Jump to content

Cisco 827 - запутался совсем

Deaddy
 Share

Recommended Posts

Deaddy

Deaddy

Posted
Posted

Пытаюсь избавиться от программного маршрутизатора, купил вот Cisco 827H. Это моя первая Cisco, и я совершенно запутался между acl, route-maps, pools и прочая... Чем больше читаю в нете, тем больше вопросов.

Задача достаточно тривиальная:

IP статика, есть свои адреса.

что нужно пускать снаружи:

192.168.0.100 (212.x.x.140) с mail, http, https, ftp, dns.

192.168.0.250 (212.x.x.133) с dns-сервером

Что нужно пускать наружу:

192.168.0.105 (212.x.x.132) - локальный гейт, ему можно все.

Все остальные - только через гейт.

 

при попытке traceroute снаружи ко мне утыкается в кольцо - сервер isp -> моя cisco -> сервер isp и далее по кругу

 

Может кто поделится конфигом? Желательно попроще, чтоб было с чего начинать?

Deaddy

Deaddy

Posted
  • Author
Posted

version 12.2

no parser cache

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Router

!

no logging buffered

enable secret bla-bla-bla

!

username bla-bla-bla privilege 15 password bla-bla-bla

ip subnet-zero

ip name-server днс прова 1

ip name-server днс прова 2

!

!

!

!

interface Ethernet0

ip address 192.168.0.99 255.255.255.0

ip nat inside

hold-queue 100 out

!

interface ATM0

no ip address

atm vc-per-vp 64

no atm ilmi-keepalive

pvc 0/33

encapsulation aal5mux ppp dialer

dialer pool-member 1

!

dsl operating-mode auto

hold-queue 224 in

!

interface ATM0.1 point-to-point

!

interface Dialer1

ip address 212.х.х.129 255.255.255.224

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname bla-bla-bla

ppp chap password bla-bla-bla

ppp pap sent-username bla-bla-bla password bla-bla-bla

!

----------- до сюда претензий в общем нет - все подключается и изнутри наружу ходит нормально

----------- отсюда и далее начинаются плоды экспериментов вперемешку с дефолтными установками, не пинайте больно плиз

ip nat pool POOL-A 212.x.x.130 212.x.x.158 netmask 255.255.255.224

ip nat inside source list 102 interface Dialer1 overload

ip nat inside source route-map MAP-A pool POOL-A overload

ip nat outside source static 212.х.х.140 192.168.0.100 extendable

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 20

ip route 192.168.0.0 255.255.255.0 Ethernet0 5

ip route 212.x.x.128 255.255.255.224 Ethernet0 3

ip http server

!

!

access-list 23 permit 192.168.0.0 0.0.0.255

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 101 permit udp any any eq domain

access-list 101 permit tcp any any eq domain

access-list 101 permit tcp any host 212.x.x.140 eq 443

access-list 101 permit tcp any host 212.x.x.140 eq www

access-list 101 permit tcp any host 212.x.x.140 eq ftp

access-list 101 permit tcp any host 212.x.x.140 eq pop3

access-list 101 permit tcp any host 212.x.x.140 eq smtp

access-list 101 permit tcp any host 212.x.x.132 range 1239 1241

access-list 101 permit udp any host 212.x.x.132 range 1239 1241

access-list 101 permit icmp any any

access-list 101 deny ip any any log

access-list 102 permit ip 192.168.0.0 0.0.0.255 any

access-list 105 permit ip 212.x.x.128 0.0.0.31 any

dialer-list 1 protocol ip list 101

route-map MAP-A permit 10

match ip address 105 102

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

end

Nailer

Nailer

Posted
Posted
version 12.2

no parser cache

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Router

!

no logging buffered

enable secret bla-bla-bla

!

username bla-bla-bla privilege 15 password bla-bla-bla

ip subnet-zero

ip name-server днс прова 1

ip name-server днс прова 2

!

!

!

!

interface Ethernet0

ip address 192.168.0.99 255.255.255.0

ip nat inside

hold-queue 100 out

!

interface ATM0

no ip address

atm vc-per-vp 64

no atm ilmi-keepalive

pvc 0/33

encapsulation aal5mux ppp dialer

dialer pool-member 1

!

dsl operating-mode auto

hold-queue 224 in

!

interface ATM0.1 point-to-point

!

interface Dialer1

ip address 212.х.х.129 255.255.255.224

ip nat outside

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentication chap pap callin

ppp chap hostname bla-bla-bla

ppp chap password bla-bla-bla

ppp pap sent-username bla-bla-bla password bla-bla-bla

!

----------- до сюда претензий в общем нет - все подключается и изнутри наружу ходит нормально

----------- отсюда и далее начинаются плоды экспериментов вперемешку с дефолтными установками, не пинайте больно плиз

ip nat pool POOL-A 212.x.x.130 212.x.x.158 netmask 255.255.255.224

ip nat inside source list 102 interface Dialer1 overload

ip nat inside source route-map MAP-A pool POOL-A overload

ip nat outside source static 212.х.х.140 192.168.0.100 extendable

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1 20

ip route 192.168.0.0 255.255.255.0 Ethernet0 5

ip route 212.x.x.128 255.255.255.224 Ethernet0 3

ip http server

!

!

access-list 23 permit 192.168.0.0 0.0.0.255

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 101 permit udp any any eq domain

access-list 101 permit tcp any any eq domain

access-list 101 permit tcp any host 212.x.x.140 eq 443

access-list 101 permit tcp any host 212.x.x.140 eq www

access-list 101 permit tcp any host 212.x.x.140 eq ftp

access-list 101 permit tcp any host 212.x.x.140 eq pop3

access-list 101 permit tcp any host 212.x.x.140 eq smtp

access-list 101 permit tcp any host 212.x.x.132 range 1239 1241

access-list 101 permit udp any host 212.x.x.132 range 1239 1241

access-list 101 permit icmp any any

access-list 101 deny ip any any log

access-list 102 permit ip 192.168.0.0 0.0.0.255 any

access-list 105 permit ip 212.x.x.128 0.0.0.31 any

dialer-list 1 protocol ip list 101

route-map MAP-A permit 10

match ip address 105 102

!

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

end

 

Во-первых, не надо писать роуты на connected-сети (то есть те, которые висят непосредственно на интерфейсах).

ip route 192.168.0.0 255.255.255.0 Ethernet0 5

 

 

Во-вторых, вот так

ip route 212.x.x.128 255.255.255.224 Ethernet0 3

писать тоже не надо, на широковещательной среде нужно указывать next-hop. То есть

 

ip route 212.x.x.128 255.255.255.224 192.168.xx.xx 3

 

иначе потом будут проблемы.

 

Сетку 212.x.x.128 255.255.255.224 пров на вас не рутит, а дает для ната? Тогда вообще не надо писать на нее роут, она будет доступна только для ната.

 

Порты вы хотите пробростить снаружи вовнутрь? Тогда не надо писать пулы, надо писать трансляцию порта. Выглядит примерно так:

 

ip nat inside source static tcp 10.0.1.2 21 123.12.23.3 21 extendable

 

Или для ip целиком:

 

ip nat inside source static 10.1.1.1 123.12.23.2 extendable

Deaddy

Deaddy

Posted
  • Author
Posted

Nailer, спасибо, трэйс и пинг внутрь пошел. Осталось с файром разобраться.

ayamb, именно так у меня и есть - провайдер рутит на мою подсеть, в ней 32 "не сомнительных" адреса (ну реально 29 - 128, 159, и у модема фиксированный 129 не используются). Может, и жирно, не знаю...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.