форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Организация DMZ на cisco роутере"

Сообщение от virt1122 (ok) on 30-Окт-06, 23:12

Есть cisco 2821 c двумя интерфейсами. Один в WAN, второй в LAN. Работает NAT, организованно около 10 VPN туннелей с серверами FreeBSD на удаленном конце. Теперь встал вопрос об организации DMZ (почта,www,jabber). Как я понял нужно использовать для этого сабинтерфейсы. В наличии из свичей есть только 3COM 4400SE и Dlink DES-2108. Собственно вопрос, пойдут ли эти свичи для совместной работы с cisco для организации DMZ или придется раскошеливаться на HWIC-4ESW? Если можно пример конфига по организации DMZ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Организация DMZ на cisco роутере"

Сообщение от AlexDv (??) on 31-Окт-06, 21:30

>Есть cisco 2821 c двумя интерфейсами. >Один в WAN, второй в LAN. >Работает NAT, организованно около 10 VPN туннелей с серверами FreeBSD на удаленном >конце. >Теперь встал вопрос об организации DMZ (почта,www,jabber). >Как я понял нужно использовать для этого сабинтерфейсы. >В наличии из свичей есть только 3COM 4400SE и Dlink DES-2108. >Собственно вопрос, пойдут ли эти свичи для совместной работы с cisco для >организации DMZ или придется раскошеливаться на HWIC-4ESW? Если dot1Q поддерживают, то подойдут. >Если можно пример конфига по организации DMZ... Примерно так ... interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 ip address 10.10.10.1 255.255.255.0 no ip redirects ! interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 10.10.11.1 255.255.255.0 no ip redirects

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Организация DMZ на cisco роутере"
	Сообщение от virt (ok) on 01-Ноя-06, 12:01
	Пока получилось примерно так: 192.168.1.0/24 локалка настроил все на dlink (10.0.10.1) локалка пингуется, то есть dot1q работает Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу понять как это сделать. Скажем есть сервер www,ftp с адресом 217.0.0.100 и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке. На сетевых карточках серверов прописаны реальные адреса. interface GigabitEthernet0/0 description LAN interface ip address 10.0.10.1 255.255.255.0 ip access-group 103 in no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly duplex auto speed auto no mop enabled ! interface GigabitEthernet0/0.3 description to intranet encapsulation dot1Q 3 ip address 192.168.1.248 255.255.255.0 ip nat inside ip virtual-reassembly no cdp enable ! interface GigabitEthernet0/1 description WAN ip address 217.x.x.101 255.255.255.248 ip access-group 104 in no ip redirects no ip unreachables no ip proxy-arp ip wccp web-cache redirect out ip nat outside ip inspect SDM_LOW out ip virtual-reassembly ip route-cache policy duplex auto speed auto
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 01-Ноя-06, 14:23
	>Пока получилось примерно так: > >192.168.1.0/24 локалка >настроил все на dlink (10.0.10.1) На D-Link-е IP address не нужен >локалка пингуется, то есть dot1q работает >Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу >понять как это сделать. >Скажем есть сервер www,ftp с адресом 217.0.0.100 >и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке. >На сетевых карточках серверов прописаны реальные адреса. Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи, вторую на интерфейс, где DMZ. Или поставь на серверах "серые" адреса и через ip nat inside source static tcp 192.168.100.1 80 217.x.x.A 80 extendable ip nat inside source static tcp 192.168.100.2 25 217.x.x.B 25 extendable Тогда на DMZ интерфейсе нужен еще NAT.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Организация DMZ на cisco роутере"
	Сообщение от virt (ok) on 01-Ноя-06, 14:36
	>>Пока получилось примерно так: >> >>192.168.1.0/24 локалка >>настроил все на dlink (10.0.10.1) > >На D-Link-е IP address не нужен а управлять им как без ip адреса? > >>локалка пингуется, то есть dot1q работает >>Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу >>понять как это сделать. >>Скажем есть сервер www,ftp с адресом 217.0.0.100 >>и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке. >>На сетевых карточках серверов прописаны реальные адреса. > >Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи, >вторую на интерфейс, где DMZ. Не получиться. доступно к использованию только 4 адреса 217.0.0.98-217.0.0.101. Остальные используются на оборудовании провайдера... > >Или поставь на серверах "серые" адреса и через >ip nat inside source static tcp 192.168.100.1 80 217.x.x.A 80 extendable >ip nat inside source static tcp 192.168.100.2 25 217.x.x.B 25 extendable >Тогда на DMZ интерфейсе нужен еще NAT.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 01-Ноя-06, 15:11
	>>>Пока получилось примерно так: >>> >>>192.168.1.0/24 локалка >>>настроил все на dlink (10.0.10.1) >> >>На D-Link-е IP address не нужен >а управлять им как без ip адреса? > IP адрес из внутренней сети. >> >>>локалка пингуется, то есть dot1q работает >>>Но не получается теперь опубликовать сервера в DMZ зоне, точнее не могу >>>понять как это сделать. >>>Скажем есть сервер www,ftp с адресом 217.0.0.100 >>>и mail сервер c адресом 217.0.0.98. Сервера находятся в одной подсетке. >>>На сетевых карточках серверов прописаны реальные адреса. >> >>Если на серверах "белые" адреса, разбей 217.x.x.x на две подсети, одну снаружи, >>вторую на интерфейс, где DMZ. >Не получиться. доступно к использованию только 4 адреса 217.0.0.98-217.0.0.101. Остальные используются на >оборудовании провайдера... Снаружи 217.0.0.98 255.255.255.252, DMZ 217.0.0.101 255.255.255.252 Или еще адресов взять :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Организация DMZ на cisco роутере"
	Сообщение от virt1122 (ok) on 09-Ноя-06, 20:13
	Взял еще адресов. 217.x.x.96/29 dmz сеть 89.x.x.224/29 wan Шлюз провайдера для каждой сети соответственно 217.x.x.97 и 89.x.x.225 получилось: interface GigabitEthernet0/0 description LAN Interface ip address 192.168.1.248 255.255.255.0 ip access-group 103 in no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly duplex auto speed auto no mop enabled ! interface GigabitEthernet0/0.100 description interface DMZ encapsulation dot1Q 100 ip address 217.x.x.101 255.255.255.248 no cdp enable ! interface GigabitEthernet0/1 description WAN interface ip address 89.x.x.226 255.255.255.248 ip access-group 104 in no ip redirects no ip unreachables no ip proxy-arp ip wccp web-cache redirect out ip flow egress ip nat outside ip inspect SDM_LOW out ip virtual-reassembly ip route-cache policy duplex auto speed auto no mop enabled crypto map vpnmap ip route 0.0.0.0 0.0.0.0 89.x.x.225 permanent После подключения всей схемы сервера в DMZ (217.x.x.98, 217.x.x.100) видят только друг друга. Шлюз провайдера 217.x.x.97 они не видят. Странно следующее. На одном сервере в DMZ настроен NAT. Шлюзом для сервера прописан все тот же 217.x.x.97. На этом сервере исторически осталась еще сетевая карта смотрящая в локалку. Так вот локальные компьютеры имеющие гейтом этот сервер из dmz по внутренней сетевой карте имеют работающий интернет, хотя оговорюсь еще раз с самого сервера шлюз провайдера и соответственно выход в инет не работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 10-Ноя-06, 09:42
	>Взял еще адресов. >217.x.x.96/29 dmz сеть >89.x.x.224/29 wan >Шлюз провайдера для каждой сети соответственно 217.x.x.97 и 89.x.x.225 >получилось: > >interface GigabitEthernet0/0 > description LAN Interface > ip address 192.168.1.248 255.255.255.0 > ip access-group 103 in > no ip redirects > no ip unreachables > no ip proxy-arp > ip flow ingress > ip flow egress > ip nat inside > ip virtual-reassembly > duplex auto > speed auto > no mop enabled >! >interface GigabitEthernet0/0.100 > description interface DMZ > encapsulation dot1Q 100 > ip address 217.x.x.101 255.255.255.248 > no cdp enable >! >interface GigabitEthernet0/1 > description WAN interface > ip address 89.x.x.226 255.255.255.248 > ip access-group 104 in > no ip redirects > no ip unreachables > no ip proxy-arp > ip wccp web-cache redirect out > ip flow egress > ip nat outside > ip inspect SDM_LOW out > ip virtual-reassembly > ip route-cache policy > duplex auto > speed auto > no mop enabled > crypto map vpnmap > >ip route 0.0.0.0 0.0.0.0 89.x.x.225 permanent > >После подключения всей схемы сервера в DMZ (217.x.x.98, 217.x.x.100) видят только друг >друга. Шлюз провайдера 217.x.x.97 они не видят. >Странно следующее. На одном сервере в DMZ настроен NAT. NAT убрать. > Шлюзом для сервера >прописан все тот же 217.x.x.97. Default gateway для всех кто в DMZ 217.x.x.101. Маски сетей проверить. > На этом сервере исторически осталась еще >сетевая карта смотрящая в локалку. Лишние сетевые выкинуть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Организация DMZ на cisco роутере"
	Сообщение от virt (ok) on 10-Ноя-06, 18:49
	Прописал для компов в DMZ шлюз 217.x.x.101 Инет не работает все равно. Я так понимаю нужно как то указать, что это вся подсетка роутится через ip провайдера 217.x.x.97... Но где....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Организация DMZ на cisco роутере"
	Сообщение от virt (ok) on 10-Ноя-06, 19:29
	Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется. Если я на WAN интерфейсе прописываю ip из 217 то пинг на 217.x.x.97 проходит.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 10-Ноя-06, 22:08
	>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется. >Если я на WAN интерфейсе прописываю ip из 217 то пинг на >217.x.x.97 проходит. sh ip ro что говорит?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 10-Ноя-06, 22:18
	>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется. >>Если я на WAN интерфейсе прописываю ip из 217 то пинг на >>217.x.x.97 проходит. > >sh ip ro что говорит? И еще ping 89.x.x.225 sou gi0/0.100 ping IP-сервера-в DMZ sou gi0/0.100
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Организация DMZ на cisco роутере"
	Сообщение от virt1122 (ok) on 10-Ноя-06, 22:41
	>>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется. >>>Если я на WAN интерфейсе прописываю ip из 217 то пинг на >>>217.x.x.97 проходит. >> >>sh ip ro что говорит? sh ip rou Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2        E1 - OSPF external type 1, E2 - OSPF external type 2        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2        ia - IS-IS inter area, * - candidate default, U - per-user static route        o - ODR, P - periodic downloaded static route Gateway of last resort is 89.x.x.225 to network 0.0.0.0 S    192.168.12.0/24 is directly connected, Tunnel30      192.168.150.0/32 is subnetted, 1 subnets S       192.168.150.0 [1/0] via 89.x.x.225 S    192.168.8.0/24 is directly connected, Tunnel10 S    192.168.10.0/24 is directly connected, Tunnel40 S    192.168.11.0/24 is directly connected, Tunnel35      217.x.x.0/29 is subnetted, 1 subnets C       217.x.x.96 is directly connected, GigabitEthernet0/0.100 S    192.168.4.0/24 is directly connected, Tunnel25 S    192.168.6.0/24 is directly connected, Tunnel45 S    192.168.7.0/24 is directly connected, Tunnel55      89.0.0.0/27 is subnetted, 1 subnets C       89.x.x.224 is directly connected, GigabitEthernet0/1 S    192.168.0.0/24 is directly connected, Tunnel50 C    192.168.1.0/24 is directly connected, GigabitEthernet0/0      192.168.155.0/32 is subnetted, 1 subnets S       192.168.155.0 [1/0] via 89.x.x.225 S    192.168.2.0/24 is directly connected, Tunnel15 S    192.168.3.0/24 is directly connected, Tunnel20 S*   0.0.0.0/0 [1/0] via 89.x.x.225 >И еще > >ping 89.x.x.225 sou gi0/0.100 >ping IP-сервера-в DMZ sou gi0/0.100 На этот вопрос пока не могу ответить, так как схема уже разобрана. Но c сервера находящегося в DMZ IP адрес 89.x.x.225 пингуется. просто пинг с cisco ping 217.x.x.98(99-100) проходит. пинг с cisco на 217.x.x.97 не проходит.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 10-Ноя-06, 22:57
	>>>>Соответственно с cisco ip адрес 217.x.x.97 тоже не пингуется. >>>>Если я на WAN интерфейсе прописываю ip из 217 то пинг на >>>>217.x.x.97 проходит. >>> >>>sh ip ro что говорит? > >sh ip rou >Codes: C - connected, S - static, R - RIP, M - >mobile, B - BGP >       D - EIGRP, EX - >EIGRP external, O - OSPF, IA - OSPF inter area >       N1 - OSPF NSSA external >type 1, N2 - OSPF NSSA external type 2 >       E1 - OSPF external type >1, E2 - OSPF external type 2 >       i - IS-IS, su - >IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 >       ia - IS-IS inter area, >* - candidate default, U - per-user static route >       o - ODR, P - >periodic downloaded static route > >Gateway of last resort is 89.x.x.225 to network 0.0.0.0 > >S    192.168.12.0/24 is directly connected, Tunnel30 >     192.168.150.0/32 is subnetted, 1 subnets >S       192.168.150.0 [1/0] via 89.x.x.225 >S    192.168.8.0/24 is directly connected, Tunnel10 >S    192.168.10.0/24 is directly connected, Tunnel40 >S    192.168.11.0/24 is directly connected, Tunnel35 >     217.x.x.0/29 is subnetted, 1 subnets >C       217.x.x.96 is directly connected, GigabitEthernet0/0.100 > >S    192.168.4.0/24 is directly connected, Tunnel25 >S    192.168.6.0/24 is directly connected, Tunnel45 >S    192.168.7.0/24 is directly connected, Tunnel55 >     89.0.0.0/27 is subnetted, 1 subnets >C       89.x.x.224 is directly connected, GigabitEthernet0/1 > >S    192.168.0.0/24 is directly connected, Tunnel50 >C    192.168.1.0/24 is directly connected, GigabitEthernet0/0 >     192.168.155.0/32 is subnetted, 1 subnets >S       192.168.155.0 [1/0] via 89.x.x.225 >S    192.168.2.0/24 is directly connected, Tunnel15 >S    192.168.3.0/24 is directly connected, Tunnel20 >S*   0.0.0.0/0 [1/0] via 89.x.x.225 > >>И еще >> >>ping 89.x.x.225 sou gi0/0.100 >>ping IP-сервера-в DMZ sou gi0/0.100 > >На этот вопрос пока не могу ответить, так как схема уже разобрана. > >Но c сервера находящегося в DMZ IP адрес 89.x.x.225 пингуется. >просто пинг с cisco ping 217.x.x.98(99-100) проходит. >пинг с cisco на 217.x.x.97 не проходит. А такого хоста и нету. Значит все работает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Организация DMZ на cisco роутере"
	Сообщение от virt1122 (ok) on 10-Ноя-06, 23:15
	>>пинг с cisco на 217.x.x.97 не проходит. >А такого хоста и нету. >Значит все работает. Да, работает,но с серверов в DMZ я кроме DMZ зоны ничего не вижу. То есть сетка 217.x.x.96/29 не маршрутизируется через 89.x.x.225 Она маршрутизируется только через 217.x.x.97.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 10-Ноя-06, 23:20
	> >>>пинг с cisco на 217.x.x.97 не проходит. >>А такого хоста и нету. >>Значит все работает. > >Да, работает,но с серверов в DMZ я кроме DMZ зоны ничего не >вижу. >То есть сетка 217.x.x.96/29 не маршрутизируется через 89.x.x.225 >Она маршрутизируется только через 217.x.x.97. Пинай провайдера.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Организация DMZ на cisco роутере"
	Сообщение от virt (??) on 15-Ноя-06, 15:38
	>Пинай провайдера. После изменений сеть 217.x.x.96/29 стала маршрутизироваться как через 217.x.x.97 шлюз так и через 89.x.x.225. ping IP-сервера-в DMZ sou gi0/0.100 проходит ping 89.x.x.225 sou gi0/0.100 не проходит инет с серверов в DMZ по прежнему не работает. И кстати сейчас не смотря на то, что на циске прописан шлюз 89.x.x.225 #traceroute ya.ru Translating "ya.ru"...domain server (83.242.140.10) [OK] Type escape sequence to abort. Tracing the route to ya.ru (213.180.204.8)   1 217.x.x.97 4 msec 4 msec 0 msec   2 -----
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Организация DMZ на cisco роутере"
	Сообщение от virt (??) on 15-Ноя-06, 20:57
	Может это поможет? С сервера в dmz (217.x.x.100) делаю ping www.ru Nov 15 20:48:36 cisco2821 64850: 062961: Nov 15 20:48:36: IP: tableid=0, s=217.x.x.100 (GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), routed via FIB Nov 15 20:48:36 cisco2821 64851: 062962: Nov 15 20:48:36: IP: s=217.x.x.100 (GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), g=89.x.x.225, len 60, forward
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Организация DMZ на cisco роутере"
	Сообщение от AlexDv (??) on 15-Ноя-06, 23:28
	>Может это поможет? >С сервера в dmz (217.x.x.100) делаю ping www.ru > >Nov 15 20:48:36 cisco2821 64850: 062961: Nov 15 20:48:36: IP: tableid=0, s=217.x.x.100 >(GigabitEthernet0/0.100), d=194.87.0.50 (GigabitEthernet0/1), routed > via FIB >Nov 15 20:48:36 cisco2821 64851: 062962: Nov 15 20:48:36: IP: s=217.x.x.100 (GigabitEthernet0/0.100), >d=194.87.0.50 (GigabitEthernet0/1), g=89.x.x.225, >len 60, forward К провайдеру ушел, а обратно не пришел. Акцесс-лист на входе? Маршрутизация у провайдера не настроена?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Организация DMZ на cisco роутере"
	Сообщение от virt1122 (ok) on 16-Ноя-06, 08:03
	>К провайдеру ушел, а обратно не пришел. Акцесс-лист на входе? Маршрутизация у >провайдера не настроена? Большое спасибо за вашу поддержку. Акцесс лист с gig0/1 я убирал для чистоты эксперимента. Проблему это не решило. Как нибудь можно проверить маршрутизацию, настроена она или нет у провайдера? Или если у меня роутинг в данном случае не работает, значит не настроена? Подскажите плиз, какие именно настройки должен изменить у себя провайдер?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]