописать > permit tcp any any established ? тогда уж просто снимите ацл с интерфейса :) это равнозначные действия.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "2 провайдера, ACL"	+/–
	Сообщение от mikeer (ok) on 15-Дек-11, 15:25
	> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия. Так нехорошо. Объясните тогда пожалуйста как создать ACL для доступа вовнутрь по определенным портам. Насколько я понимаю в конце ACL стоит неявный deny? Почему тогда это будут равнозначные действия? )
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "2 провайдера, ACL"	+/–
	Сообщение от Николай_kv on 15-Дек-11, 15:47
	>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия. > Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным > портам. Поменять in на out будет правильно? По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт для инициализации соединений из вне. Поднимая NAT extended вы даете доступ только по тем портам которые указали - никаких других портов открыто не будет - не верите снифер в руки и просканьте свой внешний ИП.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "2 провайдера, ACL"	+/–
	Сообщение от mikeer (ok) on 15-Дек-11, 15:50
	>>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия. >> Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным >> портам. Поменять in на out будет правильно? > По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт > для инициализации соединений из вне. Поднимая NAT extended вы даете доступ > только по тем портам которые указали - никаких других портов открыто > не будет - не верите снифер в руки и просканьте свой > внешний ИП. Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если нужно открыть порты для сервисов? Ведь тогда ацл нужен?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "2 провайдера, ACL"	+/–
	Сообщение от Николай_kv on 15-Дек-11, 16:19
	>>>> тогда уж просто снимите ацл с интерфейса :) это равнозначные действия. >>> Так нехорошо. Объясните тогда как создать ACL для доступа вовнутрь по определенным >>> портам. Поменять in на out будет правильно? >> По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт >> для инициализации соединений из вне. Поднимая NAT extended вы даете доступ >> только по тем портам которые указали - никаких других портов открыто >> не будет - не верите снифер в руки и просканьте свой >> внешний ИП. > Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если > нужно открыть порты для сервисов? Ведь тогда ацл нужен? в вашем случае вы их открываете натом - если порты публичные ацл не нужен
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "2 провайдера, ACL"	+/–
	Сообщение от mikeer (ok) on 15-Дек-11, 16:28
	>[оверквотинг удален] >>>> портам. Поменять in на out будет правильно? >>> По умолчанию если на интерфейсе никаких сервисов не привязано то он закрыт >>> для инициализации соединений из вне. Поднимая NAT extended вы даете доступ >>> только по тем портам которые указали - никаких других портов открыто >>> не будет - не верите снифер в руки и просканьте свой >>> внешний ИП. >> Пока правил свое сообщение Вы уже ответили. Хорошо, а тогда скажите если >> нужно открыть порты для сервисов? Ведь тогда ацл нужен? > в вашем случае вы их открываете натом - если порты публичные ацл > не нужен Спасибо за ответ. Буду пробовать.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема