Перейти к содержимому
Калькуляторы

NAT


boot system flash:/c181x-advipservicesk9-mz.124-15.T17.bin

ip dhcp pool local
   network 192.168.30.0 255.255.255.0
   default-router 192.168.30.1
   dns-server 172.17.1.30 8.8.8.8
!
ip dhcp pool ats
   network 192.168.90.0 255.255.255.0
   default-router 192.168.90.1
   dns-server 8.8.8.8

vtp mode transparent

!
crypto keyring D-VTI
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxx
!
crypto isakmp policy 113
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
!
crypto ipsec transform-set D-VTY esp-aes esp-sha-hmac
!
crypto ipsec profile D-VTY
 set transform-set D-VTY
!
!
archive
 log config
  hidekeys
!
!
vlan 90,99-100,3120
!
ip ssh maxstartups 2
!
!
!
interface Loopback0
 ip address 10.2.2.30 255.255.255.255
!
interface Tunnel2
 bandwidth 90
 ip unnumbered Loopback0
 ip tcp adjust-mss 1448
 tunnel source FastEthernet0.1433
 tunnel destination xxx
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile D-VTY
!
interface FastEthernet0
 no ip address
 speed 100
 full-duplex
!
interface FastEthernet0.1433
 description WAN-INTERNET
 encapsulation dot1Q 1433
 ip address nnn
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet0.3120
 encapsulation dot1Q 3120
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet2
 switchport access vlan 100
!
interface FastEthernet3
 switchport access vlan 100
!
interface FastEthernet4
 switchport access vlan 100
!
interface FastEthernet5
 switchport access vlan 100
!
interface FastEthernet6
 switchport access vlan 99
!
interface FastEthernet7
 switchport access vlan 100
!
interface FastEthernet8
 switchport access vlan 100
!
interface FastEthernet9
 switchport access vlan 100
!
interface Vlan99
 ip address 192.168.90.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Vlan100
 ip address 192.168.30.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Async1
 no ip address
 encapsulation slip
!
router eigrp 1
 passive-interface default
 no passive-interface Tunnel2
 network 10.2.2.30 0.0.0.0
 network 192.168.30.0
 auto-summary
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 nnn
ip route 10.0.0.0 255.255.255.0 FastEthernet0.3120
!
!
ip http server
no ip http secure-server
ip nat inside source list 3 interface FastEthernet0.1433 overload
ip nat inside source list 100 interface FastEthernet0.3120 overload
!
access-list 1 permit nnn
access-list 3 deny   192.168.90.0 0.0.0.255
access-list 3 permit 192.168.30.0 0.0.0.255
access-list 100 permit ip 192.168.90.0 0.0.0.255 any
!
!

 

Провайдер подаёт мне две услуги по транку. Влан 1433 интернет и влан 3120 воип.
На рутере грубо говоря 10 инт.
Cisco 1811

 

Принимаю на рутер:


int fa0.1433
encapsulation dot1Q 1433
IP address xxx 
IP Nat outside

 

Int fa0.3120
encapsulation dot1Q 3120
no IP address

 

vtp version 2
vtp mode transparent

 

Инет настроил по 1433. Робит.

 

int fa6
switchport access vlan 3120

Порт смотрит в Ван порт АТС, который должен по dhcp словить айпи от провайдера и подсоединить воип транки.
По dhcp он ничего не получает.

 

Но когда я прописываю на 6 интерфейса акссесс, то выдаёт ошибку.

#switchport access vlan 3120 
% Warning: port will be inactive in non-ethernet VLAN

Не знаю то ли из-за нее не ловит, то ли по какой другой причине. На TP-Link все отлично работает. Не знаю уже куда копать и что делать.

После выдачи ошибки:
sh int fa6 switchport 
Name: Fa6 
Switchport: Enabled 
Administrative Mode: static access 
Operational Mode: static access 
Administrative Trunking Encapsulation: dot1q 
Operational Trunking Encapsulation: native 
Negotiation of Trunking: Disabled 
Access Mode VLAN: 3120 ((Inactive)) 
Trunking Native Mode VLAN: 1 (default) 
Trunking VLANs Enabled: ALL 
Trunking VLANs Active: 3120 
Protected: false 
Priority for untagged frames: 0 
Override vlan tag priority: FALSE 
Voice VLAN: none 
Appliance trust: none

А если сделать так, то:
#shut 
#no shut 
#do sh int fa6 switchport 
Name: Fa6 
Switchport: Enabled 
Administrative Mode: static access 
Operational Mode: static access 
Administrative Trunking Encapsulation: dot1q 
Operational Trunking Encapsulation: native 
Negotiation of Trunking: Disabled 
Access Mode VLAN: 3120 (VLAN3120) 
Trunking Native Mode VLAN: 1 (default) 
Trunking VLANs Enabled: ALL 
Trunking VLANs Active: 3120 
Protected: false 
Priority for untagged frames: 0 
Override vlan tag priority: FALSE 
Voice VLAN: none 
Appliance trust: none 
#

 

Access mode vlan в первом случае Disabled, а во втором случае уже нет, но от этого ни холодно ни жарко.

 

После этого я попробовал по другому. Словил по DHCP адрес на влане 3120, поставил АТС в свой влан и попытался сделать трансляцию. Не знаю правильно или нет. Номера телефонов должны регистрироваться по воип-транку на айпи 10.0.0.20, но не регистрируются.

Я получаю от провайдера айпи 10.4.52.9 . Пинг с АТСки на 10.4.52.10 идёт. На 10.0.0.20 не идёт, хотя они вполне могли исмп заблочить.

Собственно вопрос в том правильно ли я настроил или где-то накосячил?

 

sh ip nat translations | include 192.168.90
udp 10.4.52.9:1024        192.168.90.2:5060     10.0.0.20:5060        10.0.0.20:5060
udp 10.4.52.9:35404       192.168.90.2:35404    8.8.8.8:53            8.8.8.8:53
udp 10.4.52.9:52984       192.168.90.2:52984    8.8.8.8:53            8.8.8.8:53
udp 10.4.52.9:53759       192.168.90.2:53759    8.8.8.8:53            8.8.8.8:53
udp 10.4.52.9:55475       192.168.90.2:55475    8.8.8.8:53            8.8.8.8:53
 

sh ip arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  10.0.0.20               0   Incomplete           ARPA
Internet  10.4.52.1              35   001e.f7f7.11c0    ARPA   FastEthernet0.3120
Internet  10.4.52.9               -   0026.cb26.7bb0    ARPA   FastEthernet0.3120
Internet  10.4.52.10             11   000b.82c4.a660  ARPA   FastEthernet0.3120
 

Изменено пользователем Endspiel

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Fa0 и Fa1 - роутинговые порты, 2-9 свитч. Они между собой просто так не связаны.

И конструкция вида:

 

int f0.3120
 encapsulation dot1q 3120
 ...
!
int vlan 3120
 ...
!

желаемого эффекта их объединения не даст, это разные виланы

поэтому, если хочется, нужно городить бридж.

 

 

ЗЫ: ну и чтобы вилан в системе встроенного свича появился, нужно его создать в режиме vlan database

 

Еще проще содать провайдерские виланы, воткнуть его в Fa2-9 в режиме транка. Линк с АТС сунуть аксесом в нужный вилан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, ShyLion сказал:

Fa0 и Fa1 - роутинговые порты, 2-9 свитч. Они между собой просто так не связаны.

И конструкция вида:

 


int f0.3120
 encapsulation dot1q 3120
 ...
!
int vlan 3120
 ...
!

желаемого эффекта их объединения не даст, это разные виланы

поэтому, если хочется, нужно городить бридж.

 

 

ЗЫ: ну и чтобы вилан в системе встроенного свича появился, нужно его создать в режиме vlan database

 

#vlan database

#vlan 3120
            ^
% Invalid input detected at '^' marker.

#vlan ?
  <1-1005>  ISL VLAN index

 

У меня vtp 2 версии. 
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vtp должен быть в transparent режиме, но за вашу конкретную железку не ручаюсь, по моему у вас какая-то древность.

просите провайдера поменять виланы на ниже 1000, вполне могут пойти на встречу, если не конченые м.ки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, ShyLion сказал:

vtp должен быть в transparent режиме, но за вашу конкретную железку не ручаюсь, по моему у вас какая-то древность.

просите провайдера поменять виланы на ниже 1000, вполне могут пойти на встречу, если не конченые м.ки

 

Если не в режиме vlan database создавать, то можно. К сожалению с провайдером все глухо.

#interface vlan ?
  <1-4094>  Vlan interface number

 

А если натить? Я сейчас подумываю натить мою вланку через айпи, который получил от их влана по дхсп, но все равно странно как-то. Соседний со мной айпишник пингуется, а нужный для регистрации воип-транка нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
interface vlan xxx

Это не создание вилана! Это настройка его SVI части. Т.е. это виртуальный интерфейс на внутреннем соединении "роутера" со "свичем".

На самом "свиче" вилан создается отдельно. Так сделано потому что "свич" может получать список виланов по VTP с другого свича.

Покажb уже show ver.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, ShyLion сказал:

interface vlan xxx

Это не создание вилана! Это настройка его SVI части. Т.е. это виртуальный интерфейс на внутреннем соединении "роутера" со "свичем".

На самом "свиче" вилан создается отдельно. Так сделано потому что "свич" может получать список виланов по VTP с другого свича.

Покажb уже show ver.

 

#sh ver
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(15)T17, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Tue 24-Jan-12 12:46 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH13, RELEASE SOFTWARE (fc1)

kz.alke-group.com uptime is 1 day, 21 hours, 5 minutes
System returned to ROM by Reload Command at 00:01:46 UTC Fri Apr 4 2003
System image file is "flash:/c181x-advipservicesk9-mz.124-15.T17.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1811 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of memory.
Processor board ID FHK133972PF, with hardware revision 0000

10 FastEthernet interfaces
1 Serial interface
1 terminal line
63808K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот у нас есть:

 

talakan-hotel-1811#show ver
Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M12a, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Tue 04-Oct-16 02:58 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH9, RELEASE SOFTWARE (fc1)

talakan-hotel-1811 uptime is 5 days, 16 hours, 45 minutes
System returned to ROM by power-on
System restarted at 00:52:11 KYA Sat Aug 4 2018
System image file is "flash:c181x-adventerprisek9-mz.151-4.M12a.bin"
Last reload type: Normal Reload


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1811 (MPC8500) processor (revision 0x400) with 354304K/38912K bytes of memory.
Processor board ID FHK123628KC, with hardware revision 0000

10 FastEthernet interfaces
1 Serial interface
1 terminal line
1 Virtual Private Network (VPN) Module
62720K bytes of ATA CompactFlash (Read/Write)

 

Виланы создаются так:

 

talakan-hotel-1811(config)#vlan 3333

talakan-hotel-1811(config-vlan)#exit
% Failed to create VLANs 3333
Extended VLAN(s) not allowed in current VTP mode.
%Failed to commit extended VLAN(s) changes.

talakan-hotel-1811(config)#vtp mode transparent 
Setting device to VTP TRANSPARENT mode.

talakan-hotel-1811(config)#vlan 3333
talakan-hotel-1811(config-vlan)#name test
talakan-hotel-1811(config-vlan)#^Z
talakan-hotel-1811#

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, ShyLion сказал:

Вот у нас есть:

 


talakan-hotel-1811#show ver
Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M12a, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Tue 04-Oct-16 02:58 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH9, RELEASE SOFTWARE (fc1)

talakan-hotel-1811 uptime is 5 days, 16 hours, 45 minutes
System returned to ROM by power-on
System restarted at 00:52:11 KYA Sat Aug 4 2018
System image file is "flash:c181x-adventerprisek9-mz.151-4.M12a.bin"
Last reload type: Normal Reload


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1811 (MPC8500) processor (revision 0x400) with 354304K/38912K bytes of memory.
Processor board ID FHK123628KC, with hardware revision 0000

10 FastEthernet interfaces
1 Serial interface
1 terminal line
1 Virtual Private Network (VPN) Module
62720K bytes of ATA CompactFlash (Read/Write)

 

Виланы создаются так:

 


talakan-hotel-1811(config)#vlan 3333

talakan-hotel-1811(config-vlan)#exit
% Failed to create VLANs 3333
Extended VLAN(s) not allowed in current VTP mode.
%Failed to commit extended VLAN(s) changes.

talakan-hotel-1811(config)#vtp mode transparent 
Setting device to VTP TRANSPARENT mode.

talakan-hotel-1811(config)#vlan 3333
talakan-hotel-1811(config-vlan)#name test
talakan-hotel-1811(config-vlan)#^Z
talakan-hotel-1811#

 

Так я уже создавал, но сделал еще раз.

 

#vlan 3120

#exit

#!

#int vlan 3120

#bridge-group 1

#!

#int fastEthernet 0.3120

#no ip address
#bridge-group 1
#exit

#!

#int fa6
#switchport access vlan 3120
% Warning: port will be inactive in non-ethernet VLAN

#

 

Так надо?
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуй без бриджа.

Воткни провайдера в порт Fa2

 

vlan 1433
 name Inet
!
vlan 3120
 name VoIP
!
interface Vlan1433
 ip address nnn
 ip nat outside
 ...
!
interface Vlan3120
 ip address dhcp
 ....
!
interface Fa2
 descr Provider uplink
 switchport trunk encap dot1q
 switchport mode trunk
 switchport trunk allowed vlan 1433,3120
!
interface Fa6
 descr ATS
 switchport access vlan 3120
!

 

 

Таким образом твоя АТС попадет в вилан провайдера, плюс у тебя будет роутинговый интерфейс в нем-же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас