URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1452
[ Назад ]

Исходное сообщение
"Человеческая маршрутизация на циске"

Отправлено slowkazak , 22-Авг-14 14:57 
Добрый день, есть cisco 2921.

Схема сети такая:

Сервер (192.168.1.2) <--> GI0/0 <---> GI0/1.1..n с encap dot1q <---> Клиенты в разных сетях

У псевдоинтерфейсов Gi0/1.1...n есть свои адреса и всем им назначен общий ACL с доступным списком портов. Так вот, необходимо настроить маршрутизацию так чтоб стучась на псевдоинтерфейсы люди попадали на 192.168.1.2

Раньше реализация была следующая: вместо виски стоял сервер с FreeBSD, на нем висел rinetd в котором был длинющщий список nat и все. Сейчас попробовал dynamic nat cо списком адресов этих интерфейсов, но если добавится адрес или интерфейсы надо будет дописывать список  что мне не очень хочется делать. Поэтому прошу отеческих советов по наиболее простому и и несложному в масштабируемости решению. Думал  сделать статическими маршрутами, но либо я накосячил, либо просто это все работает не так. Посоветуйте кто что может, пожалуйста


Содержание

Сообщения в этом обсуждении
"Человеческая маршрутизация на циске"
Отправлено ShyLion , 22-Авг-14 15:06 
https://supportforums.cisco.com/document/26021/how-configure...

"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 15:27 
> https://supportforums.cisco.com/document/26021/how-configure...

Я не слишком силен в английском но правильно ли понимаю что алгоритм в моем случае такой:

1. делаем интерфейс за которым сидит 192.168.1.2 внешним

2. Делаем все мои псевдоинтерфейсы внутренними

3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника ацл будет работать
4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно

5. Исходя из этого маршрута строим правило для nat?


Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у сервера 192.168.1.2 откликнулся на запрос?


"Человеческая маршрутизация на циске"
Отправлено Andrey , 22-Авг-14 16:04 
>[оверквотинг удален]
> в моем случае такой:
> 1. делаем интерфейс за которым сидит 192.168.1.2 внешним
> 2. Делаем все мои псевдоинтерфейсы внутренними
> 3 делаем ACL с соотношением источник - назначение, при соответствии адреса источника
> ацл будет работать
> 4. Делаем route-map (принцип работы для меня малопонятен, но почитать можно
> 5. Исходя из этого маршрута строим правило для nat?
> Если я все правильно понял то тогда машине за субинтерфейсом достаточно будет
> обратиться к адресу субинтерфейса и необходимому порту чтоб необходимый порт у
> сервера 192.168.1.2 откликнулся на запрос?

Покажите сначала что вы накосячили в существующем конфиге, дальше будет понятно что нужно править. Остальное лирика.


"Человеческая маршрутизация на циске"
Отправлено ShyLion , 22-Авг-14 16:05 
>> https://supportforums.cisco.com/document/26021/how-configure...
> Я не слишком силен в английском но правильно ли понимаю что алгоритм
> в моем случае такой:
> 1. делаем интерфейс за которым сидит 192.168.1.2 внешним
> 2. Делаем все мои псевдоинтерфейсы внутренними

Совершенно ... наоборот


"Человеческая маршрутизация на циске"
Отправлено ShyLion , 22-Авг-14 16:07 
> Добрый день, есть cisco 2921.
> Схема сети такая:
> Сервер (192.168.1.2)

Ну и на всякий случай спрошу - что мешает клиентам обращаться к серверу по адресу СЕРВЕРА ?
Очередная порносхема.


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 16:16 
>> Добрый день, есть cisco 2921.
>> Схема сети такая:
>> Сервер (192.168.1.2)
> Ну и на всякий случай спрошу - что мешает клиентам обращаться к
> серверу по адресу СЕРВЕРА ?
> Очередная порносхема.

По видимому в этой конторе это народный обычай: есть куча вланов, часть из которых я не очень понимаю зачем вообще нужны у каждого влана свои адреса, за каждым вланом сидят чуваки со своими сетями. Я вообще же хотел сначала заставить всех подключаться по единому адресу, единого интерфейса на циске а потом переправлять все что нужно на нужный мне сервер, но видимо тут так не принято и придется воротить все что есть. По крайней мере я пока не очень представляю что делать со всем этим


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 16:22 
Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес и настроить простой статик нат а чувакам со своими суперподсетями предложить решить вопрос с маршрутизацией из их сети до моего единого адреса? Или это слишком жесть?


"Человеческая маршрутизация на циске"
Отправлено Merridius , 22-Авг-14 16:40 
> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес
> и настроить простой статик нат а чувакам со своими суперподсетями предложить
> решить вопрос с маршрутизацией из их сети до моего единого адреса?
> Или это слишком жесть?

Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к серверу?


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 16:46 
>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес
>> и настроить простой статик нат а чувакам со своими суперподсетями предложить
>> решить вопрос с маршрутизацией из их сети до моего единого адреса?
>> Или это слишком жесть?
> Vlan на абонента - это абсолютно нормальная практика. Вопрос в другом, как
> уже спрашивали выше, зачем вам NAT, если можно обращаться напрямую к
> серверу?

не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали. Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}?
А в подсетях клиентов видеться сервант уже дожен так как циска посредством интерфейса с вланом уже находится в сети клиентской машины?


"Человеческая маршрутизация на циске"
Отправлено Andrey , 22-Авг-14 18:17 
>>> Хотя ведь я могу забить во все субинтерфейсы один и тотже адрес

Нет. Один интерфейс - один и более IP. Два интерфейса - два и более IP. Бывают ip unnumbered интрефейсы, но к вашей проблеме они не относятся.  

> не знаю, честно говоря это заведется, рассказывали что уже что-то такое пробовали.
> Ну ладно. Решается на циске ip route {сеть клиента} {адрес сервера}?
> А в подсетях клиентов видеться сервант уже дожен так как циска посредством
> интерфейса с вланом уже находится в сети клиентской машины?

Приведите существующий конфиг вашего маршрутизатора. Вся предыдущая переписка без этого бесполезна. Вы пытаетесь получить ответ на вопрос "о смысле жизни и вообще". Естественно, что ответом для вас будет "42". Никто, кроме вас не знает вашу топологию, адресацию и причины по которым вам необходимо натить сервер для всех клиентов.


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 22:19 
Приношу извинения что парил мозги.
Вот мой show run. Интерфейсы, чудо маршруты и acl

!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.0.0.200 255.255.255.0 secondary
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
ip nat inside
ip virtual-reassembly in
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
!

access-list 100 permit tcp any any eq 8081
access-list 100 permit tcp any any eq 8080
access-list 100 permit tcp any any eq 554
access-list 100 permit tcp any any eq 555
access-list 100 permit tcp any any eq 556
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
access-list 100 permit tcp any any eq 3080
access-list 100 permit tcp any any eq 3081
access-list 100 permit icmp any any echo
access-list 101 deny   tcp any any eq 22
access-list 101 deny   tcp any any eq telnet
access-list 101 deny   tcp any any eq ftp
access-list 101 deny   tcp any any eq 21145
access-list 101 deny   tcp any any eq 145
access-list 101 deny   tcp any any eq 149
access-list 101 permit icmp any any echo
!

Нужно чтоб люди которые находятся за

GigabitEthernet0/1.1
GigabitEthernet0/1.2
GigabitEthernet0/1.3
GigabitEthernet0/1.4

могли достучаться до сервера, который сидит за GigabitEthernet0/0

Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие дела.


"Человеческая маршрутизация на циске"
Отправлено Merridius , 22-Авг-14 23:19 
>[оверквотинг удален]
> !
> Нужно чтоб люди которые находятся за
> GigabitEthernet0/1.1
> GigabitEthernet0/1.2
> GigabitEthernet0/1.3
> GigabitEthernet0/1.4
>  могли достучаться до сервера, который сидит за GigabitEthernet0/0
> Подсети клиентов соответствуют тем в которых висят субинтерфейсы. Также нужно чтоб сервер
> за Gi0/0 мог при необходимости добраться до нужных ему клиентов. Такие
> дела.

Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации понимаете?
Что ЭТО за роуты на абонентские интерфейсы? Зачем?
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4

Плюс ip nat inside у вас висит на main интерфейсе, зачем?
Остальное даже смотреть не стал. У вас By Design все не правильно.


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 23:45 
>[оверквотинг удален]
>> дела.
> Еб*ть, не в обиду сказано, но вы вообще в маршрутизации и коммутации
> понимаете?
> Что ЭТО за роуты на абонентские интерфейсы? Зачем?
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.1
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.2
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.3
> ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1.4
> Плюс ip nat inside у вас висит на main интерфейсе, зачем?
> Остальное даже смотреть не стал. У вас By Design все не правильно.

Интерфейсы и роуты делались до меня. С натом уже я погорячился.
Предположим что я выкидываю роуты, нат, который не нужен ну и до кучи секонд адресс, получаю следующее
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.5 255.255.255.0

ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 9
ip address 192.168.10.1 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.2
encapsulation dot1Q 11
ip address 192.168.4.200 255.255.255.0
ip access-group 100 out
no cdp enable
!
interface GigabitEthernet0/1.3
encapsulation dot1Q 10
ip address 192.168.3.200 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1.4
encapsulation dot1Q 3
ip address 192.168.12.250 255.255.254.0
no cdp enable
!


"Человеческая маршрутизация на циске"
Отправлено Merridius , 22-Авг-14 23:51 
>[оверквотинг удален]
> interface GigabitEthernet0/1.3
> encapsulation dot1Q 10
> ip address 192.168.3.200 255.255.255.0
> no cdp enable
> !
> interface GigabitEthernet0/1.4
> encapsulation dot1Q 3
> ip address 192.168.12.250 255.255.254.0
> no cdp enable
> !

Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
На сервере ip route 0.0.0.0/0 192.168.1.5
Все. Чистая маршрутизация. Хотите большего, скажите что.


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 22-Авг-14 23:58 
>[оверквотинг удален]
>> no cdp enable
>> !
>> interface GigabitEthernet0/1.4
>> encapsulation dot1Q 3
>> ip address 192.168.12.250 255.255.254.0
>> no cdp enable
>> !
> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
> На сервере ip route 0.0.0.0/0 192.168.1.5
> Все. Чистая маршрутизация. Хотите большего, скажите что.

И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят друг друга?
Если так, то в принципе ничего больше и не надо. Все что нужно дальше без изобретания велосипедов надеюсь что сам пойму


"Человеческая маршрутизация на циске"
Отправлено Merridius , 23-Авг-14 00:02 
>[оверквотинг удален]
>>> ip address 192.168.12.250 255.255.254.0
>>> no cdp enable
>>> !
>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>> На сервере ip route 0.0.0.0/0 192.168.1.5
>> Все. Чистая маршрутизация. Хотите большего, скажите что.
> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
> друг друга?
>  Если так, то в принципе ничего больше и не надо. Все
> что нужно дальше без изобретания велосипедов надеюсь что сам пойму

В общем да, если я вас правильно понял.


"Человеческая маршрутизация на циске"
Отправлено Merridius , 23-Авг-14 00:14 
>[оверквотинг удален]
>>>> no cdp enable
>>>> !
>>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>>> На сервере ip route 0.0.0.0/0 192.168.1.5
>>> Все. Чистая маршрутизация. Хотите большего, скажите что.
>> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
>> друг друга?
>>  Если так, то в принципе ничего больше и не надо. Все
>> что нужно дальше без изобретания велосипедов надеюсь что сам пойму
> В общем да, если я вас правильно понял.

Ну и вам мой совет, старайтесь избегать ната, довольно ресурсоемкий процесс, а в плане безопасности (из интерента) толку от него как с козла молока. Его можно использовать в основном в четырех моментах: первое - это для чего он был создан - для отсрочки исчерпания ipv4 адресов, второе - для административного разграничения (тут еще надо подумать, поскольку statefull firewall в общем-то замещяет и дополняет его функции), третье - балансировка нагрузки,и четвертое - это первый этап слияния сетей с пересекающейся адресацией. Так что если очень хочется перенаправить трафик в одну точку лучше использовать для этого специализированные решения, такие как WCCP и PBR.    


"Человеческая маршрутизация на циске"
Отправлено ShyLion , 23-Авг-14 21:48 
>[оверквотинг удален]
>>> ip address 192.168.12.250 255.255.254.0
>>> no cdp enable
>>> !
>> Ну и все. На абонентских роутерах пишете ip route 0.0.0.0/0 192.168.x.x
>> На сервере ip route 0.0.0.0/0 192.168.1.5
>> Все. Чистая маршрутизация. Хотите большего, скажите что.
> И все? Без лишнего геммороя клиенты сервером который сидит после 192.168.1.5 увидят
> друг друга?
>  Если так, то в принципе ничего больше и не надо. Все
> что нужно дальше без изобретания велосипедов надеюсь что сам пойму

Дорогой товарищ, почитай азы IP. Без обид.


"Человеческая маршрутизация на циске"
Отправлено slowkazak , 05-Сен-14 08:48 
Конечно, надо бы пробел восполнить, я и не занимался маршрутизацией толком никогда. А вообще спасибо, за ответы, господа!