The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вопрос по route-map"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Вопрос по route-map"  
Сообщение от sizgiyaev email(ok) on 25-Июн-08, 13:10 
Здравствуйте.

Столкнулся с проблемкой устанавливая прокси.
Есть сеть:
                Интернет
                   |
                   |
                Firewall ---- DMZ(4.4.4.0)
                   |
                   | --- Proxy (3.3.3.3)
                   |
               Router Cisco 2600
                 /       \
                /         \
       LAN1(1.1.1.0)     LAN2 (2.2.2.0)

Задача в том чтобы перенаправить весь траффик на портах 80,443 и 21 через прокси из двух локалных сетей, с условием что этот трaффик направлен в интернет а не в DMZ1 или в одну из локальных сетей из другой.

Настройки маршрутизатора:

interface FastEthernet0/0 (Внутренний)
ip address 2.2.2.254 255.255.255.0 secondary
ip address 1.1.1.254 255.255.255.0
ip policy route-map gotoproxy

interface FastEthernet0/1 (Внешний)
ip address 3.3.3.1 255.255.255.240


access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 121 permit tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq ftp
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 122 permit tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq ftp
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 123 permit tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq www
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq 443
access-list 124 permit tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.15 eq ftp

route-map gotoproxy permit 10
match ip address 123 124 125 126
set ip next-hop 3.3.3.254 (Firewall)

route-map gotoproxy permit 20
match ip address 113 114
set ip next-hop 3.3.3.3 (Proxy)


В такой ситуации все работает прекрасно, проблема между локальными сетями:
Все обращения по данным портам между ними проходят через прокси.
Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не происходило?


Заранее благодарю за любую помощь
Сергей

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вопрос по route-map"  
Сообщение от NetMan email(??) on 25-Июн-08, 13:41 
>[оверквотинг удален]
>
>
>В такой ситуации все работает прекрасно, проблема между локальными сетями:
>Все обращения по данным портам между ними проходят через прокси.
>Как правильно составить route-map policy используя аксеслисты 121 122 чтобы такого не
>происходило?
>
>
>Заранее благодарю за любую помощь
>Сергей

Поправь access-list-ы:

access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вопрос по route-map"  
Сообщение от NetMan email(??) on 25-Июн-08, 13:47 
Еще подкорректировать роут-мапы


route-map gotoproxy permit 10
match ip address 113 114
set ip next-hop 3.3.3.3 (Proxy)

route-map gotoproxy permit 20
set ip next-hop 3.3.3.254 (Firewall)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопрос по route-map"  
Сообщение от NetMan email(??) on 25-Июн-08, 13:52 
ДМЗ еще в аксес листах

access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
access-list 113 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq www
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 443
access-list 113 permit tcp 1.1.1.0 0.0.0.255 any eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21

Кажется все

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вопрос по route-map"  
Сообщение от sizgiyaev email(ok) on 25-Июн-08, 14:15 
>[оверквотинг удален]
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 443
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 eq 21
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 443
>access-list 114 deny tcp 2.2.2.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 21
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>
>Кажется все

Большое спасибо :)

В такой ситации может роутемап пермит 20 вообще не нужен если дефолт роуте на фаирвалл?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Вопрос по route-map"  
Сообщение от NetMan email(??) on 25-Июн-08, 14:19 
>[оверквотинг удален]
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq www
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 443
>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>>
>>Кажется все
>
>Большое спасибо :)
>
>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
>роуте на фаирвалл?

Не нужен :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Вопрос по route-map"  
Сообщение от sizgiyaev email(ok) on 25-Июн-08, 14:56 
>[оверквотинг удален]
>>>access-list 114 permit tcp 2.2.2.0 0.0.0.255 any eq 21
>>>
>>>Кажется все
>>
>>Большое спасибо :)
>>
>>В такой ситации может роутемап пермит 20 вообще не нужен если дефолт
>>роуте на фаирвалл?
>
>Не нужен :

Спасибо :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру