проясните пару вопросов пожалуйста, biggi, 28-Сен-12, 05:45 [смотреть все]привет знатокам проясните пожалуста : нужно пробросить телефонию через VPN, а доступ в интернет через НАТ , соответственно делаю ACL110 и исключаю то что идет в VPN, но закавыка: Voicemail PC (192.168.10.2/29)должен иметь доступ в инет и общаться с VoipPBX (IPOFFICE500) , он в одной подсетке vlan20 (192.168.10.0/29) с VoipPBX , вопрос можно ли часть IP с подсетки vlan 20 через НАТ а часть через VPN кинуть, как я тут сделал? , будет ли ето работать? меня смушает то что я вынужден сделать ip nat inside na vlan 20 иначе PC не выйдет в инет ... как мне кажется рутер сперва посмотрит в ACL110 увидит VoicemailPC незя через НАТ и кинет через VPN -ето верно ? не не помешает ли этому команда ip nat inside нa interface vlan 20 ? RA#sho run Building configuration... ! boot-start-marker boot-end-marker ! logging buffered 51200 ! no aaa new-model memory-size iomem 10 clock timezone PCTime -5 clock summer-time PCTime date Apr 6 2003 2:00 Oct 26 2003 2:00 ! crypto pki trustpoint TP-self-signed-3088937797 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3088937797 revocation-check none rsakeypair TP-self-signed-3088937797 ! ip source-route! ! ip dhcp excluded-address 10.10.10.1 ! ip dhcp pool ccp-pool import all network 10.10.10.0 255.255.255.248 default-router 10.10.10.1 lease 0 2 ! ! ip cef ip domain name yourdomain.com ip name-server 71.250.0.12 ip name-server 71.242.0.12 no ipv6 cef ! ! license udi pid CISCO881-K9 sn FTX162683BP ! ! username admin privilege 15 secret 5 $1$9.I7$4C61J/DT957rNQXyeuJ18/ ! class-map match-all voip match access-group name voice class-map match-all data match vlan 30 ! ! policy-map voip class voip bandwidth percent 65 class data bandwidth percent 34 policy-map Voice_policy ! ! ! crypto isakmp policy 5 hash md5 authentication pre-share crypto isakmp key 1voice1 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set voice_set esp-des esp-md5-hmac ! crypto dynamic-map voice 10 set transform-set voice_set match address voice ! crypto map voice 10 ipsec-isakmp dynamic voice interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface FastEthernet0 ! interface FastEthernet1 switchport access vlan 30 ! interface FastEthernet2 switchport access vlan 20 ! interface FastEthernet3 switchport access vlan 20 ! interface FastEthernet4 ip address ABCD 255.255.255.0 ip nat outside ip virtual-reassembly duplex full speed 100 crypto map voice service-policy output voip ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ ip address 10.10.10.1 255.255.255.248 ip tcp adjust-mss 1452 ! interface Vlan20 ip address 192.168.10.1 255.255.255.248 description to_voice ip nat inside ip virtual-reassembly ! interface Vlan30 description data ip address 192.168.16.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip nat inside source route-map nonat interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 ABCD name www ip route 172.16.2.0 255.255.255.0 192.168.10.2 ip route 192.168.15.0 255.255.255.0 192.168.16.2 ! ip access-list extended voice permit tcp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1720 permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1718 permit udp 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15 eq 1719 deny ip any any ! access-list 23 permit 10.10.10.0 0.0.0.7 access-list 110 permit ip 192.168.16.0 0.0.0.3 any access-list 110 permit ip 192.168.15.0 0.0.0.255 any access-list 110 deny ip host 192.168.10.2 192.168.20.0 0.0.0.15-----isklyuchayu iz NAT to chto idet v VPN access-list 110 deny ip 172.16.2.0 0.0.0.255 192.168.20.0 0.0.0.15--isklyuchayu iz NAT to chto idet v VPN access-list 110 permit ip 192.168.10.0 0.0.0.7 any access-list 110 permit icmp any any echo-reply access-list 110 permit icmp any any time-exceeded access-list 110 permit icmp any any unreachable access-list 110 permit ip 172.16.2.0 0.0.0.255 any no cdp run route-map nonat permit 10 match ip address 110 ! !line con 0 login local no modem enable line aux 0 line vty 0 4 privilege level 15 logging synchronous login local transport input telnet ssh !
|
- проясните пару вопросов пожалуйста, biggi, 05:48 , 28-Сен-12 (1)
добавлю IP на VoicemailPC: 192.168.10.2
- проясните пару вопросов пожалуйста, biggi, 05:52 , 28-Сен-12 (2)
> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3
- проясните пару вопросов пожалуйста, jied83, 17:58 , 28-Сен-12 (3)
>> добавлю IP на VoicemailPC: 192.168.10.2 - ето ошибка , 192.168.10.2 -eto интерфейс на VOIPPBX который должен быть виден с ВПН , а VoicemailPC-ето 192.168.10.3 не совсем понял, что надо, но трафик между хостами сети 192.168.10.0/29 на рутер не попадет и соответственно натиться не будет. Если что-то нужно исключить из ната, то просто в ACL в первую строчку добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если пакет с хоста 10.2 идет на 2.1 он натится не будет, все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 any
- проясните пару вопросов пожалуйста, bekzod, 20:53 , 28-Сен-12 (4)
> не совсем понял, что надо, но трафик между хостами сети 192.168.10.0/29 > на рутер не попадет и соответственно натиться не будет. Если что-то > нужно исключить из ната, то просто в ACL в первую строчку > добавь deny например deny ip host 192.168.10.2 host 192.168.2.1, тогда если > пакет с хоста 10.2 идет на 2.1 он натится не будет, > все остально попадает в правило permit ip 192.168.10.0 0.0.0.7 any Spasibo, proyasnil , znachit budet rabotat ;)
|