URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11849
[ Назад ]

Исходное сообщение
"Организация DMZ на cisco роутере"
Отправлено virt1122 , 30-Окт-06 23:12

Есть cisco 2821 c двумя интерфейсами.
Один в WAN, второй в LAN.
Работает NAT, организованно около 10 VPN туннелей с серверами FreeBSD на удаленном конце.
Теперь встал вопрос об организации DMZ (почта,www,jabber).
Как я понял нужно использовать для этого сабинтерфейсы.
В наличии из свичей есть только 3COM 4400SE и Dlink DES-2108.
Собственно вопрос, пойдут ли эти свичи для совместной работы с cisco для организации DMZ или придется раскошеливаться на HWIC-4ESW?
Если можно пример конфига по организации DMZ...

Содержание

Организация DMZ на cisco роутере,AlexDv, 21:30 , 31-Окт-06
- Организация DMZ на cisco роутере,virt, 12:01 , 01-Ноя-06
  - Организация DMZ на cisco роутере,AlexDv, 14:23 , 01-Ноя-06
    - Организация DMZ на cisco роутере,virt, 14:36 , 01-Ноя-06
      - Организация DMZ на cisco роутере,AlexDv, 15:11 , 01-Ноя-06
        
        Организация DMZ на cisco роутере,virt1122, 20:13 , 09-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 09:42 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,virt, 18:49 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,virt, 19:29 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 22:08 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 22:18 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,virt1122, 22:41 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 22:57 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,virt1122, 23:15 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 23:20 , 10-Ноя-06
        
        Организация DMZ на cisco роутере,virt, 15:38 , 15-Ноя-06
        
        Организация DMZ на cisco роутере,virt, 20:57 , 15-Ноя-06
        
        Организация DMZ на cisco роутере,AlexDv, 23:28 , 15-Ноя-06
        
        Организация DMZ на cisco роутере,virt1122, 08:03 , 16-Ноя-06

Сообщения в этом обсуждении

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 31-Окт-06 21:30

>Есть cisco 2821 c двумя интерфейсами.
>Один в WAN, второй в LAN.
>Работает NAT, организованно около 10 VPN туннелей с серверами FreeBSD на удаленном
>конце.
>Теперь встал вопрос об организации DMZ (почта,www,jabber).
>Как я понял нужно использовать для этого сабинтерфейсы.
>В наличии из свичей есть только 3COM 4400SE и Dlink DES-2108.
>Собственно вопрос, пойдут ли эти свичи для совместной работы с cisco для
>организации DMZ или придется раскошеливаться на HWIC-4ESW?
Если dot1Q поддерживают, то подойдут.
>Если можно пример конфига по организации DMZ...
Примерно так ...
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 1
ip address 10.10.10.1 255.255.255.0
no ip redirects
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 10.10.11.1 255.255.255.0
no ip redirects

"Организация DMZ на cisco роутере"
Отправлено virt , 01-Ноя-06 12:01

Пока получилось примерно так:
192.168.1.0/24 локалка
настроил все на dlink (10.0.10.1)
локалка пингуется, то есть dot1q работает
Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу понять как это сделать.
Скажем есть сервер www,ftp с адресом 217.0.0.100
и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке.
На сетевых карточках серверов прописаны реальные адреса.
interface GigabitEthernet0/0
description LAN interface
ip address 10.0.10.1 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.3
description to intranet
encapsulation dot1Q 3
ip address 192.168.1.248 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
description WAN
ip address 217.x.x.101 255.255.255.248
ip access-group 104 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 01-Ноя-06 14:23

>Пока получилось примерно так:
>
>192.168.1.0/24 локалка
>настроил все на dlink (10.0.10.1)
На D-Link-е IP address не нужен
>локалка пингуется, то есть dot1q работает
>Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу
>понять как это сделать.
>Скажем есть сервер www,ftp с адресом 217.0.0.100
>и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке.
>На сетевых карточках серверов прописаны реальные адреса.
Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи, вторую на интерфейс, где DMZ.
Или поставь на серверах "серые" адреса и через
ip nat inside source static tcp 192.168.100.1 80 217.x.x.A 80 extendable
ip nat inside source static tcp 192.168.100.2 25 217.x.x.B 25 extendable
Тогда на DMZ интерфейсе нужен еще NAT.

"Организация DMZ на cisco роутере"
Отправлено virt , 01-Ноя-06 14:36

>>Пока получилось примерно так:
>>
>>192.168.1.0/24 локалка
>>настроил все на dlink (10.0.10.1)
>
>На D-Link-е IP address не нужен
а управлять им как без ip адреса?
>
>>локалка пингуется, то есть dot1q работает
>>Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу
>>понять как это сделать.
>>Скажем есть сервер www,ftp с адресом 217.0.0.100
>>и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке.
>>На сетевых карточках серверов прописаны реальные адреса.
>
>Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи,
>вторую на интерфейс, где DMZ.
Не получиться. доступно к использованию только 4 адреса 217.0.0.98-217.0.0.101. Остальные используются на оборудовании провайдера...
>
>Или поставь на серверах "серые" адреса и через
>ip nat inside source static tcp 192.168.100.1 80 217.x.x.A 80 extendable
>ip nat inside source static tcp 192.168.100.2 25 217.x.x.B 25 extendable
>Тогда на DMZ интерфейсе нужен еще NAT.

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 01-Ноя-06 15:11

>>>Пока получилось примерно так:
>>>
>>>192.168.1.0/24 локалка
>>>настроил все на dlink (10.0.10.1)
>>
>>На D-Link-е IP address не нужен
>а управлять им как без ip адреса?
>
IP адрес из внутренней сети.
>>
>>>локалка пингуется, то есть dot1q работает
>>>Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу
>>>понять как это сделать.
>>>Скажем есть сервер www,ftp с адресом 217.0.0.100
>>>и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке.
>>>На сетевых карточках серверов прописаны реальные адреса.
>>
>>Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи,
>>вторую на интерфейс, где DMZ.
>Не получиться. доступно к использованию только 4 адреса 217.0.0.98-217.0.0.101. Остальные используются на
>оборудовании провайдера...
Снаружи 217.0.0.98 255.255.255.252, DMZ 217.0.0.101 255.255.255.252
Или еще адресов взять :)

"Организация DMZ на cisco роутере"
Отправлено virt1122 , 09-Ноя-06 20:13

Взял еще адресов.
217.x.x.96/29 dmz сеть
89.x.x.224/29 wan
Шлюз провайдера для каждой сети соответственно 217.x.x.97 и 89.x.x.225
получилось:
interface GigabitEthernet0/0
description LAN Interface
ip address 192.168.1.248 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.100
description interface DMZ
encapsulation dot1Q 100
ip address 217.x.x.101 255.255.255.248
no cdp enable
!
interface GigabitEthernet0/1
description WAN interface
ip address 89.x.x.226 255.255.255.248
ip access-group 104 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip flow egress
ip nat outside
ip inspect SDM_LOW out
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
no mop enabled
crypto map vpnmap
ip route 0.0.0.0 0.0.0.0 89.x.x.225 permanent
После подключения всей схемы сервера в DMZ (217.x.x.98, 217.x.x.100) видят только друг друга. Шлюз провайдера 217.x.x.97 они не видят.
Странно следующее. На одном сервере в DMZ настроен NAT. Шлюзом для сервера прописан все тот же 217.x.x.97. На этом сервере исторически осталась еще сетевая карта смотрящая в локалку. Так вот локальные компьютеры имеющие гейтом этот сервер из dmz по внутренней сетевой карте имеют работающий интернет, хотя оговорюсь еще раз с самого сервера шлюз провайдера и соответственно выход в инет не работает.

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 10-Ноя-06 09:42

>Взял еще адресов.
>217.x.x.96/29 dmz сеть
>89.x.x.224/29 wan
>Шлюз провайдера для каждой сети соответственно 217.x.x.97 и 89.x.x.225
>получилось:
>
>interface GigabitEthernet0/0
> description LAN Interface
> ip address 192.168.1.248 255.255.255.0
> ip access-group 103 in
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip flow ingress
> ip flow egress
> ip nat inside
> ip virtual-reassembly
> duplex auto
> speed auto
> no mop enabled
>!
>interface GigabitEthernet0/0.100
> description interface DMZ
> encapsulation dot1Q 100
> ip address 217.x.x.101 255.255.255.248
> no cdp enable
>!
>interface GigabitEthernet0/1
> description WAN interface
> ip address 89.x.x.226 255.255.255.248
> ip access-group 104 in
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> ip wccp web-cache redirect out
> ip flow egress
> ip nat outside
> ip inspect SDM_LOW out
> ip virtual-reassembly
> ip route-cache policy
> duplex auto
> speed auto
> no mop enabled
> crypto map vpnmap
>
>ip route 0.0.0.0 0.0.0.0 89.x.x.225 permanent
>
>После подключения всей схемы сервера в DMZ (217.x.x.98, 217.x.x.100) видят только друг
>друга. Шлюз провайдера 217.x.x.97 они не видят.
>Странно следующее. На одном сервере в DMZ настроен NAT.
NAT убрать.
> Шлюзом для сервера
>прописан все тот же 217.x.x.97.
Default gateway для всех кто в DMZ 217.x.x.101. Маски сетей проверить.
> На этом сервере исторически осталась еще
>сетевая карта смотрящая в локалку.
Лишние сетевые выкинуть.

"Организация DMZ на cisco роутере"
Отправлено virt , 10-Ноя-06 18:49

Прописал для компов в DMZ шлюз 217.x.x.101
Инет не работает все равно.
Я так понимаю нужно как то указать, что это вся подсетка роутится через ip провайдера 217.x.x.97... Но где....

"Организация DMZ на cisco роутере"
Отправлено virt , 10-Ноя-06 19:29

Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется.
Если я на WAN интерфейсе прописываю ip из 217 то пинг на 217.x.x.97 проходит.

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 10-Ноя-06 22:08

>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется.
>Если я на WAN интерфейсе прописываю ip из 217 то пинг на
>217.x.x.97 проходит.
sh ip ro что говорит?

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 10-Ноя-06 22:18

>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется.
>>Если я на WAN интерфейсе прописываю ip из 217 то пинг на
>>217.x.x.97 проходит.
>
>sh ip ro что говорит?
И еще
ping 89.x.x.225 sou gi0/0.100
ping IP-сервера-в DMZ sou gi0/0.100

"Организация DMZ на cisco роутере"
Отправлено virt1122 , 10-Ноя-06 22:41

>>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется.
>>>Если я на WAN интерфейсе прописываю ip из 217 то пинг на
>>>217.x.x.97 проходит.
>>
>>sh ip ro что говорит?
sh ip rou
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is 89.x.x.225 to network 0.0.0.0
S    192.168.12.0/24 is directly connected, Tunnel30
     192.168.150.0/32 is subnetted, 1 subnets
S       192.168.150.0 [1/0] via 89.x.x.225
S    192.168.8.0/24 is directly connected, Tunnel10
S    192.168.10.0/24 is directly connected, Tunnel40
S    192.168.11.0/24 is directly connected, Tunnel35
     217.x.x.0/29 is subnetted, 1 subnets
C       217.x.x.96 is directly connected, GigabitEthernet0/0.100
S    192.168.4.0/24 is directly connected, Tunnel25
S    192.168.6.0/24 is directly connected, Tunnel45
S    192.168.7.0/24 is directly connected, Tunnel55
     89.0.0.0/27 is subnetted, 1 subnets
C       89.x.x.224 is directly connected, GigabitEthernet0/1
S    192.168.0.0/24 is directly connected, Tunnel50
C    192.168.1.0/24 is directly connected, GigabitEthernet0/0
     192.168.155.0/32 is subnetted, 1 subnets
S       192.168.155.0 [1/0] via 89.x.x.225
S    192.168.2.0/24 is directly connected, Tunnel15
S    192.168.3.0/24 is directly connected, Tunnel20
S*   0.0.0.0/0 [1/0] via 89.x.x.225
>И еще
>
>ping 89.x.x.225 sou gi0/0.100
>ping IP-сервера-в DMZ sou gi0/0.100
На этот вопрос пока не могу ответить, так как схема уже разобрана.
Но c сервера находящегося в DMZ IP адрес 89.x.x.225 пингуется.
просто пинг с cisco ping 217.x.x.98(99-100) проходит.
пинг с cisco на 217.x.x.97 не проходит.

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 10-Ноя-06 22:57

>>>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется.
>>>>Если я на WAN интерфейсе прописываю ip из 217 то пинг на
>>>>217.x.x.97 проходит.
>>>
>>>sh ip ro что говорит?
>
>sh ip rou
>Codes: C - connected, S - static, R - RIP, M -
>mobile, B - BGP
>       D - EIGRP, EX -
>EIGRP external, O - OSPF, IA - OSPF inter area
>       N1 - OSPF NSSA external
>type 1, N2 - OSPF NSSA external type 2
>       E1 - OSPF external type
>1, E2 - OSPF external type 2
>       i - IS-IS, su -
>IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
>       ia - IS-IS inter area,
>* - candidate default, U - per-user static route
>       o - ODR, P -
>periodic downloaded static route
>
>Gateway of last resort is 89.x.x.225 to network 0.0.0.0
>
>S    192.168.12.0/24 is directly connected, Tunnel30
>     192.168.150.0/32 is subnetted, 1 subnets
>S       192.168.150.0 [1/0] via 89.x.x.225
>S    192.168.8.0/24 is directly connected, Tunnel10
>S    192.168.10.0/24 is directly connected, Tunnel40
>S    192.168.11.0/24 is directly connected, Tunnel35
>     217.x.x.0/29 is subnetted, 1 subnets
>C       217.x.x.96 is directly connected, GigabitEthernet0/0.100
>
>S    192.168.4.0/24 is directly connected, Tunnel25
>S    192.168.6.0/24 is directly connected, Tunnel45
>S    192.168.7.0/24 is directly connected, Tunnel55
>     89.0.0.0/27 is subnetted, 1 subnets
>C       89.x.x.224 is directly connected, GigabitEthernet0/1
>
>S    192.168.0.0/24 is directly connected, Tunnel50
>C    192.168.1.0/24 is directly connected, GigabitEthernet0/0
>     192.168.155.0/32 is subnetted, 1 subnets
>S       192.168.155.0 [1/0] via 89.x.x.225
>S    192.168.2.0/24 is directly connected, Tunnel15
>S    192.168.3.0/24 is directly connected, Tunnel20
>S*   0.0.0.0/0 [1/0] via 89.x.x.225
>
>>И еще
>>
>>ping 89.x.x.225 sou gi0/0.100
>>ping IP-сервера-в DMZ sou gi0/0.100
>
>На этот вопрос пока не могу ответить, так как схема уже разобрана.
>
>Но c сервера находящегося в DMZ IP адрес 89.x.x.225 пингуется.
>просто пинг с cisco ping 217.x.x.98(99-100) проходит.
>пинг с cisco на 217.x.x.97 не проходит.
А такого хоста и нету.
Значит все работает.

"Организация DMZ на cisco роутере"
Отправлено virt1122 , 10-Ноя-06 23:15

>>пинг с cisco на 217.x.x.97 не проходит.
>А такого хоста и нету.
>Значит все работает.
Да, работает,но с серверов в DMZ я кроме DMZ зоны ничего не вижу.
То есть сетка 217.x.x.96/29 не маршрутизируется через 89.x.x.225
Она маршрутизируется только через 217.x.x.97.

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 10-Ноя-06 23:20

>
>>>пинг с cisco на 217.x.x.97 не проходит.
>>А такого хоста и нету.
>>Значит все работает.
>
>Да, работает,но с серверов в DMZ я кроме DMZ зоны ничего не
>вижу.
>То есть сетка 217.x.x.96/29 не маршрутизируется через 89.x.x.225
>Она маршрутизируется только через 217.x.x.97.
Пинай провайдера.

"Организация DMZ на cisco роутере"
Отправлено virt , 15-Ноя-06 15:38

>Пинай провайдера.
После изменений сеть 217.x.x.96/29 стала маршрутизироваться как через 217.x.x.97 шлюз так и через 89.x.x.225.
ping IP-сервера-в DMZ sou gi0/0.100 проходит
ping 89.x.x.225 sou gi0/0.100 не проходит
инет с серверов в DMZ по прежнему не работает.
И кстати сейчас не смотря на то, что на циске прописан шлюз 89.x.x.225
#traceroute ya.ru
Translating "ya.ru"...domain server (83.242.140.10) [OK]
Type escape sequence to abort.
Tracing the route to ya.ru (213.180.204.8)
1 217.x.x.97 4 msec 4 msec 0 msec
2 -----

"Организация DMZ на cisco роутере"
Отправлено virt , 15-Ноя-06 20:57

Может это поможет?
С сервера в dmz (217.x.x.100) делаю ping www.ru
Nov 15 20:48:36 cisco2821 64850: 062961: Nov 15 20:48:36: IP: tableid=0, s=217.x.x.100 (GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), routed
via FIB
Nov 15 20:48:36 cisco2821 64851: 062962: Nov 15 20:48:36: IP: s=217.x.x.100 (GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), g=89.x.x.225,
len 60, forward

"Организация DMZ на cisco роутере"
Отправлено AlexDv , 15-Ноя-06 23:28

>Может это поможет?
>С сервера в dmz (217.x.x.100) делаю ping www.ru
>
>Nov 15 20:48:36 cisco2821 64850: 062961: Nov 15 20:48:36: IP: tableid=0, s=217.x.x.100
>(GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), routed
> via FIB
>Nov 15 20:48:36 cisco2821 64851: 062962: Nov 15 20:48:36: IP: s=217.x.x.100 (GigabitEthernet0/0.100),
>d=194.87.0.50 (GigabitEthernet0/1), g=89.x.x.225,
>len 60, forward
К провайдеру ушел, а обратно не пришел. Акцесс-лист на входе? Маршрутизация у провайдера не настроена?

"Организация DMZ на cisco роутере"
Отправлено virt1122 , 16-Ноя-06 08:03

>К провайдеру ушел, а обратно не пришел. Акцесс-лист на входе? Маршрутизация у
>провайдера не настроена?
Большое спасибо за вашу поддержку.
Акцесс лист с gig0/1 я убирал для чистоты эксперимента. Проблему это не решило.
Как нибудь можно проверить маршрутизацию, настроена она или нет у провайдера?
Или если у меня роутинг в данном случае не работает, значит не настроена?
Подскажите плиз, какие именно настройки должен изменить у себя провайдер?