forum.opennet.ru - "CISCO 2911 настройка NAT и маршрутизаци" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"CISCO 2911 настройка NAT и маршрутизаци"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"CISCO 2911 настройка NAT и маршрутизаци"	+/–
Сообщение от Kikler (ok) on 03-Ноя-14, 17:46
Добрый день форумчане, недавно появилась необходимость настроить cisco 2911, а я в этом деле профан, помогите разрешить такую ситуацию: есть две сети, в одной ip адреса 192.168.2.х в другой 10.6.10.х, сейчас они соединены между собой на прямую. В сети 192.168.2.х есть один сервер БД которому временно прописан второстепенный ip адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х). Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность доступа к серверу 192.168.2.238 из сети 10.6.10.х. В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в сети 10.6.10.х. Можно ли это сделать в принципе, или на компы всеравно придется вносить какието изменения? Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.
Ответить \| Правка \| Cообщить модератору

Оглавление

CISCO 2911 настройка NAT и маршрутизаци, Merridius, 22:24 , 03-Ноя-14, (1)

CISCO 2911 настройка NAT и маршрутизаци, Kikler, 09:22 , 04-Ноя-14, (2)

CISCO 2911 настройка NAT и маршрутизаци, Maksim, 15:38 , 05-Ноя-14, (3)
CISCO 2911 настройка NAT и маршрутизаци, Andrey, 20:22 , 05-Ноя-14, (4)

CISCO 2911 настройка NAT и маршрутизаци, Kikler, 15:00 , 06-Ноя-14, (5)

CISCO 2911 настройка NAT и маршрутизаци, Andrey, 20:51 , 06-Ноя-14, (6)

CISCO 2911 настройка NAT и маршрутизаци, kikler, 12:11 , 11-Ноя-14, (7)

CISCO 2911 настройка NAT и маршрутизаци, vigogne, 10:14 , 12-Ноя-14, (8)

CISCO 2911 настройка NAT и маршрутизаци, Merridius, 14:18 , 12-Ноя-14, (9)

CISCO 2911 настройка NAT и маршрутизаци, kikler, 16:14 , 12-Ноя-14, (10)

CISCO 2911 настройка NAT и маршрутизаци, Merridius, 19:10 , 12-Ноя-14, (11)

Сообщения по теме [Сортировка по времени | RSS]

1. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Merridius (ok) on 03-Ноя-14, 22:24

>[оверквотинг удален]
> адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть)
> основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х).
> Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность
> доступа к серверу 192.168.2.238 из сети 10.6.10.х.
> В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в
> сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в
> сети 10.6.10.х.
> Можно ли это сделать в принципе, или на компы всеравно придется вносить
> какието изменения?
> Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.
ip routing
ip cef
int gig0/0.2
enc dot1q 2
ip add 192.168.2.1 255.255.255.0
ip nat enable
int gig0/0.3
enc dot1q 3
ip add 10.6.10.1 255.255.255.0
ip access-group BLOCK in
ip nat enable
ip nat source static 192.168.2.238 10.6.10.15
ip access-list extended BLOCK
permit ip 10.6.10.0 0.0.0.255 host 10.6.10.15
Вот конфига для того, что написано.
Сети в разных вланах (2,3), ACL рубает все, кроме трафика к 10.6.10.15. Соответственно на свичах раскидываем машины по вланам, циску в транк на свиче.
Если честно, NAT здесь лишняя сущность, которая будет исключительно загружать циску.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Kikler (ok) on 04-Ноя-14, 09:22

>[оверквотинг удален]
>  ip access-group BLOCK in
>  ip nat enable
> ip nat source static 192.168.2.238 10.6.10.15
> ip access-list extended BLOCK
>  permit ip 10.6.10.0 0.0.0.255 host 10.6.10.15
> Вот конфига для того, что написано.
> Сети в разных вланах (2,3), ACL рубает все, кроме трафика к 10.6.10.15.
> Соответственно на свичах раскидываем машины по вланам, циску в транк на
> свиче.
> Если честно, NAT здесь лишняя сущность, которая будет исключительно загружать циску.
Спасибо, буду пробовать.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Maksim (??) on 05-Ноя-14, 15:38

>[оверквотинг удален]
> адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть)
> основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х).
> Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность
> доступа к серверу 192.168.2.238 из сети 10.6.10.х.
> В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в
> сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в
> сети 10.6.10.х.
> Можно ли это сделать в принципе, или на компы всеравно придется вносить
> какието изменения?
> Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.
Merridius прав, потом при решении тривиальной задачи вам потребуется опять делать костыли или еще хуже городить костыли уже на существующие.
Делайте правильно сразу, "натить" маршрутизатор вам будет 100 мигабит от силы, а у вас судя по всему локальный трафик будет и следующий пост вы напишите: "Почему-то маршрутизатор загружен на 100% при небольшом трафике"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Andrey (??) on 05-Ноя-14, 20:22

>[оверквотинг удален]
> адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть)
> основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х).
> Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность
> доступа к серверу 192.168.2.238 из сети 10.6.10.х.
> В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в
> сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в
> сети 10.6.10.х.
> Можно ли это сделать в принципе, или на компы всеравно придется вносить
> какието изменения?
> Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.
Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во вторую сеть воткнуть или перевести клиентов на работу по DNS, а не по IP адресам, чтобы потом не иметь проблем с их перенастройкой. NAT в этом решении даст вам головной боли и в дальнейшем испортит не одни выходные и карму.
Если было-бы две сети с пересекающимися адресациями и разными сервисами на одинаковых IP - да, NAT был бы уместен. Здесь NAT чисто логически дополнительная точка отказа.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Kikler (ok) on 06-Ноя-14, 15:00

>[оверквотинг удален]
>> какието изменения?
>> Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.
> Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во
> вторую сеть воткнуть или перевести клиентов на работу по DNS, а
> не по IP адресам, чтобы потом не иметь проблем с их
> перенастройкой. NAT в этом решении даст вам головной боли и в
> дальнейшем испортит не одни выходные и карму.
> Если было-бы две сети с пересекающимися адресациями и разными сервисами на одинаковых
> IP - да, NAT был бы уместен. Здесь NAT чисто логически
> дополнительная точка отказа.
Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, но в то же время не хотелось бы мне, чтобы с того сервера можно было просматривать мою сеть.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Andrey (??) on 06-Ноя-14, 20:51

>>[оверквотинг удален]
> Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный
> сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический
> канал, компы из моей сети 10.6.10.х должны иметь к нему доступ,
> но в то же время не хотелось бы мне, чтобы с
> того сервера можно было просматривать мою сеть.
Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами можно различными способами. NAT не является панацеей  и достаточно дорогостоящий в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом между вашей сетью и сервером будет будет более гуманным подходом.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от kikler on 11-Ноя-14, 12:11

>>>[оверквотинг удален]
>> Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный
>> сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический
>> канал, компы из моей сети 10.6.10.х должны иметь к нему доступ,
>> но в то же время не хотелось бы мне, чтобы с
>> того сервера можно было просматривать мою сеть.
> Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами
> можно различными способами. NAT не является панацеей  и достаточно дорогостоящий
> в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом
> между вашей сетью и сервером будет будет более гуманным подходом.
Спасибо за помощь, вроде бы настроил циску, пинги есть из сети 10.6.10.* к хосту 10.6.10.15, но зайти на него не могу :( что-то наверное не так, помогите пожалуйста разобраться. Приведу рабочую конфигурацию:

Building configuration...
Current configuration : 3615 bytes
!
! Last configuration change at 12:03:43 PCTime Tue Nov 11 2014 by admin
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
clock timezone PCTime -3 0
!
no ipv6 cef
!
!
!
!
!
no ip domain lookup
ip domain name xxx
ip cef
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1971028890
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1971028890
revocation-check none
rsakeypair TP-self-signed-1971028890
!
!
crypto pki certificate chain TP-self-signed-1971028890
certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31393731 30323838 3930301E 170D3134 31303238 31313532
  33305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373130
  32383839 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100A4BA 5E58FF78 3AC03394 94BA198E C8FFAC08 412C6D43 657CB7F6 405AA6AD
  5FA29D4F 8F9A46B3 4A984376 8FF6F64D 8F15C9EF EB656F8C E51A19CA 78558779
  94C7763C 1661D6E8 8461C165 CAF51B90 304253D9 A0AC373B E675AC7B 6D7EACB9
  9EA7849D 22727946 BBA1C0C9 BDD53DFB 1DF4C344 61B1662A 20FB5398 08DF8146
  6E8B0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 148809C7 9D694A90 F162635B 9B2C9F1F AA7D6AAD A1301D06
  03551D0E 04160414 8809C79D 694A90F1 62635B9B 2C9F1FAA 7D6AADA1 300D0609
  2A864886 F70D0101 05050003 8181001A 02F37910 4BFBFA4F 2E009CBD D0D6D286
  0F422DE7 60E7D92A C1613489 A4DC2544 ED2C454F 88347DC2 75A0F1BF EC1E8731
  22F714AA C0831077 69BE47D4 EF43707C 7BC5751A BC96F241 69191619 10C2A8CE
  7ED3B32E 7DF76FF6 9C508673 B4B4332A 2EEC56D6 C4B2BBE5 BA75B0C8 5A224C91
  FDFD5C86 049B30A4 C40B4961 0082CA
      quit
license udi pid CISCO2911/K9 sn xxx
!
!
username admin privilege 15 password 7 01100F175804
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description To_Admin_LAN
ip address 10.6.10.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description to_PP_LAN
ip address 192.168.2.240 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
!
interface FastEthernet0/0/1
no ip address
!
interface FastEthernet0/0/2
no ip address
!
interface FastEthernet0/0/3
no ip address
!
interface Vlan1
no ip address
shutdown
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat outside source static 192.168.2.238 10.6.10.15
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
!
ip access-list extended admin_to_15
remark CCP_ACL Category=2
permit tcp 10.6.10.0 0.0.0.255 host 10.6.10.15
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
logging synchronous
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
privilege level 15
password 7 110A1016141D
logging synchronous
login local
transport input all
!
scheduler allocate 20000 1000
end

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от vigogne (ok) on 12-Ноя-14, 10:14

> ip nat outside source static 192.168.2.238 10.6.10.15
Почитайте вы теорию, ну сразу же станет все понятно и сразу сделаете как надо. В интернетах куча всяких разных мануалов и инструкций.
Вот например, доступно и по существу: http://habrahabr.ru/post/108931/
По существу: Вы статически адрес 192.168.2.238 транслируете в 10.6.10.15. Т.е. представьте, пакет, идущий с некоего хоста через шлюз 192.168.2.238 в другую сеть (у вас 10.6.10.0/24), при прохождении роутера, изменяет свой адрес источника на 10.6.10.15. Хост, который получил этот пакет, ответ шлет на адрес 10.6.10.15, который должен попасть на роутер и согласно таблице преобразований транслироваться уже в адрес первоначального источника...
Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не прописаны. Как это будет работать?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Merridius (ok) on 12-Ноя-14, 14:18

> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не
> прописаны. Как это будет работать?
Что мешает сделать двойной NAT?
А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо на каждый destination будет производиться arp resolve. Лучше прописать next-hop.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от kikler on 12-Ноя-14, 16:14

>> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не
>> прописаны. Как это будет работать?
> Что мешает сделать двойной NAT?
> А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо
> на каждый destination будет производиться arp resolve. Лучше прописать next-hop.
Спасибо за совет, а можно подробнее описать как сделать двойной нат и прописать next-hop?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "CISCO 2911 настройка NAT и маршрутизаци" +/–

Сообщение от Merridius (ok) on 12-Ноя-14, 19:10

>>> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не
>>> прописаны. Как это будет работать?
>> Что мешает сделать двойной NAT?
>> А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо
>> на каждый destination будет производиться arp resolve. Лучше прописать next-hop.
> Спасибо за совет, а можно подробнее описать как сделать двойной нат и
> прописать next-hop?
ip route 0.0.0.0 0.0.0.0 x.x.x.x

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
Сообщение от Merridius (ok) on 03-Ноя-14, 22:24
>[оверквотинг удален] > адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) > основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х). > Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность > доступа к серверу 192.168.2.238 из сети 10.6.10.х. > В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в > сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в > сети 10.6.10.х. > Можно ли это сделать в принципе, или на компы всеравно придется вносить > какието изменения? > Заранее спасибо за помощь, любую уточняющую информацию готов предоставить. ip routing ip cef int gig0/0.2 enc dot1q 2 ip add 192.168.2.1 255.255.255.0 ip nat enable int gig0/0.3 enc dot1q 3 ip add 10.6.10.1 255.255.255.0 ip access-group BLOCK in ip nat enable ip nat source static 192.168.2.238 10.6.10.15 ip access-list extended BLOCK permit ip 10.6.10.0 0.0.0.255 host 10.6.10.15 Вот конфига для того, что написано. Сети в разных вланах (2,3), ACL рубает все, кроме трафика к 10.6.10.15. Соответственно на свичах раскидываем машины по вланам, циску в транк на свиче. Если честно, NAT здесь лишняя сущность, которая будет исключительно загружать циску.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от Kikler (ok) on 04-Ноя-14, 09:22
	>[оверквотинг удален] > ip access-group BLOCK in > ip nat enable > ip nat source static 192.168.2.238 10.6.10.15 > ip access-list extended BLOCK > permit ip 10.6.10.0 0.0.0.255 host 10.6.10.15 > Вот конфига для того, что написано. > Сети в разных вланах (2,3), ACL рубает все, кроме трафика к 10.6.10.15. > Соответственно на свичах раскидываем машины по вланам, циску в транк на > свиче. > Если честно, NAT здесь лишняя сущность, которая будет исключительно загружать циску. Спасибо, буду пробовать.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
Сообщение от Maksim (??) on 05-Ноя-14, 15:38
>[оверквотинг удален] > адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) > основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х). > Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность > доступа к серверу 192.168.2.238 из сети 10.6.10.х. > В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в > сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в > сети 10.6.10.х. > Можно ли это сделать в принципе, или на компы всеравно придется вносить > какието изменения? > Заранее спасибо за помощь, любую уточняющую информацию готов предоставить. Merridius прав, потом при решении тривиальной задачи вам потребуется опять делать костыли или еще хуже городить костыли уже на существующие. Делайте правильно сразу, "натить" маршрутизатор вам будет 100 мигабит от силы, а у вас судя по всему локальный трафик будет и следующий пост вы напишите: "Почему-то маршрутизатор загружен на 100% при небольшом трафике"
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
Сообщение от Andrey (??) on 05-Ноя-14, 20:22
>[оверквотинг удален] > адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) > основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х). > Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность > доступа к серверу 192.168.2.238 из сети 10.6.10.х. > В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в > сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в > сети 10.6.10.х. > Можно ли это сделать в принципе, или на компы всеравно придется вносить > какието изменения? > Заранее спасибо за помощь, любую уточняющую информацию готов предоставить. Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во вторую сеть воткнуть или перевести клиентов на работу по DNS, а не по IP адресам, чтобы потом не иметь проблем с их перенастройкой. NAT в этом решении даст вам головной боли и в дальнейшем испортит не одни выходные и карму. Если было-бы две сети с пересекающимися адресациями и разными сервисами на одинаковых IP - да, NAT был бы уместен. Здесь NAT чисто логически дополнительная точка отказа.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от Kikler (ok) on 06-Ноя-14, 15:00
	>[оверквотинг удален] >> какието изменения? >> Заранее спасибо за помощь, любую уточняющую информацию готов предоставить. > Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во > вторую сеть воткнуть или перевести клиентов на работу по DNS, а > не по IP адресам, чтобы потом не иметь проблем с их > перенастройкой. NAT в этом решении даст вам головной боли и в > дальнейшем испортит не одни выходные и карму. > Если было-бы две сети с пересекающимися адресациями и разными сервисами на одинаковых > IP - да, NAT был бы уместен. Здесь NAT чисто логически > дополнительная точка отказа. Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, но в то же время не хотелось бы мне, чтобы с того сервера можно было просматривать мою сеть.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от Andrey (??) on 06-Ноя-14, 20:51
	>>[оверквотинг удален] > Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный > сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический > канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, > но в то же время не хотелось бы мне, чтобы с > того сервера можно было просматривать мою сеть. Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами можно различными способами. NAT не является панацеей и достаточно дорогостоящий в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом между вашей сетью и сервером будет будет более гуманным подходом.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от kikler on 11-Ноя-14, 12:11
	>>>[оверквотинг удален] >> Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный >> сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический >> канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, >> но в то же время не хотелось бы мне, чтобы с >> того сервера можно было просматривать мою сеть. > Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами > можно различными способами. NAT не является панацеей и достаточно дорогостоящий > в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом > между вашей сетью и сервером будет будет более гуманным подходом. Спасибо за помощь, вроде бы настроил циску, пинги есть из сети 10.6.10.* к хосту 10.6.10.15, но зайти на него не могу :( что-то наверное не так, помогите пожалуйста разобраться. Приведу рабочую конфигурацию: Building configuration... Current configuration : 3615 bytes ! ! Last configuration change at 12:03:43 PCTime Tue Nov 11 2014 by admin version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname xxx ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! clock timezone PCTime -3 0 ! no ipv6 cef ! ! ! ! ! no ip domain lookup ip domain name xxx ip cef ! multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! crypto pki trustpoint TP-self-signed-1971028890 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1971028890 revocation-check none rsakeypair TP-self-signed-1971028890 ! ! crypto pki certificate chain TP-self-signed-1971028890 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31393731 30323838 3930301E 170D3134 31303238 31313532 33305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373130 32383839 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A4BA 5E58FF78 3AC03394 94BA198E C8FFAC08 412C6D43 657CB7F6 405AA6AD 5FA29D4F 8F9A46B3 4A984376 8FF6F64D 8F15C9EF EB656F8C E51A19CA 78558779 94C7763C 1661D6E8 8461C165 CAF51B90 304253D9 A0AC373B E675AC7B 6D7EACB9 9EA7849D 22727946 BBA1C0C9 BDD53DFB 1DF4C344 61B1662A 20FB5398 08DF8146 6E8B0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 551D2304 18301680 148809C7 9D694A90 F162635B 9B2C9F1F AA7D6AAD A1301D06 03551D0E 04160414 8809C79D 694A90F1 62635B9B 2C9F1FAA 7D6AADA1 300D0609 2A864886 F70D0101 05050003 8181001A 02F37910 4BFBFA4F 2E009CBD D0D6D286 0F422DE7 60E7D92A C1613489 A4DC2544 ED2C454F 88347DC2 75A0F1BF EC1E8731 22F714AA C0831077 69BE47D4 EF43707C 7BC5751A BC96F241 69191619 10C2A8CE 7ED3B32E 7DF76FF6 9C508673 B4B4332A 2EEC56D6 C4B2BBE5 BA75B0C8 5A224C91 FDFD5C86 049B30A4 C40B4961 0082CA quit license udi pid CISCO2911/K9 sn xxx ! ! username admin privilege 15 password 7 01100F175804 ! redundancy ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description To_Admin_LAN ip address 10.6.10.1 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description to_PP_LAN ip address 192.168.2.240 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/0/0 no ip address ! interface FastEthernet0/0/1 no ip address ! interface FastEthernet0/0/2 no ip address ! interface FastEthernet0/0/3 no ip address ! interface Vlan1 no ip address shutdown ! ip forward-protocol nd ! ip http server ip http authentication local ip http secure-server ! ip nat outside source static 192.168.2.238 10.6.10.15 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 ! ip access-list extended admin_to_15 remark CCP_ACL Category=2 permit tcp 10.6.10.0 0.0.0.255 host 10.6.10.15 ! ! ! ! ! ! ! control-plane ! ! ! line con 0 logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 privilege level 15 password 7 110A1016141D logging synchronous login local transport input all ! scheduler allocate 20000 1000 end
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от vigogne (ok) on 12-Ноя-14, 10:14
	> ip nat outside source static 192.168.2.238 10.6.10.15 Почитайте вы теорию, ну сразу же станет все понятно и сразу сделаете как надо. В интернетах куча всяких разных мануалов и инструкций. Вот например, доступно и по существу: http://habrahabr.ru/post/108931/ По существу: Вы статически адрес 192.168.2.238 транслируете в 10.6.10.15. Т.е. представьте, пакет, идущий с некоего хоста через шлюз 192.168.2.238 в другую сеть (у вас 10.6.10.0/24), при прохождении роутера, изменяет свой адрес источника на 10.6.10.15. Хост, который получил этот пакет, ответ шлет на адрес 10.6.10.15, который должен попасть на роутер и согласно таблице преобразований транслироваться уже в адрес первоначального источника... Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не прописаны. Как это будет работать?
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от Merridius (ok) on 12-Ноя-14, 14:18
	> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не > прописаны. Как это будет работать? Что мешает сделать двойной NAT? А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо на каждый destination будет производиться arp resolve. Лучше прописать next-hop.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от kikler on 12-Ноя-14, 16:14
	>> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не >> прописаны. Как это будет работать? > Что мешает сделать двойной NAT? > А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо > на каждый destination будет производиться arp resolve. Лучше прописать next-hop. Спасибо за совет, а можно подробнее описать как сделать двойной нат и прописать next-hop?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "CISCO 2911 настройка NAT и маршрутизаци"	+/–
	Сообщение от Merridius (ok) on 12-Ноя-14, 19:10
	>>> Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не >>> прописаны. Как это будет работать? >> Что мешает сделать двойной NAT? >> А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо >> на каждый destination будет производиться arp resolve. Лучше прописать next-hop. > Спасибо за совет, а можно подробнее описать как сделать двойной нат и > прописать next-hop? ip route 0.0.0.0 0.0.0.0 x.x.x.x
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору