Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.67/6: Рейтинг темы: голосов - 6, средняя оценка - 4.67
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
1

Как скорректировать маршрутизатор Cisco 1921 на разные подсети?

05.01.2017, 12:02. Просмотров 1062. Ответов 19

Приветствую, Камрады!

Требуется помощь с маршрутизатором Cisco 1921, а именно проброс его в другие Vlan. Никак не могу сообразить с маршрутом.

В общем изначально была простая сеть, т.е. одна 0-ая подсеть на неуправляемых коммутаторах. Серваки и пользователи были в общей куче. Если нужно было к примеру пробросить 1С на внешку, то я просто прописал на сервере шлюзом циску и на ней просто сделал проброс портов. Так же на ней настроена DMVPN-сеть между офисами для телефонов (экономия на межгороде)

Вот ее конфиг:

Кликните здесь для просмотра всего текста
Код
dbt_vlg#sh run
Building configuration...

Current configuration : 5404 bytes
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
no service dhcp
!
hostname dbt_vlg
!
boot-start-marker
boot-end-marker
!
!
enable password 7 ************************
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip multicast-routing
!
!
ip domain name donbiotech.local
ip name-server 83.221.202.254
ip name-server 8.8.8.8
ip inspect WAAS flush-timeout 10
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
username francyz privilege 15 secret 5 ***********************
!
redundancy
!
!
ip ssh version 1
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key dbtkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set dmvpn_ts esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile dmvpn_profile
set transform-set dmvpn_ts
!
!
interface Tunnel1
description DMVPN
ip address 10.0.0.1 255.255.255.224
no ip redirects
ip mtu 1400
ip nhrp authentication nhrpkey
ip nhrp map multicast dynamic
ip nhrp network-id 2014
ip ospf authentication message-digest
ip ospf authentication-key 7 151D181C0215202131
ip ospf network broadcast
ip ospf hello-interval 3
ip ospf priority 100
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 2014
tunnel protection ipsec profile dmvpn_profile
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description INTERNET
ip address <внешний адрес> 255.255.255.252
ip access-group LANNET-in in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
router ospf 10
router-id 1.1.1.1
auto-cost reference-bandwidth 1000
area 0 authentication message-digest
area 192.168.0.0 authentication message-digest
redistribute static subnets
passive-interface default
no passive-interface Tunnel1
network 10.0.0.0 0.0.0.31 area 0
network 192.168.0.0 0.0.0.255 area 192.168.0.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list internet_to_lan interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.0.2 3389 <внешний адрес> 51788 extendable
ip nat inside source static tcp 192.168.0.3 3389 <внешний адрес> extendable
ip route 0.0.0.0 0.0.0.0 <внешний шлюз провайдера>
!
ip access-list extended LANNET-in
permit icmp any any
permit tcp any any established
remark DNS
permit udp any host <внешний адрес> eq domain
permit tcp any host <внешний адрес> eq domain
permit udp any any
remark WEB
permit tcp any host <внешний адрес> eq www
permit tcp any host <внешний адрес> eq 443
remark AVP
permit tcp any host <внешний адрес> eq 13000
permit tcp any host <внешний адрес> eq 14000
permit udp any host <внешний адрес> eq 15000
remark RDP
permit tcp any host <внешний адрес> eq 51788
ip access-list extended internet_to_lan
permit ip 192.168.0.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0
transport input all
line vty 1
exec-timeout 30 0
privilege level 15
transport input ssh
line vty 2 4
transport input all
!
scheduler allocate 20000 1000
end


Но вот пришли L3 и L2 свитчи и нужно теперь это все делать довести до ума. Были созданы отдельные Vlan'ы для активного оборудования, серверов, пользователей и принтеров.
Vlan 100 - коммутаторы и т.д.
192.168.0.0/24
gw 192.168.0.250

Vlan 101 - сервера
192.168.1.0/24
gw 192.168.1.250

Vlan 102 - пользователи
192.168.2.0/24
gw 192.168.2.250

Маршрутизирует трафик между Vlan'ами L3 коммутатор. Вот его конфиг:

Кликните здесь для просмотра всего текста
Код
Aruba-2930F-48G-01# sh run

Running configuration:

hostname "Aruba-2930F-48G-01"
module 1 type jl260a
time timezone 180
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.1.1
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 11-32,47-48
untagged 1-10,33-46,49-52
no ip address
exit
vlan 99
name "Management"
untagged 47-48
tagged 50-52
ip address 192.168.99.250 255.255.255.0
exit
vlan 100
name "Active"
untagged 1-10
tagged 50-52
ip address 192.168.0.250 255.255.255.0
ip helper-address 192.168.1.2
exit
vlan 101
name "Servers"
untagged 11-20
tagged 50-52
ip address 192.168.1.250 255.255.255.0
exit
vlan 102
name "Users"
tagged 50-52
ip address 192.168.2.250 255.255.255.0
ip helper-address 192.168.1.2
exit
vlan 103
name "Printers"
tagged 50-52
ip address 192.168.3.250 255.255.255.0
ip helper-address 192.168.1.2
exit
management-vlan 99
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
device-profile name "default-ap-profile"
cos 0
exit
activate provision disable
password manager


Есть DHCP сервер с адресом 192.168.1.2, который входит в VLAN 101, с него раздаются адреса для всех подсетей по шаблону:
адрес 192.168.*.0
маска 255.255.255.0
шлюз 192.168.*.250
, где * - 1, 2 или 3 в зависимости от VLAN

И есть Kerio с адресом 192.168.1.1 из VLAN 101 на внутреннем интерфейсе, который раздает интернет. На L3 добавлен статический маршрут ip route 0.0.0.0 0.0.0.0 192.168.1.1, а на самом керио 192.168.0.0 mask 255.255.0.0 gw 192.168.1.250.
И внешний интерфейс с адресом 192.168.0.4 mask 255.255.255.0 шлюз 192.168.0.1 (циска, куда приходит инет).

Так вот, при такой схеме доступ в интернет есть у 101 - 103 Vlan'а, посредствам Керио. Циска с этих Vlan'ов не пингуется, только из своего 100-го. Как мне настроить циску так, чтобы она видела другие Vlan'ы?

Т.е. я к примеру хочу пробросить так же сервер 1С наружу, но т.к. у него адрес уже из 1-ой подсети 192.168.1.3, то сделать как раньше не получится. Сейчас у сервера шлюзом стоит L3 Коммутатор с адресом из своего Vlan'а - 192.168.1.250. Циска 1-ю подсеть не видит, поэтому просто так заменить шлюз на 192.168.0.1 не получится, пока циска не будет видить адреса из других подсетей.

Подскажите с конфигом, где и что подкорректировать.

Во вложении визуальная схема.
0
Миниатюры
Как скорректировать маршрутизатор Cisco 1921 на разные подсети?  
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
05.01.2017, 12:02
Ответы с готовыми решениями:

Cisco 1921 IP NAT
Привет всем! Столкнулся со следующей проблемой: имеется маршрутизатор Cisco...

Cisco 1921 RDP
Есть Cisco 1921 - настроил ее как роутер, все работает! Уже неделю бьюсь и не...

Cisco 1921 и GE порты
Добрый день. Пытаюсь настроить гигабитные интерфейсы на Cisco 1921, но про них...

Cisco 1921 VPN
Глупый вопрос задам наверно. Сразу извинюсь. Циску держу в руках первый раз....

Cisco 1921 терплю бедствие
Здравствуйте. Не пинайте строго чайника, пожалуйста, но нужна помощь. Имеется...

19
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.01.2017, 12:39 2
ты намудрил со схемой, я бы все переделал
1. вот смотри пинаешь, например, из 192.168.2.0 сети адрес cisco 192.168.0.1, трафик дойдет до свитча L3, смаршрутизируется и по 100 влане уйдет на cisco, минуя керио.
а обратно??? cisco разве знает о сетях 192.168.2.0 и 192.168.3.0? нет!!!! и пошлет пакет на внешний шлюз по умолчанию (провайдера), где он и дропнется....

2. теперь ситуация с инетом, пинаешь, например, из 192.168.2.0 сети адрес 8.8.8.8, трафик дойдет до свитча L3, уйдет на его шлюз по умолчанию 192.168.1.1 (а это керио), на керио натируется, и улетит на его шлюз по умолчанию 192.168.0.1 (а это роутер), на роутере опять натируется, и улетит на на внешний шлюз (провайдера).
обратно: пришедший из инета пакет, разнатируется на роутере, полетит на 192.168.0.4, там опять разнатируется и через через маршрутизацию на L3 доберется обратно.
________________________________________________________________________________________________________________________ _______________________________________________
так вот, ответы на два поставленных вопроса
чтобы внутренние устройства из сети 192.168.х.0 видели роутер, надо на роутере прописать маршрут (-ы) до этих подсетей через L3.
ip route 192.168.х.0 255.255.255.0 192.168.0.250

а чтобы устройства из инета видели комп из сети 192.168.х.0 (те речь о static nat, когда пк из инета инициирует соединение с пк из внутренней сети), то придется двойной static NAT делать:
на роутере пробрасывать с внешнего интерфейса X порт на адрес керио 192.168.0.4 Y порт,
а на керио пробрасывать с интерфейса 192.168.0.4 Y порт на адрес машины в сети 192.168.х.0 Z порт
________________________________________________________________________________________________________________________ _______________________________________________
как-то так.........
я верно понимаю, что на керио так же NAT поднят?
в общем я схему переделал бы
во первых - двойной NAT, во-вторых, сам видишь, как ходят пакеты с компа из внутренней сети до внутреннего интерфейса роутера и как до адреса в инете
1
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
05.01.2017, 19:08  [ТС] 3
Все верно, сейчас получается двойной NAT, что конечно не правильно. По факту: с циски идет на внешний интерфейс керио, а с керио уже в локалку. Согласен что это изврат, поэтому и прошу помощи в разборе полетов. Можно конечно убрать циску и керио из Влан100 и просто втыкнуть циску в керио, минуя L3, но по факту суть останется та же, как мне кажется - тот же двойной NAT.

Вот Вы сказали, что сделали бы по-другому, т.е. видите явные косяки в построении, подскажете в какую сторону копать?

Вот к примеру есть L3 во главе и два L2. Все делится на следующие Vlan'ы как я описал выше:
Vlan 100 - Активное оборудования (linksys шлюзы, свитчи, Wi-Fi точки и тд.)
Vlan 101 - Сервера
Vlan 102 - Пользователи
Vlan 103 - МФУ
Vlan 99 - Управляющий

Схема простая, без прокси (керио) и циски выглядит следующим образом (см. вложение). Стоит задача раздать инет 101 и 102 VLAN. Сервер 1С пробросить на внешку. Как еще можно реализовать данный функционал, если мой способ не верный?
0
Миниатюры
Как скорректировать маршрутизатор Cisco 1921 на разные подсети?  
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
05.01.2017, 19:54 4
Если есть циска, зачем вам керио? Или наоборот, если есть керио, зачем вам циска? Выкинуть одно, оставить второе.
0
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
05.01.2017, 20:12  [ТС] 5
xeonz, Керио, как прокся + логи, аудит трафика (куда люди ходят в интернете), + остальные его плюшки.
Циска, требования безопасности + DMVPN сеть с другой циской в другом городе.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.01.2017, 21:16 6
Цитата Сообщение от Art-Francyz Посмотреть сообщение
поэтому и прошу помощи в разборе полетов
Art-Francyz, я написал выше как можно решить вопросы в первом посте при уже существующей схеме:
Цитата Сообщение от insect_87 Посмотреть сообщение
так вот, ответы на два поставленных вопроса:
чтобы внутренние устройства из сети 192.168.х.0 видели роутер, надо на роутере прописать маршрут (-ы) до этих подсетей через L3.
ip route 192.168.х.0 255.255.255.0 192.168.0.250


а чтобы устройства из инета видели комп из сети 192.168.х.0 (те речь о static nat, когда пк из инета инициирует соединение с пк из внутренней сети), то придется двойной static NAT делать:
на роутере пробрасывать с внешнего интерфейса X порт на адрес керио 192.168.0.4 Y порт,
а на керио пробрасывать с интерфейса 192.168.0.4 Y порт на адрес машины в сети 192.168.х.0 Z порт
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Циска, требования безопасности
что под этим понимается?
Цитата Сообщение от Art-Francyz Посмотреть сообщение
xeonz, Керио, как прокся + логи, аудит трафика (куда люди ходят в интернете), + остальные его плюшки.
Циска, требования безопасности + DMVPN сеть с другой циской в другом городе.
провайдер выдает пул адресов? или есть возможность подключения к 2 провайдерам?
Цитата Сообщение от Art-Francyz Посмотреть сообщение
что сделали бы по-другому, т.е. видите явные косяки в построении, подскажете в какую сторону копать?
я бы видел это так: прокси - для выхода в инет, роутер - для DMVPN, оба внутренними интерфейсами подключаются к ядру (L3 свитч в данном случае)
1
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
05.01.2017, 21:20 7
Цитата Сообщение от Art-Francyz Посмотреть сообщение
xeonz, Керио, как прокся + логи, аудит трафика (куда люди ходят в интернете), + остальные его плюшки.
Циска, требования безопасности + DMVPN сеть с другой циской в другом городе.
Ну в таком случае просто уберите нат на керио.
0
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
05.01.2017, 21:55  [ТС] 8
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
провайдер выдает пул адресов? или есть возможность подключения к 2 провайдерам?
Запас на будущее в плане второго провайдера, типа резервный канал.

Цитата Сообщение от insect_87 Посмотреть сообщение
я написал выше как можно решить вопросы в первом посте при уже существующей схеме:
Про ip route я понял, попробую. Касательно двойного НАТ, сейчас так и сделано, но вы сказали что это все не правильно и можно сделать лучше. Я поэтому и спросил как.

Цитата Сообщение от insect_87 Посмотреть сообщение
я бы видел это так: прокси - для выхода в инет, роутер - для DMVPN, оба внутренними интерфейсами подключаются к ядру (L3 свитч в данном случае)
Сейчас же так и есть, только интернет приходит в циску. Вы предлагаете его втыкнуть во внешний интерфейс Керио, а у циски один из интерфейсов, который был внешним, оставить пустым, подключив ее только внутренним к Vlan100?
Тогда вопрос немного меняется, но тематика циски остается по-прежнему. Как подкорректировать конфиг циски на работу с такой схемой.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.01.2017, 22:31 9
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Запас на будущее в плане второго провайдера, типа резервный канал.
сейчас, в настоящее время, провайдер дает пул адресов?
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Касательно двойного НАТ, сейчас так и сделано
это же работает? на существующей схеме так и оставьте
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Сейчас же так и есть, только интернет приходит в циску
нет, сейчас не так.......
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Вы предлагаете его втыкнуть во внешний интерфейс Керио, а у циски один из интерфейсов, который был внешним, оставить пустым, подключив ее только внутренним к Vlan100?
нет//// вы же понимаете, что dmvpn hub должен быть с белым адресом, а с пробросом mgre/ipsec проблем будет много, да и не правильно это с точки зрения организации сети
Цитата Сообщение от Art-Francyz Посмотреть сообщение
но тематика циски остается по-прежнему
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Как подкорректировать конфиг циски на работу с такой схемой.
на существующей схеме написал как:
Цитата Сообщение от insect_87 Посмотреть сообщение
чтобы внутренние устройства из сети 192.168.х.0 видели роутер, надо на роутере прописать маршрут (-ы) до этих подсетей через L3.
ip route 192.168.х.0 255.255.255.0 192.168.0.250
или вообще на L3 свитче уберите int vlan 100 (ip address 192.168.0.250 255.255.255.0), и трафик из внутренних сетей до внутреннего адреса роутера (192.168.0.1) пойдет через керио, оставьте только два L3-интерфейса в 100 влане: на роутере (192.168.0.1) и на керио (192.168.0.4)
я же писал, Art-Francyz, вы пробовали?
1
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
05.01.2017, 23:04  [ТС] 10
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
сейчас, в настоящее время, провайдер дает пул адресов?
Нет, один выделенный адрес через IPoE.

Цитата Сообщение от insect_87 Посмотреть сообщение
это же работает? на существующей схеме так и оставьте
Работает двойной NAT. С циски на керио, с керио на локальный адрес.

Цитата Сообщение от insect_87 Посмотреть сообщение
вы же понимаете, что dmvpn hub должен быть с белым адресом
Понимаю частично. Я не еще не сильно вник в подобные прелести сетей.

Цитата Сообщение от insect_87 Посмотреть сообщение
на существующей схеме написал как:
Про существующую схему я понял, спасибо! Уже завтра попробую добавить маршруты.

Цитата Сообщение от insect_87 Посмотреть сообщение
или вообще на L3 свитче уберите int vlan 100 (ip address 192.168.0.250 255.255.255.0), и трафик из внутренних сетей до внутреннего адреса роутера (192.168.0.1) пойдет через керио, оставьте только два L3-интерфейса в 100 влане: на роутере (192.168.0.1) и на керио (192.168.0.4)
Тут если не сложно поясните порядок действий. На L3 в настройках Vlan:
Код
vlan 100
name "Active"
untagged 1-10
tagged 50-52
ip address 192.168.0.250 255.255.255.0
ip helper-address 192.168.1.2
exit
Я убираю строку ip address 192.168.0.250 255.255.255.0 и из самого Vlan'a сокращаю число портов с untagged 1-10
до 2-х куда втыкаю Керио и Циску, верно? Но это не тоже самое будет если просто втыкнуть Циску в Керио напрямую?
Пардон, за глупые вопросы.

Добавлено через 6 минут
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
я бы видел это так: прокси - для выхода в инет, роутер - для DMVPN, оба внутренними интерфейсами подключаются к ядру (L3 свитч в данном случае)
Если dmvpn hub должен быть с белым адресом, и я не правильно понял прикинул идею с 1 сетевым интерфейсом, то как вы предлагаете это сделать? Я не много не понимаю.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.01.2017, 23:18 11
Лучший ответ Сообщение было отмечено Art-Francyz как решение

Решение

Цитата Сообщение от Art-Francyz Посмотреть сообщение
Нет, один выделенный адрес через IPoE.
понял
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Работает двойной NAT. С циски на керио, с керио на локальный адрес.
+
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Понимаю частично. Я не еще не сильно вник в подобные прелести сетей.
иначе как к хабу будут инициировать соединение споуки?
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Про существующую схему я понял, спасибо! Уже завтра попробую добавить маршруты.
давай, отпишись...
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Тут если не сложно поясните порядок действий. На L3 в настройках Vlan:
Код
vlan 100
name "Active"
untagged 1-10
tagged 50-52
ip address 192.168.0.250 255.255.255.0
ip helper-address 192.168.1.2
exit
Я убираю строку ip address 192.168.0.250 255.255.255.0 и из самого Vlan'a сокращаю число портов с untagged 1-10
до 2-х куда втыкаю Керио и Циску, верно? Но это не тоже самое будет если просто втыкнуть Циску в Керио напрямую?
Пардон, за глупые вопросы.
untagged/tagged - уровень 2
нужно убрать int vlan, по сути адрес интерфейса 3го уровня
это что за модель (только полностью)?
в общем даже если сам сможешь, то нужно оставить vlan на 2 уровне, но убрать интерфейс на 3, чтобы провода не перетыкать )
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Но это не тоже самое будет если просто втыкнуть Циску в Керио напрямую?
то же самое, разница в физике (2 патчкорда через L3 свитч///или один патчкорд, связывающий напрямую), логика не изменится
а ну да, изменится немножко домен широковещания// оставить надо эту влану только на двух нетегированных портах, дальше ее никуда не пускать)
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Если dmvpn hub должен быть с белым адресом, и я не правильно понял
у тебя должен быть хотя бы пул с белыми адресами, один адрес на dmvpn, через другой публикация/инет, и тд,
1
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
05.01.2017, 23:25  [ТС] 12
insect_87,
Цитата Сообщение от insect_87 Посмотреть сообщение
давай, отпишись...
Окей.

Цитата Сообщение от insect_87 Посмотреть сообщение
untagged/tagged - уровень 2
нужно убрать int vlan, по сути адрес
это что за модель (только полностью)?
в общем даже если сам сможешь, то нужно оставить vlan на 2 уровне, но убрать интерфейс на 3
Модель L3 свича - это HPE Aruba 2930F
Если я уберу строку ip address 192.168.0.250 255.255.255.0 то по сути это и будет L2. На портах 1-10 будет просто отдельный Vlan в который никак не попасть их других портов.

Цитата Сообщение от insect_87 Посмотреть сообщение
у тебя должен быть хотя бы пул с белыми адресами, один на dmvpn, через другой публикация/инет, и тд, увеличится кол-во серверов и появятся деньги на оборудование, они тебе очень нужны будут.... сейчас не охота на пол страницы писать
Другими словами, то что вы написали, как нужно сделать правильно.
Цитата Сообщение от insect_87 Посмотреть сообщение
я бы видел это так: прокси - для выхода в инет, роутер - для DMVPN, оба внутренними интерфейсами подключаются к ядру (L3 свитч в данном случае
Сделать не получится т.к. нету пула адресов? И остаемся жить на текущей схеме с двумя Nat, либо выкинуть что-то одно )))
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
05.01.2017, 23:44 13
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Если я уберу строку ip address 192.168.0.250 255.255.255.0 то по сути это и будет L2. На портах 1-10 будет просто отдельный Vlan в который никак не попасть их других портов.
+, попробуй сначала на роутере маршруты добавить и отпишись, не поможет попробуй убрать адрес с 100 вланы на L3-свитче
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Окей.
+, будем ждать
Цитата Сообщение от Art-Francyz Посмотреть сообщение
то что вы написали, как нужно сделать правильно
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Сделать не получится т.к. нету пула адресов? И остаемся жить на текущей схеме с двумя Nat, либо выкинуть что-то одно )))
в общем на данный момент: оставить два NAT, или убрать на керио NAT, а все остальное рулить маршрутами
1
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
06.01.2017, 21:49  [ТС] 14
insect_87, Спасибо! Вроде как все работает в текущем состоянии. Буду думать касательно второго выделенного адреса, чтобы разделить циску и керио под разные нужды.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
06.01.2017, 22:32 15
Art-Francyz, ок, спасибо, что отписался.
в итоге маршруты на cisco дописал или убрал интерфейс vlan на L3-свитче?
0
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
07.01.2017, 09:58  [ТС] 16
insect_87, Убрал маршрут на L3. Проброс сделал через NATы, поэтому не стал указывать циске другие сети, они по сути ей не нужны.

Ну и если не сложно можешь пояснить за правильную схему, в самом начале ты написал: "ты намудрил со схемой, я бы все переделал". И чуть далее мы выяснили, что для правильной схемы нужно, чтобы был пул адресов и четкое разделение Инет на Керио, DMVPN на циске. Вот допустим я получил второй внешний айпишник. Я добавил его на внешний интерфейс циски вместо текущего. А дальше что? По какой схеме его подключать в L3 и куда какие маршруты менять. Может ее в отдельную сеть чтобы с Керио не пересекались. Я там накидывал картинки. Можешь, я не знаю, в пеинте линия нарисовать, как правильно подключать циску и куда что "рулить"?
Как будет время и если не сложно, конечно!
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
09.01.2017, 08:20 17
Art-Francyz, на старом адресе роутер оставишь, новый на прокси повесишь. роутер и прокси подключишь в L3/ на L3 маршрутизация всех подсетей. отдельная vlan для управления сетевым оборудованием, отдельная для серверов, отдельная для пользователей. роутер и прокси с L3 можно на третьем уровне рулить
0
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
10.01.2017, 21:07  [ТС] 18
insect_87, тобишь по сути останется все как есть. Циска с нужными железками останется в своем VLAN100 который без айпишника на L3, а внешний интерфейс керио я просто уберу из этого Влана в втыкну в него инет с другим адресом.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
10.01.2017, 21:18 19
Цитата Сообщение от Art-Francyz Посмотреть сообщение
Циска с нужными железками останется в своем VLAN100 который без айпишника на L3
если ты ее в дальнейшем планируешь оставить в 100 vlan без ip на L3, то удаленные сети за spoke'ами с внутренними сетями (интерфейсы которых есть на ядре) не смаршрутизируешь, ты же потом внешний интерфейс керио уберешь из 100 vlan
1
Art-Francyz
0 / 0 / 1
Регистрация: 05.01.2017
Сообщений: 11
10.01.2017, 23:01  [ТС] 20
insect_87, тоже верно
0
10.01.2017, 23:01
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
10.01.2017, 23:01

CISCO 1921/K9 вывести VLAN в Интернет
Добрый день! Прошу совета, и помощи в вопросе настройки CISCO 1921/K9. Я...

Объединение сетей двумя тоннелями на Cisco 1921
Здравствуйте! Есть задача объединить две удаленных сети через мобильную и...

Разница между маршрутизаторами Cisco 1921 и 1941
В чём она в 2х словах? Нахожу только общие слова. В чём принципиальное...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru