 VPN + VLAN,  Zuul, 07-Сен-17, 02:05 [смотреть все]Добрый день!
Столкнулся с такой задачейЕсть провайдер "X" который предоставляет доступ в Интернет выделяя для нас свои внутренние сети с префиксом /30 + vlan. Мы подключены к городской сети и к этому провайдеру.
Есть желание предоставлять доступ абонентов городской сети к этому провайдеру "X"
через vpdn.
Взял cisco 2621XM IOS (tm) C2600 Software (C2600-IPVOICE-M), Version 12.3(9), RELEASE SOFTWARE (fc2)
Настроил на интерфейсе Fa0/0 адрес городской сети для доступа городских абонентов к маршрутизатору.
Второй интерфейс Fa0/1 кабелем подключил в выделенный порт оборудования провайдера "Х"
Провайдер выделил три сети, в будущем будет больше.
192.168.10.0/30 vlan 100
192.168.10.4/30 vlan 101
192.168.10.8/30 vlan 102
У самого провайдера эти сети находятся за натом.
Настроил vpdn с выдачей конкретных адресов по логину пользователя. Об этом позже...
Настроил интерфейсы с адресами провайдера: interface FastEthernet0/1.100
encapsulation dot1Q 100
ip address 192.168.10.2 255.255.255.252
no cdp enable
interface FastEthernet0/1.101
encapsulation dot1Q 100
ip address 192.168.10.6 255.255.255.252
no cdp enable
interface FastEthernet0/1.102
encapsulation dot1Q 100
ip address 192.168.10.10 255.255.255.252
no cdp enable всё как бы работает, с маршрутизацией всё понятно, поэтому не буду о ней тут писать
Для быстрой проверки послал пинг с каждого интерфейса на IP шлюза провайдера: amr-rt-00#ping 192.168.10.1 source Fa0/1.100 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Ну и сам Интернет: amr-rt-00#ping 8.8.8.8 source Fa0/1.100 Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.168.10.2
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами?
Адресов в сетях данных провайдеров всего два :(
Если раздать адреса клиентам скажем из собственного пула адресов,
то тогда нужен будет нат . У меня нат, у провайдера нат, это как бы вообще не устраивает по ряду причин. Подскажите плз есть решения для данной задачи?
Подразумеваю, что не в ту сторону копал. |
- VPN + VLAN, zanswer CCNA RS and S, 05:39 , 07-Сен-17 (1)
>[оверквотинг удален]
> Packet sent with a source address of 192.168.10.2
> !!!!!
> Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms
> Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами?
> Адресов в сетях данных провайдеров всего два :(
> Если раздать адреса клиентам скажем из собственного пула адресов,
> то тогда нужен будет нат . У меня нат, у провайдера нат,
> это как бы вообще не устраивает по ряду причин.
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.Эм, лично я не вижу не какого другого решения в вашем случае, кроме NAT, но посмотрим, что другие придумают, даже интересно.
- VPN + VLAN, ACCA, 03:09 , 08-Сен-17 (3)
> Эм, лично я не вижу не какого другого решения в вашем случае,
> кроме NAT, но посмотрим, что другие придумают, даже интересно.IPv6, разумеется.
- VPN + VLAN, zanswer CCNA RS and S, 05:55 , 08-Сен-17 (4)
>> Эм, лично я не вижу не какого другого решения в вашем случае,
>> кроме NAT, но посмотрим, что другие придумают, даже интересно.
> IPv6, разумеется.IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов туннелирования IPv6 через IPv4?
- VPN + VLAN, ACCA, 21:48 , 08-Сен-17 (7)
> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола
> версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов Всем сесть на белые адреса и не пользовать NAT.
- VPN + VLAN, zanswer CCNA RS and S, 08:03 , 09-Сен-17 (8)
>> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола
>> версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов
> Всем сесть на белые адреса и не пользовать NAT.Перейти всем на глобально маршрутизируемые адреса я и сам не против, но автор интересуется, как ему обойтись без этого. :)
- VPN + VLAN, ACCA, 21:49 , 11-Сен-17 (9)
> Перейти всем на глобально маршрутизируемые адреса я и сам не против, но
> автор интересуется, как ему обойтись без этого. :) Не, он хочет обойтись без двух NATов. ;)
- VPN + VLAN, Аноним, 20:15 , 07-Сен-17 (2)
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.купите AS
с любовью, всегда ваш кэп
- VPN + VLAN, Andrey, 09:27 , 08-Сен-17 (5)
>[оверквотинг удален]
> Подскажите плз есть решения для данной задачи?
> Подразумеваю, что не в ту сторону копал.Раздавать доступ на C2621XM пользователям городской сети через VPN? Реально? А сколько пользователей предполагается? А какой трафик от одного пользователя ожидаете? NAT+VPN на этой железке сожрет CPU уже на первых 3 пользователях.
Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости. > interface FastEthernet0/1.100
> interface FastEthernet0/1.101
> interface FastEthernet0/1.102 и все они
> encapsulation dot1Q 100 ??? Работает? Забавно... По архитектуре сети: либо двойной NAT, либо услуга "реальный IP" или "статический IP".
- VPN + VLAN, zanswer CCNA RS and S, 10:55 , 08-Сен-17 (6)
>[оверквотинг удален]
> Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже
> С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости.
>> interface FastEthernet0/1.100
>> interface FastEthernet0/1.101
>> interface FastEthernet0/1.102
> и все они
>> encapsulation dot1Q 100
> ??? Работает? Забавно...
> По архитектуре сети: либо двойной NAT, либо услуга "реальный IP" или
> "статический IP".Андрей, думаю, автор писал руками и совершил ошибку, мы же с вами понимаем, что он не смог бы ввести такие команды в консоль, он получил бы ошибку.
|
Версия для распечатки
