forum.opennet.ru

Составление сообщения

Исходное сообщение

"NAT"
Отправлено sidsoft, 26-Мрт-13 13:19

Здравствуйте Уважаемые.
Есть CISCO 881 и три провайдера:
interface Vlan2
description TELECOM1
ip address 10.10.10.10 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
interface FastEthernet4 <- ЭТО WAN Интерфейс
description TELECOM2
ip address 20.20.20.20 255.255.255.0
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 64
duplex auto
speed auto
interface Vlan3
description TELECOM3
ip address 30.30.30.30 255.255.255.0
ip nat outside
ip virtual-reassembly in max-reassemblies 64
Выхожу в Интернет только по одному из "ЖИВЫХ" провайдеров отслеживая каналы на "живость":
track 100 ip sla 100 reachability
!
track 200 ip sla 200 reachability
!
track 300 ip sla 300 reachability
!
ip sla 100
icmp-echo 8.8.8.8 source-ip 10.10.10.10
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 8.8.8.8 source-ip 20.20.20.20
frequency 5
ip sla schedule 200 life forever start-time now
соответственно есть "правила":
ip local policy route-map RMAP
ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.0
ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0
ip nat pool TELECOM3Pool 30.30.30.30 30.30.30.30 netmask 255.255.255.0
ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload
ip nat inside source route-map TELECOM3-NAT pool TELECOM3Pool overload
ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload
ip route 0.0.0.0 0.0.0.0 10.10.10.10 10 track 100
ip route 0.0.0.0 0.0.0.0 20.20.20.20 20 track 200
ip route 0.0.0.0 0.0.0.0 30.30.30.30 30 track 300
и "листы":
ip access-list extended ACL_SLA_TELECOM1
permit ip 10.10.10.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM3
permit ip 30.30.30.0 0.0.0.255 any
ip access-list extended ACL_SLA_TELECOM2
permit ip 20.20.20.0 0.0.0.255 any
и "карты":
route-map RMAP permit 10
match ip address ACL_SLA_TELECOM2
set ip next-hop 20.20.20.9
!
route-map RMAP permit 20
match ip address ACL_SLA_TELECOM1
set ip next-hop 10.10.10.9
!
route-map RMAP permit 30
match ip address ACL_SLA_TELECOM3
set ip next-hop 30.30.30.9
!
route-map TELECOM3_NAT permit 100
match ip address ACL_NAT
match interface Vlan3
!
route-map TELECOM2_NAT permit 100
match ip address ACL_NAT
match interface FastEthernet4
!
route-map TELECOM1_NAT permit 100
match ip address ACL_NAT
match interface Vlan2
Все работает, тут появилась задача, через TELECOM3 настроить Туннель, что бы получать "авторизованный" сервис, авторизация по тунельному ключу и по пиринговому IP-адресу:
Вот туннель + настройка ключа:
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key **** address 50.50.50.50
!
crypto ipsec transform-set ANKS esp-3des esp-md5-hmac
!
crypto ipsec profile IPSEC
set transform-set ANKS
!
interface Tunnel2
description PRIVATE-SERVICE
ip address 192.168.199.2 255.255.255.252
tunnel source 30.30.30.30
tunnel destination 50.50.50.50
tunnel protection ipsec profile IPSEC
ЗА 192.168.199.Х имеется IP-адрес 1.1.1.1 который пингуется только с тунельного(пирингового) IP-адреса 192.168.199.2
ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный туннель?
Сама CISCO данный IP-адрес пингует, маршрут имеется:
ip route 1.1.1.1 255.255.255.255 Tunnel2
СПАСИБО ВСЕМ ОТВЕТИВШИМ!

Исходное сообщение
"NAT" Отправлено sidsoft, 26-Мрт-13 13:19
Здравствуйте Уважаемые. Есть CISCO 881 и три провайдера: interface Vlan2 description TELECOM1 ip address 10.10.10.10 255.255.255.0 ip flow ingress ip nat outside ip virtual-reassembly in max-reassemblies 64 interface FastEthernet4 <- ЭТО WAN Интерфейс description TELECOM2 ip address 20.20.20.20 255.255.255.0 ip flow ingress ip nat outside ip virtual-reassembly in max-reassemblies 64 duplex auto speed auto interface Vlan3 description TELECOM3 ip address 30.30.30.30 255.255.255.0 ip nat outside ip virtual-reassembly in max-reassemblies 64 Выхожу в Интернет только по одному из "ЖИВЫХ" провайдеров отслеживая каналы на "живость": track 100 ip sla 100 reachability ! track 200 ip sla 200 reachability ! track 300 ip sla 300 reachability ! ip sla 100 icmp-echo 8.8.8.8 source-ip 10.10.10.10 frequency 5 ip sla schedule 100 life forever start-time now ip sla 200 icmp-echo 8.8.8.8 source-ip 20.20.20.20 frequency 5 ip sla schedule 200 life forever start-time now соответственно есть "правила": ip local policy route-map RMAP ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.0 ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0 ip nat pool TELECOM3Pool 30.30.30.30 30.30.30.30 netmask 255.255.255.0 ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload ip nat inside source route-map TELECOM3-NAT pool TELECOM3Pool overload ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload ip route 0.0.0.0 0.0.0.0 10.10.10.10 10 track 100 ip route 0.0.0.0 0.0.0.0 20.20.20.20 20 track 200 ip route 0.0.0.0 0.0.0.0 30.30.30.30 30 track 300 и "листы": ip access-list extended ACL_SLA_TELECOM1 permit ip 10.10.10.0 0.0.0.255 any ip access-list extended ACL_SLA_TELECOM3 permit ip 30.30.30.0 0.0.0.255 any ip access-list extended ACL_SLA_TELECOM2 permit ip 20.20.20.0 0.0.0.255 any и "карты": route-map RMAP permit 10 match ip address ACL_SLA_TELECOM2 set ip next-hop 20.20.20.9 ! route-map RMAP permit 20 match ip address ACL_SLA_TELECOM1 set ip next-hop 10.10.10.9 ! route-map RMAP permit 30 match ip address ACL_SLA_TELECOM3 set ip next-hop 30.30.30.9 ! route-map TELECOM3_NAT permit 100 match ip address ACL_NAT match interface Vlan3 ! route-map TELECOM2_NAT permit 100 match ip address ACL_NAT match interface FastEthernet4 ! route-map TELECOM1_NAT permit 100 match ip address ACL_NAT match interface Vlan2 Все работает, тут появилась задача, через TELECOM3 настроить Туннель, что бы получать "авторизованный" сервис, авторизация по тунельному ключу и по пиринговому IP-адресу: Вот туннель + настройка ключа: crypto isakmp policy 11 encr 3des authentication pre-share group 2 lifetime 28800 crypto isakmp key **** address 50.50.50.50 ! crypto ipsec transform-set ANKS esp-3des esp-md5-hmac ! crypto ipsec profile IPSEC set transform-set ANKS ! interface Tunnel2 description PRIVATE-SERVICE ip address 192.168.199.2 255.255.255.252 tunnel source 30.30.30.30 tunnel destination 50.50.50.50 tunnel protection ipsec profile IPSEC ЗА 192.168.199.Х имеется IP-адрес 1.1.1.1 который пингуется только с тунельного(пирингового) IP-адреса 192.168.199.2 ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный туннель? Сама CISCO данный IP-адрес пингует, маршрут имеется: ip route 1.1.1.1 255.255.255.255 Tunnel2 СПАСИБО ВСЕМ ОТВЕТИВШИМ!

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Здравствуйте Уважаемые.
> Есть CISCO 881 и три провайдера:

> interface Vlan2 
>  description TELECOM1 
>  ip address 10.10.10.10 255.255.255.0 
>  ip flow ingress 
>  ip nat outside 
>  ip virtual-reassembly in max-reassemblies 64

> interface FastEthernet4 <- ЭТО WAN Интерфейс 
>  description TELECOM2 
>  ip address 20.20.20.20 255.255.255.0 
>  ip flow ingress 
>  ip nat outside 
>  ip virtual-reassembly in max-reassemblies 64 
>  duplex auto 
>  speed auto

> interface Vlan3 
>  description TELECOM3 
>  ip address 30.30.30.30 255.255.255.0 
>  ip nat outside 
>  ip virtual-reassembly in max-reassemblies 64

> Выхожу в Интернет только по одному из "ЖИВЫХ" провайдеров отслеживая каналы на 
> "живость":

> track 100 ip sla 100 reachability 
> !
> track 200 ip sla 200 reachability 
> !
> track 300 ip sla 300 reachability 
> !
> ip sla 100 
>  icmp-echo 8.8.8.8 source-ip 10.10.10.10 
>  frequency 5 
> ip sla schedule 100 life forever start-time now 
> ip sla 200 
>  icmp-echo 8.8.8.8 source-ip 20.20.20.20 
>  frequency 5 
> ip sla schedule 200 life forever start-time now

> соответственно есть "правила": 
> ip local policy route-map RMAP 
> ip nat pool TELECOM2Pool 20.20.20.20 20.20.20.20 netmask 255.255.255.0 
> ip nat pool TELECOM1Pool 10.10.10.10 10.10.10.10 netmask 255.255.255.0 
> ip nat pool TELECOM3Pool 30.30.30.30 30.30.30.30 netmask 255.255.255.0 
> ip nat inside source route-map TELECOM1_NAT pool TELECOM1Pool overload 
> ip nat inside source route-map TELECOM3-NAT pool TELECOM3Pool overload 
> ip nat inside source route-map TELECOM2_NAT pool TELECOM2Pool overload 
> ip route 0.0.0.0 0.0.0.0 10.10.10.10 10 track 100 
> ip route 0.0.0.0 0.0.0.0 20.20.20.20 20 track 200 
> ip route 0.0.0.0 0.0.0.0 30.30.30.30 30 track 300

> и "листы": 
> ip access-list extended ACL_SLA_TELECOM1 
>  permit ip 10.10.10.0 0.0.0.255 any 
> ip access-list extended ACL_SLA_TELECOM3 
>  permit ip 30.30.30.0 0.0.0.255 any 
> ip access-list extended ACL_SLA_TELECOM2 
>  permit ip 20.20.20.0 0.0.0.255 any

> и "карты": 
> route-map RMAP permit 10 
>  match ip address ACL_SLA_TELECOM2 
>  set ip next-hop 20.20.20.9 
> !
> route-map RMAP permit 20 
>  match ip address ACL_SLA_TELECOM1 
>  set ip next-hop 10.10.10.9 
> !
> route-map RMAP permit 30 
>  match ip address ACL_SLA_TELECOM3 
>  set ip next-hop 30.30.30.9 
> !
> route-map TELECOM3_NAT permit 100 
>  match ip address ACL_NAT 
>  match interface Vlan3 
> !
> route-map TELECOM2_NAT permit 100 
>  match ip address ACL_NAT 
>  match interface FastEthernet4 
> !
> route-map TELECOM1_NAT permit 100 
>  match ip address ACL_NAT 
>  match interface Vlan2

> Все работает, тут появилась задача, через TELECOM3 настроить Туннель, что бы получать 
> "авторизованный" сервис, авторизация по тунельному ключу и по пиринговому IP-адресу: 
> Вот туннель + настройка ключа: 
> crypto isakmp policy 11 
>  encr 3des 
>  authentication pre-share 
>  group 2 
>  lifetime 28800 
> crypto isakmp key **** address 50.50.50.50 
> !
> crypto ipsec transform-set ANKS esp-3des esp-md5-hmac 
> !
> crypto ipsec profile IPSEC 
>  set transform-set ANKS 
> !
> interface Tunnel2 
>  description PRIVATE-SERVICE 
>  ip address 192.168.199.2 255.255.255.252 
>  tunnel source 30.30.30.30 
>  tunnel destination 50.50.50.50 
>  tunnel protection ipsec profile IPSEC

> ЗА 192.168.199.Х имеется IP-адрес 1.1.1.1 который пингуется только с тунельного(пирингового) 
> IP-адреса 192.168.199.2

> ЗАДАЧА: Как сделать НАТ (или иной способ) пирингового IP-адреса (192.168.199.2) что бы 
> все в локальной сети имели доступ на IP-адрес 1.1.1.1 через созданный 
> туннель?
> Сама CISCO данный IP-адрес пингует, маршрут имеется: 
> ip route 1.1.1.1 255.255.255.255 Tunnel2

> СПАСИБО ВСЕМ ОТВЕТИВШИМ!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру