VPN + VLAN, Zuul, 07-Сен-17, 02:05 [смотреть все]Добрый день! Столкнулся с такой задачейЕсть провайдер "X" который предоставляет доступ в Интернет выделяя для нас свои внутренние сети с префиксом /30 + vlan. Мы подключены к городской сети и к этому провайдеру. Есть желание предоставлять доступ абонентов городской сети к этому провайдеру "X" через vpdn. Взял cisco 2621XM IOS (tm) C2600 Software (C2600-IPVOICE-M), Version 12.3(9), RELEASE SOFTWARE (fc2) Настроил на интерфейсе Fa0/0 адрес городской сети для доступа городских абонентов к маршрутизатору. Второй интерфейс Fa0/1 кабелем подключил в выделенный порт оборудования провайдера "Х" Провайдер выделил три сети, в будущем будет больше. 192.168.10.0/30 vlan 100 192.168.10.4/30 vlan 101 192.168.10.8/30 vlan 102 У самого провайдера эти сети находятся за натом. Настроил vpdn с выдачей конкретных адресов по логину пользователя. Об этом позже... Настроил интерфейсы с адресами провайдера: interface FastEthernet0/1.100 encapsulation dot1Q 100 ip address 192.168.10.2 255.255.255.252 no cdp enable interface FastEthernet0/1.101 encapsulation dot1Q 100 ip address 192.168.10.6 255.255.255.252 no cdp enable interface FastEthernet0/1.102 encapsulation dot1Q 100 ip address 192.168.10.10 255.255.255.252 no cdp enable всё как бы работает, с маршрутизацией всё понятно, поэтому не буду о ней тут писать Для быстрой проверки послал пинг с каждого интерфейса на IP шлюза провайдера: amr-rt-00#ping 192.168.10.1 source Fa0/1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds: Packet sent with a source address of 192.168.10.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Ну и сам Интернет: amr-rt-00#ping 8.8.8.8 source Fa0/1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: Packet sent with a source address of 192.168.10.2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами? Адресов в сетях данных провайдеров всего два :( Если раздать адреса клиентам скажем из собственного пула адресов, то тогда нужен будет нат . У меня нат, у провайдера нат, это как бы вообще не устраивает по ряду причин. Подскажите плз есть решения для данной задачи? Подразумеваю, что не в ту сторону копал. |
- VPN + VLAN, zanswer CCNA RS and S, 05:39 , 07-Сен-17 (1)
>[оверквотинг удален] > Packet sent with a source address of 192.168.10.2 > !!!!! > Success rate is 100 percent (5/5), round-trip min/avg/max = 52/64/11 ms > Всё казалось бы просто и быстро! Однако как же быть с vpn-клиентами? > Адресов в сетях данных провайдеров всего два :( > Если раздать адреса клиентам скажем из собственного пула адресов, > то тогда нужен будет нат . У меня нат, у провайдера нат, > это как бы вообще не устраивает по ряду причин. > Подскажите плз есть решения для данной задачи? > Подразумеваю, что не в ту сторону копал.Эм, лично я не вижу не какого другого решения в вашем случае, кроме NAT, но посмотрим, что другие придумают, даже интересно.
- VPN + VLAN, ACCA, 03:09 , 08-Сен-17 (3)
> Эм, лично я не вижу не какого другого решения в вашем случае, > кроме NAT, но посмотрим, что другие придумают, даже интересно.IPv6, разумеется.
- VPN + VLAN, zanswer CCNA RS and S, 05:55 , 08-Сен-17 (4)
>> Эм, лично я не вижу не какого другого решения в вашем случае, >> кроме NAT, но посмотрим, что другие придумают, даже интересно. > IPv6, разумеется.IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов туннелирования IPv6 через IPv4?
- VPN + VLAN, ACCA, 21:48 , 08-Сен-17 (7)
> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола > версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов Всем сесть на белые адреса и не пользовать NAT.
- VPN + VLAN, zanswer CCNA RS and S, 08:03 , 09-Сен-17 (8)
>> IPv6? Развейте вашу мысль, что вы предлагаете сделать при помощи IP протокола >> версии 6. Вы хотите выполнять NAT64 или использовать какой-то из способов > Всем сесть на белые адреса и не пользовать NAT.Перейти всем на глобально маршрутизируемые адреса я и сам не против, но автор интересуется, как ему обойтись без этого. :)
- VPN + VLAN, ACCA, 21:49 , 11-Сен-17 (9)
> Перейти всем на глобально маршрутизируемые адреса я и сам не против, но > автор интересуется, как ему обойтись без этого. :) Не, он хочет обойтись без двух NATов. ;)
- VPN + VLAN, Аноним, 20:15 , 07-Сен-17 (2)
> Подскажите плз есть решения для данной задачи? > Подразумеваю, что не в ту сторону копал.купите AS с любовью, всегда ваш кэп
- VPN + VLAN, Andrey, 09:27 , 08-Сен-17 (5)
>[оверквотинг удален] > Подскажите плз есть решения для данной задачи? > Подразумеваю, что не в ту сторону копал.Раздавать доступ на C2621XM пользователям городской сети через VPN? Реально? А сколько пользователей предполагается? А какой трафик от одного пользователя ожидаете? NAT+VPN на этой железке сожрет CPU уже на первых 3 пользователях. Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости. > interface FastEthernet0/1.100 > interface FastEthernet0/1.101 > interface FastEthernet0/1.102 и все они > encapsulation dot1Q 100 ??? Работает? Забавно... По архитектуре сети: либо двойной NAT, либо услуга "реальный IP" или "статический IP".
- VPN + VLAN, zanswer CCNA RS and S, 10:55 , 08-Сен-17 (6)
>[оверквотинг удален] > Проще тогда сэкономить на обедах и купить с рук С28ХХ или даже > С1921. Хотя-бы 10-20 пользовтелей сможете подключить с ограничением по скорости. >> interface FastEthernet0/1.100 >> interface FastEthernet0/1.101 >> interface FastEthernet0/1.102 > и все они >> encapsulation dot1Q 100 > ??? Работает? Забавно... > По архитектуре сети: либо двойной NAT, либо услуга "реальный IP" или > "статический IP".Андрей, думаю, автор писал руками и совершил ошибку, мы же с вами понимаем, что он не смог бы ввести такие команды в консоль, он получил бы ошибку.
|