Здравствуйте!
Прошу сильно не пинать, так как с темой не очень знаком.

У нас есть циска 2811 в двумя езернет портами (интернет и локалка). Недавно сменили провайдера. Наш новый провайдер дает нам интернет по PPPoE (логин, пароль), соответственно получаем какой-то ip'шник. кроме этого он нам предоставляет еще два "белых" ip. Просто настроить dialer и NAT особого труда не составило, интернет заработал.

Но вот в чем суть вопроса: можно ли настроить один из "белых" ip'шников на циске (чтобы запросы извне приходили непосредственно на циску), и если "да", то как? Можно ли на FE0/1 повесить и dialer и реальный айпишник?

Буду рад любой помощи!

• Помогите новичку настроить cisco 2811,mr_gfd, 10:36 , 17-Сен-13
  • Помогите новичку настроить cisco 2811,axtuba, 10:45 , 17-Сен-13
• Помогите новичку настроить cisco 2811,merko, 12:20 , 17-Сен-13
  • Помогите новичку настроить cisco 2811,merko, 12:56 , 17-Сен-13
    • Помогите новичку настроить cisco 2811,axtuba, 14:42 , 17-Сен-13
      • Помогите новичку настроить cisco 2811,merko, 04:34 , 18-Сен-13
        • Помогите новичку настроить cisco 2811,axtuba, 07:54 , 18-Сен-13
          • Помогите новичку настроить cisco 2811,diesel315, 16:17 , 25-Сен-13
            • Помогите новичку настроить cisco 2811,crash, 06:55 , 26-Сен-13
• Помогите новичку настроить cisco 2811,IZh, 10:21 , 18-Сен-13
  • Помогите новичку настроить cisco 2811,axtuba, 13:15 , 18-Сен-13
  • Помогите новичку настроить cisco 2811,axtuba, 14:02 , 03-Окт-13

> PPPoE

При соединении точка-точка будет у тебя на конце /32. Дополнительные адреса явно завернуты маршрутизацией в адрес на ppp интерфейсе. Попробуй на лупбек навесить или куда там удобнее. можно и дальше протащить по локальной сети при помощи binat

>> PPPoE
> При соединении точка-точка будет у тебя на конце /32. Дополнительные адреса явно
> завернуты маршрутизацией в адрес на ppp интерфейсе. Попробуй на лупбек навесить
> или куда там удобнее. можно и дальше протащить по локальной сети
> при помощи binat

Т.е. реальные (которые дополнительные) ip'шники на loopback повесить? А можно подробнее, или где прочитать?

>[оверквотинг удален]
> У нас есть циска 2811 в двумя езернет портами (интернет и локалка).
> Недавно сменили провайдера. Наш новый провайдер дает нам интернет по PPPoE
> (логин, пароль), соответственно получаем какой-то ip'шник. кроме этого он нам предоставляет
> еще два "белых" ip. Просто настроить dialer и NAT особого труда
> не составило, интернет заработал.
> Но вот в чем суть вопроса: можно ли настроить один из "белых"
> ip'шников на циске (чтобы запросы извне приходили непосредственно на циску), и
> если "да", то как? Можно ли на FE0/1 повесить и dialer
> и реальный айпишник?
> Буду рад любой помощи!

1. на loopback как уже посоветовали
2. отдельный влан выделить под эти внешн адреса.

Маршрутизация на эти адреса 99% идет через ваш внешн ip адрес, который на PPPoE соединении...

кстати если эти доп.адреса смаршрутизированы через адрес который наPPPoE, то можно эти адреса никуда вообще и не вешать... А тупо пробрасывать на локальные.

Например у меня PPPoE 195.46.102.XX
И доп адреса 195.46.121.YY, 195.46.121.YZ, 195.46.121.ZZ

так вот
ip nat inside source static tcp 172.25.1.101 443 195.46.121.YY 443 extendable
пробрасывает трафик идущий на 443 порт адреса 195.46.121.YY на 443 порт локального адреса 172.25.1.101

и т.д.

> кстати если эти доп.адреса смаршрутизированы через адрес который наPPPoE, то можно эти
> адреса никуда вообще и не вешать... А тупо пробрасывать на локальные.
> Например у меня PPPoE 195.46.102.XX
> И доп адреса 195.46.121.YY, 195.46.121.YZ, 195.46.121.ZZ
> так вот
> ip nat inside source static tcp 172.25.1.101 443 195.46.121.YY 443 extendable
> пробрасывает трафик идущий на 443 порт адреса 195.46.121.YY на 443 порт локального
> адреса 172.25.1.101
> и т.д.

Спасибо! Более-менее понятно, но мне собственно надо как раз чтобы один реальный адрес точно был на циске, так как на ней VPN поднимается.

Насчет вланов кстати вопрос. Я так понял что версии цисок и ios разные, кроме того разные модули еще. У себя я например не могу создать влан интерфейс, говорит ошибка в команде...

>[оверквотинг удален]
>> так вот
>> ip nat inside source static tcp 172.25.1.101 443 195.46.121.YY 443 extendable
>> пробрасывает трафик идущий на 443 порт адреса 195.46.121.YY на 443 порт локального
>> адреса 172.25.1.101
>> и т.д.
> Спасибо! Более-менее понятно, но мне собственно надо как раз чтобы один реальный
> адрес точно был на циске, так как на ней VPN поднимается.
> Насчет вланов кстати вопрос. Я так понял что версии цисок и ios
> разные, кроме того разные модули еще. У себя я например не
> могу создать влан интерфейс, говорит ошибка в команде...

покажи какую команду ты пишешь и результат.

а вообще на 2811 должны нормально отрабатывать и int fa0/0.100 и int vlan 100

>[оверквотинг удален]
>>> адреса 172.25.1.101
>>> и т.д.
>> Спасибо! Более-менее понятно, но мне собственно надо как раз чтобы один реальный
>> адрес точно был на циске, так как на ней VPN поднимается.
>> Насчет вланов кстати вопрос. Я так понял что версии цисок и ios
>> разные, кроме того разные модули еще. У себя я например не
>> могу создать влан интерфейс, говорит ошибка в команде...
> покажи какую команду ты пишешь и результат.
> а вообще на 2811 должны нормально отрабатывать и int fa0/0.100 и int
> vlan 100

сабинтерфейсы можно создать int fe0/0.100
а вот про vlan:

     axtuba(config)#int vlan 100
                         ^
     % Invalid input detected at '^' marker.

axtuba(config)#int ?
  Async              Async interface
  BVI                Bridge-Group Virtual Interface
  CDMA-Ix            CDMA Ix interface
  CTunnel            CTunnel interface
  Dialer             Dialer interface
  FastEthernet       FastEthernet IEEE 802.3
  Group-Async        Async Group interface
  Lex                Lex interface
  Loopback           Loopback interface
  MFR                Multilink Frame Relay bundle interface
  Multilink          Multilink-group interface
  Null               Null interface
  Port-channel       Ethernet Channel of interfaces
  Tunnel             Tunnel interface
  Vif                PGM Multicast Host interface
  Virtual-Access     Virtual Access interface
  Virtual-PPP        Virtual PPP interface
  Virtual-Template   Virtual Template interface
  Virtual-TokenRing  Virtual TokenRing
  range              interface range command

> сабинтерфейсы можно создать int fe0/0.100
> а вот про vlan:
>      axtuba(config)#int vlan 100
>            
>            
>   ^
>      % Invalid input detected at '^' marker.

Сперва Vlan создайте, а потом уже интерфейс с ip адресом...

>> сабинтерфейсы можно создать int fe0/0.100
>> а вот про vlan:
>>      axtuba(config)#int vlan 100
>>
>>
>>   ^
>>      % Invalid input detected at '^' marker.
> Сперва Vlan создайте, а потом уже интерфейс с ip адресом...

ничего не поменяется. У него же не стоит свичевый модуль, а стоят два встроенных порта, а значит надо делать сабинтерфейсы

>Можно ли на FE0/1 повесить и dialer и реальный айпишник?

Да, даже без лупбеков.
Только имейте в виду что это по сути два разных интерфейса со своими дефолтроутами.
Нужно или через роутмапы разруливать
http://ker-laeda.livejournal.com/1345.html
Или помещать диалер и fa 0/1 в разные vrf.

>>Можно ли на FE0/1 повесить и dialer и реальный айпишник?
> Да, даже без лупбеков.
> Только имейте в виду что это по сути два разных интерфейса со
> своими дефолтроутами.
> Нужно или через роутмапы разруливать
> http://ker-laeda.livejournal.com/1345.html
> Или помещать диалер и fa 0/1 в разные vrf.

Спасибо! Попробую погуглить

Через loopback инет настроил вроде бы.
Но возникла другая проблема, в настройке VPN.
IPSEC VPN, смог дойти только до того, что либо туннель не поднимается (если криптомап на интерфейсе диалера), либо поднимается, но данные не идут (если криптомап на лупбэке или лупбеке+диалере).
Пробовал и crypto-map ... local-address loopback0 overload, но может что не так делаю...

Кто подскажет куда копать?