Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
AlxndrBo
0 / 0 / 0
Регистрация: 25.04.2019
Сообщений: 2
1

Маршрутизация VPN-клиентов в определенную VLAN с совпадающими адресами

25.04.2019, 16:46. Просмотров 250. Ответов 2

Добрый день.

Вопрос первый: возможна ли конфигурация, описанная ниже?

Необходимо организовать удаленный доступ к пром. оборудованию.
В составе оборудования несколько устройств, подключенных к внутренней сети единицы оборудования (напр., PLC, HMI, частотные преобразователи). Все адреса в оборудование статические, менять нельзя.
Адресные пространства любых из единиц оборудования могут совпадать друг с другом.

Использую роутер CISCO 4221, свитч HP 1810-8G (J9802A)

Предполагаемая схема следующая:
Маршрутизация VPN-клиентов в определенную VLAN с совпадающими адресами


Для каждой сети единицы оборудования (подсеть) выделяется 1 физический интерфейс на свитче, на этих интерфейсах создаю VLAN и прокидываю их на сабинтерфейсы в роутере. Для сабинтерфейсов заданы адресные пространства в соответствии с подсетями в оборудовании.

Запускаю VPN-сервер на роутере, VPN-клиенты с пулом из 2х адресов. Для каждой единицы оборудования свой пул, т.е. определить, в какой VLAN должен получить доступ VPN-клиент, можно по его IP.

===========================================================
Вопрос второй: как "отправить" VPN-клиента в подсеть.

Добрые IT-шники дали поиграться свободное оборудование.
Сейчас уперся в то, как "отправить" VPN-клиента в подсеть.

Мой конфиг:

Кликните здесь для просмотра всего текста

hostname ASUTP
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 Хэшик
!
aaa new-model
!
!
aaa authentication login vty local
aaa authentication ppp VPN local
aaa authorization network default if-authenticated
aaa authorization network VPN local
!
!
aaa attribute list VPN-Attrib-SN2-ORFER
attribute type addr-pool "VPN-Pool-SN2-ORFER" service ppp protocol ip
!
aaa attribute list VPN-Attrib-SN2-SOMIC
attribute type addr-pool "VPN-Pool-SN2-SOMIC" service ppp protocol ip
!
aaa attribute list VPN-Attrib-SN2-NIKO
attribute type addr-pool "VPN-Pool-SN2-NIKO" service ppp protocol ip
!
aaa attribute list VPN-Attrib-SN2-SN2
attribute type addr-pool "VPN-Pool-SN2-SN2" service ppp protocol ip
!
!
!
!
!
aaa session-id common
!
ip domain name ASUTP.dom
!
!
!
!
!
!
!
!
!
!
subscriber templating
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
!
!
!
!
crypto pki trustpoint TP-self-signed-nnnnnnnnn
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-nnnnnnnnn
revocation-check none
rsakeypair TP-self-signed-nnnnnnnnn
!
!
crypto pki certificate chain TP-self-signed-nnnnnnnnn
certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
!
!
license udi pid ISR4221/K9 sn nnnnnnnnn
!
diagnostic bootup level minimal
spanning-tree extend system-id
!
!
username юзернэйм privilege 15 secret 5 Хэшик
username VPN-SN2-SN2-User1 password 0 User1
username VPN-SN2-SN2-User1 aaa attribute list VPN-Attrib-SN2-SN2
username VPN-SN2-SN2-User2 password 0 User2
username VPN-SN2-SN2-User2 aaa attribute list VPN-Attrib-SN2-SN2
username VPN-SN2-NIKO-User2 password 0 User2
username VPN-SN2-NIKO-User2 aaa attribute list VPN-Attrib-SN2-NIKO
username VPN-SN2-NIKO-User1 password 0 User1
username VPN-SN2-NIKO-User1 aaa attribute list VPN-Attrib-SN2-NIKO
username VPN-SN2-SOMIC-User1 password 0 User1
username VPN-SN2-SOMIC-User1 aaa attribute list VPN-Attrib-SN2-SOMIC
username VPN-SN2-SOMIC-User2 password 0 User2
username VPN-SN2-SOMIC-User2 aaa attribute list VPN-Attrib-SN2-SOMIC
username VPN-SN2-ORFER-User2 password 0 User2
username VPN-SN2-ORFER-User2 aaa attribute list VPN-Attrib-SN2-ORFER
username VPN-SN2-ORFER-User1 password 0 User1
username VPN-SN2-ORFER-User1 aaa attribute list VPN-Attrib-SN2-ORFER
!
redundancy
mode none
!
!
!
!
!
!
!
!
interface Loopback21
ip address 192.168.1.1 255.255.255.0
!
interface Loopback22
ip address 192.168.100.1 255.255.255.0
!
interface Loopback24
ip address 192.168.70.1 255.255.255.0
!
interface GigabitEthernet0/0/0
ip address **.**.**.** 255.255.255.0
negotiation auto
!
interface GigabitEthernet0/0/1
ip address 172.168.16.1 255.255.255.0
negotiation auto
!
interface GigabitEthernet0/0/1.21
description SN2-subif
encapsulation dot1Q 21
ip unnumbered Loopback21
!
interface GigabitEthernet0/0/1.22
description NIKO-subif
encapsulation dot1Q 22
ip unnumbered Loopback22
!
interface GigabitEthernet0/0/1.23
description SOMIC-subif
encapsulation dot1Q 23
ip unnumbered Loopback21
ip nat inside
ip access-group SOMIC_OUT_RULES in
ip access-group SOMIC_IN_RULES out
!
interface GigabitEthernet0/0/1.24
description ORFER-subif
encapsulation dot1Q 24
ip unnumbered Loopback24
!
interface GigabitEthernet0/0/1.100
description managment_subif
encapsulation dot1Q 100
ip address 172.168.1.1 255.255.255.0
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0/0
ip nat outside
no peer default ip address
no keepalive
ppp authentication ms-chap ms-chap-v2 VPN
ppp authorization VPN
!
ip local pool VPN-Pool-SN2-SN2 172.168.16.200 172.168.16.201
ip local pool VPN-Pool-SN2-NIKO 172.168.16.202 172.168.16.203
ip local pool VPN-Pool-SN2-SOMIC 172.168.16.204 172.168.16.205
ip local pool VPN-Pool-SN2-ORFER 172.168.16.206 172.168.16.207
ip nat inside source static 192.168.1.100 172.168.16.131
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
!
!
ip access-list extended SOMIC_IN_RULES
permit ip host 172.168.16.200 any
permit ip host 172.168.16.201 any
deny ip any any
ip access-list extended SOMIC_OUT_RULES
permit ip any host 172.168.16.200
permit ip any host 172.168.16.201
deny ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
transport input none
stopbits 1
line vty 0 4
exec-timeout 240 0
logging synchronous
login authentication vty
transport input ssh
line vty 5 15
login authentication vty
!
wsma agent exec
!
wsma agent config
!
wsma agent filesys
!
wsma agent notify
!
!
end



Прошу Вас сильно не пинать, я слабо осознаю происходящее, а задачу надо решать.
По безопасности: если мой конфиг заработает, я отдам его на проверку IT-шнику.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
25.04.2019, 16:46
Ответы с готовыми решениями:

Маршрутизация между Vlan и статическая маршрутизация
Не могу понять, в чем проблема, пакет даже на роутер не приходит. В чем причина?

Vlan и маршрутизация
Доброго дня. В сетях только начинаю разбираться. Есть несколько вопросов. Есть Switch hp 1910 с...

маршрутизация Vlan
Доброго времени суток, я вот сидел делал лабу (Сеть 1 филиала: Server1 – DNS и DHCP сервер....

Маршрутизация vlan
Доброго времени суток.Возник вопрос связанный с маршрутизацией между vlan. Схему сети привожу...

Маршрутизация между Vlan
Прочитал много тем про Vlan, но до сих пор не могу разобраться в чем дело. Помогите решить вот...

2
TAVulator
Эксперт по компьютерным сетямЭксперт Pascal/Delphi
4028 / 1161 / 189
Регистрация: 27.07.2009
Сообщений: 3,637
26.04.2019, 09:38 2
Цитата Сообщение от AlxndrBo Посмотреть сообщение
как "отправить" VPN-клиента в подсеть.
создать для клиента vpn маршрут: ip route сеть_устройства маска удаленный_адрес_в_туннеле
Цитата Сообщение от AlxndrBo Посмотреть сообщение
Запускаю VPN-сервер на роутере, VPN-клиенты с пулом из 2х адресов. Для каждой единицы оборудования свой пул, т.е. определить, в какой VLAN должен получить доступ VPN-клиент, можно по его IP.
т.е. всего 2 единицы оборудования? или 2 разные подсети с оборудованием?
теоретически схема вполне реализуема.
0
AlxndrBo
0 / 0 / 0
Регистрация: 25.04.2019
Сообщений: 2
28.04.2019, 09:04  [ТС] 3
Цитата Сообщение от TAVulator Посмотреть сообщение
т.е. всего 2 единицы оборудования? или 2 разные подсети с оборудованием?
теоретически схема вполне реализуема.
Единица оборудования - это обособленное устройство в составе производственной линии (например, упаковщик в картонную тару). В составе линии таких единиц оборудования несколько. В каждой единице оборудования одна интересующая нас внутренняя сеть. Во внутренней сети каждой единицы оборудования несколько устройств Ethernet\IP (От 2х до нескольких десятков).
0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
28.04.2019, 09:04

Маршрутизация между VLAN на свиче
Ситуация такая: Хочу создать два разных виртуальных сетей в сети 192.168.0.0./24. Первый корпус...

Маршрутизация между VLAN на коммутаторе L3
Добрый день! Появилась задача создать VLANы в сетке, ядром будет являться коммутатор L3. В...

Cisco 881: маршрутизация между Vlan
Всем доброго времени суток! есть cisco 881. провайдер подключен к порту Fa4, настроен nat есть...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru