Приветствую. Появилась циска 871-K9. Т.к. я работал в основном с цисковскими полноценными маршрутизаторами 1700, 1800, 2600 и 2800 и их полноценными коммутаторами Catalyst, то проблемы, возникшие у меня с 871 с NAT'ом, мне абсолютно не понятны.Вопросик №1.
На официальном сайте Cisco в Data Sheets про 871 циску написано, что эта циска вроде бы поддерживает хотя бы 2 Vlan'а. И один Vlan можно вроде бы выделить под DMZ. http://www.cisco.com/en/US/products/hw/routers/ps380/product...Мне необходимо иметь 2 Vlan'а на строенном коммутаторе 871 циски. Один Vlan должен пойти под сеть DMZ, а второй под частную корпоративную сеть, причем пользователи, находящиеся в частной корпоративной сети не должны видеть сервер, находящийся в DMZ. Объясните, пожалуйста, как создать 2 Vlan'а на 871 циски и отнести их к разным сетям?
Вопросик №2.
Т.к. я не понял, как создать 2 разных Vlan'а с разными ip-подсетями на 871-й циски, то я решил временно повесить на один интерфейс Vlan 1 два разных IP адреса. N.к. все интерфейсы встроенного коммутатора относятся по умолчанию к Vlan 1, то я зашел на интерфейс Vlan 1 и прописал 2 разных адрес (типо для DMZ и для корпоративной сети):
- interface Vlan 1
- ip address 10.10.10.1 255.255.255.0
- ip address 10.12.12.1 255.255.255.0 secondary
Теперь компьютеры, подключенные к встроенному в 871 циску коммутатору, и находящиеся в сетях 10.10.10.0 и 10.12.12.0 могут пинговать друг друга, т.е. между этими сетями есть связь, но мне надо это запретить по начальными условиям, т.к. между DMZ и корпоративной сетью не должно быть связи. Соответственно, я прописываю ACLs:
- access-list 101 deny ip 10.10.10.0 0.0.0.255 10.12.12.0 0.0.0.255
- access-list 101 deny ip 10.12.12.0 0.0.0.255 10.10.10.0 0.0.0.255
- access-list 101 permit ip any any
И прицепляю этот список к интерфейсу Vlan 1:
- interface Vlan 1
- ip access-group 101 in
Теперь пользователи в корпоративной сети не имеют связи с DMZ.
Затем, т.к. у нас куплен открытый внешний ip-адрес, то он вешается на wan-интерфейс, т.е. на единственный "честный" ethernet интерфейс у циски 871, а именно на FastEthernet 4. Ну допустим пускай он будет такой: 205.205.205.5
Таким образом получается:
- interface Fa 4
- ip address 205.205.205.5 255.255.255.0
Ну и соответственно выход в инет нужно организовать через NAT (а точнее PAT). Соответствен пишу PAT:
- access-list 1 permit 10.10.10.0 0.0.0.255
- access-list 1 permit 10.12.12.0 0.0.0.255
- ip nat inside source list 1 interface FastEthernet 4 overload
Теперь захожу на интерфейс vlan1 и цепляю к нему NAT:
- interface Vlan 1
- ip nat inside
Затем захожу на WAN-интерфейс и тоже цепляю к нему NAT:
- interface fastethernet 4
- ip nat outside
И после этого хочу проверить как у меня работает NAT. Беру еще одну циску, в моем случае 1721, соединию ее витой парой с wan-интерфейсом 871 циски. Настраиваю на ethernet-интерфейсе 1721 циски ip-адрес 205.205.205.6 и прописываю шлюз на 205.205.205.5
На 871 циски тоже прописываю шлюз, но на 205.205.205.6
Теперь делаю пинг ip-адреса 205.205.205.6 c компьютера с ip-адресом 10.10.10.3. Пинг есть. Смотрю на 871 циски трансляции Nat'а:
- show ip nat translations
Преобразование адреса идет. Когда я беру и делаю пинг с рутера 1721 (т.е.с адреса 205.205.205.6) на адрес комьютера 10.10.10.4, то пинг тоже идет (сквозь NAT), причем идет и в другую частную сеть 10.12.12.0 Делаю еще один список доступа:
- access-list 102 deny ip any 10.10.10.0 0.0.0.255
и вешаю его на wan-интерфейс 871 циски:
- interface fastethernet 4
- ip access-group 102 in
Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем проблема?? Это у меня где-то крыша съехала или траблы у циски??
>[оверквотинг удален]
>(т.е.с адреса 205.205.205.6) на адрес комьютера 10.10.10.4, то пинг тоже идет
>(сквозь NAT), причем идет и в другую частную сеть 10.12.12.0 Делаю
>еще один список доступа:
>- access-list 102 deny ip any 10.10.10.0 0.0.0.255
>и вешаю его на wan-интерфейс 871 циски:
>- interface fastethernet 4
>- ip access-group 102 in
>Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем
>проблема?? Это у меня где-то крыша съехала или траблы у циски??
>Конфиг огласи
>- access-list 102 deny ip any 10.10.10.0 0.0.0.255
>и вешаю его на wan-интерфейс 871 циски:
>- interface fastethernet 4
>- ip access-group 102 in
>Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем
>проблема?? Это у меня где-то крыша съехала или траблы у циски??
>так с ходу, icmp слегка не ip :) если хочется секурности проще разрещающий acl на вход-выход сделать, либо FW настроить.
а маршрутизация так и должна работать, вполне нормально это все, и от класса железа не зависит.
>[оверквотинг удален]
>>- ip access-group 102 in
>>Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем
>>проблема?? Это у меня где-то крыша съехала или траблы у циски??
>>
>
>так с ходу, icmp слегка не ip :) если хочется секурности проще
>разрещающий acl на вход-выход сделать, либо FW настроить.
>
>а маршрутизация так и должна работать, вполне нормально это все, и от
>класса железа не зависит.Неа, ip охватывает icmp в цисковских ACLs. Ладно, попробую в понедельник залить ему самую навороченную операционку, которая тока есть для этой модели.
Для этой модели больше одного vlan может только advipservicesk9 у вас такой?
>Для этой модели больше одного vlan может только advipservicesk9 у вас такой?
>да я вроде юы уже понял
я делал на обычном k9
вот сейчас залил эдвансд иос k9 и вроде бы все появилось