Добрый день!Имеется
Cisco 1841 + HWIC-4ESW - два провайдера, два VLAN
Как настроить, чтобы компьютеры из VLAN 20(10.0.5.0\24) видели хосты из 10.0.3.0\24?Схема нужная:
http://farm5.static.flickr.com/4127/5000713437_916595e917_z.jpgКонфиг приложен:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname tpk_shab23
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip host CALLCENTER 10.0.3.5
ip dhcp-server 10.0.3.30
no ipv6 cef
!
multilink bundle-name authenticated
!
!!
!
username admin privilege 15 secret 5 $bdffgdfhsdher34taewtf
archive
log config
hidekeys
!
!
!
!
class-map type inspect match-any SDM_SSH
match access-group name SDM_SSH
class-map type inspect match-any SDM_HTTPS
match access-group name SDM_HTTPS
class-map type inspect match-any SDM_SHELL
match access-group name SDM_SHELL
!
!
!
!
!
interface FastEthernet0/0
description =Internet connection=
ip address XXX.XXX.XXX.XXX 255.255.255.0
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map to_udal1a
!
interface FastEthernet0/1
description =LAN=
ip address 10.0.3.1 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
description =FOR Internet Connection 2=
switchport access vlan 10
!
interface FastEthernet0/0/1
description =FOR VLAN 20=
switchport access vlan 20
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan10
ip address YYY.YYY.YYY.YYY 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface Vlan20
ip address 10.0.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map ISP2
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 217.10.46.1no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list 101 interface FastEthernet0/0 overload
ip nat inside source route-map NAT-ISP-2 interface Vlan10 overload
ip nat inside source static tcp 10.0.5.10 80 YYY.YYY.YYY.YYY 80 extendable
ip nat inside source static tcp 10.0.3.104 80 XXX.XXX.XXX.XXX 80 extendable!
ip access-list extended SDM_HTTPS
remark SDM_ACL Category=1
permit tcp any any eq 443
ip access-list extended SDM_SHELL
remark SDM_ACL Category=1
permit tcp any any eq cmd
ip access-list extended SDM_SSH
remark SDM_ACL Category=1
permit tcp any any eq 22
ip access-list extended TO_BY
permit ip 10.0.3.0 0.0.0.255 10.52.14.0 0.0.0.255!
access-list 23 permit 10.0.3.0 0.0.0.255
access-list 23 permit 10.0.10.0 0.0.0.255
access-list 101 deny ip 10.0.3.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit ip host 10.0.3.74 any
access-list 101 permit ip host 10.0.3.110 any
access-list 101 permit ip host 10.0.3.24 any
access-list 101 permit ip host 10.0.3.57 any
access-list 101 permit ip host 10.0.3.93 any
access-list 101 permit ip host 10.0.3.26 any
access-list 101 permit ip host 10.0.3.27 any
access-list 101 permit ip host 10.0.3.111 any
access-list 101 permit ip host 10.0.3.104 any
access-list 101 permit ip host 10.0.3.33 any
access-list 101 permit ip host 10.0.3.14 any
access-list 101 permit ip host 10.0.3.18 any
access-list 101 permit ip host 10.0.3.202 any
access-list 102 permit ip 10.37.80.96 0.0.0.31 any
access-list 104 permit ip 10.0.5.0 0.0.0.255 any
!
!
!
!
route-map NAT-ISP-2 permit 1
match ip address 104
!
route-map ISP2 permit 20
match ip address 104
match interface Vlan10
set ip next-hop YYY.YYY.YYY.YYY.97
!
!
snmp-server group Group v3 priv match exact
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
session-timeout 50
access-class 23 in
privilege level 15
transport input telnet ssh
line vty 5 15
session-timeout 50
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
Они и так их "видят". Кстати, а что вы под этим словом имели в виду?
ПС. И хватит убирать публичные адреса из конфигофф (тем более не до конца). Секурности это не прибавляет, траблшутенг усложняет.
Да. И еще в роутмапе ISP2 замените set ip next-hop YYY.YYY.YYY.YYY.97 на set ip default next-hop YYY.YYY.YYY.YYY.97
>Да. И еще в роутмапе ISP2 замените set ip next-hop YYY.YYY.YYY.YYY.97 на
>set ip default next-hop YYY.YYY.YYY.YYY.97Ок. А разница сильна?
>Они и так их "видят". Кстати, а что вы под этим словом
>имели в виду?
>
>
>ПС. И хватит убирать публичные адреса из конфигофф (тем более не до
>конца). Секурности это не прибавляет, траблшутенг усложняет.Нет, не видит.
После ip policy route-map ISP2 в VLAN 20 перестало.
Все дело в ACL 104. Но как его сконфигурить, чтобы сеть 10.0.5.0/24 осталась с Интернетом."Видят" - к примеру хост 10.0.5.10 пингует 10.0.3.10.
>После ip policy route-map ISP2 в VLAN 20 перестало.
>Все дело в ACL 104. Но как его сконфигурить, чтобы сеть 10.0.5.0/24
>осталась с Интернетом.
>
>"Видят" - к примеру хост 10.0.5.10 пингует 10.0.3.10.возможно, отредактировав acl 104:
access-list 104 deny ip 10.0.5.0 0.0.0.255 10.0.3.0 0.0.0.255
access-list 104 permit ip 10.0.5.0 0.0.0.255 anyа вместо
route-map ISP2 permit 20
match ip address 104
match interface Vlan10
set ip next-hop YYY.YYY.YYY.YYY.97оставить
route-map ISP2 permit 20
match ip address 104
set ip next-hop YYY.YYY.YYY.YYY.97
>[оверквотинг удален]
>а вместо
>route-map ISP2 permit 20
>match ip address 104
>match interface Vlan10
>set ip next-hop YYY.YYY.YYY.YYY.97
>
>оставить
>route-map ISP2 permit 20
>match ip address 104
>set ip next-hop YYY.YYY.YYY.YYY.97Спасибо Crash. Помогло.
Тему можно закрывать.