Помогите настроить Cisco.
Модератор: Модераторы
Сообщений: 6
• Страница 1 из 1
IgorKH » 05 июл 2006, 07:05
Помогите настроить Cisco. Не работает PAT.
Элементарная ситуация: Есть локальная сеть с web-сервером компании и между ею и сетью Интернет находится Cisco 1721.
На Cisco настроены два интерфейса, один внутренний, к которому подключена локальная сеть и интерфейс, к которому подключен Интернет. Из сети Интернет с помощью правил идут перенаправления по соответствующим портам на соответствующие сервера в локальной сети (в том числе и web-сервер).
Со стороны внешнего интерфейса все работает.
Но если из локальной сети идти на web-сервер компании, то получая из DNS внешний IP (это Cisco) пробиться на него не возможно. Ping из локальной сети до внешнего IP есть, а подключиться на какой-либо порт на внешнем интерфейсе из локальной сети невозможно. Не на один из открытых.
Облазил все закоулки сети Интернет (cisco.com в том числе), нет подобных примеров и их решений.
Временно решил проблему через местный DNS, заварачивая запросы которые идут на наш web-сервер из локальной сети, непосредственно на локальный IP web-сервера. Но это не хорошее решение.
Осталась только надежда на помощь данного форума.
Ситуация вроде простая.
Привожу конфигурацию Cisco 1721:
!
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
no logging buffered
enable secret 5 $1$RP45$
!
username user privilege 15 view root secret 5 $1$0goj$
clock timezone Russia 5
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
ip cef
ip domain name bbb.ru
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
ip ips po max-events 100
no ftp-server write-enable
!
!
interface Loopback0
ip address 192.168.0.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0
description $ETH-LAN$Internet
ip address aaa.aaa.aaa.aa8 255.255.255.252
ip access-group fa0-in in
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip policy route-map OUR_MAP
speed auto
!
interface FastEthernet1
description LOCAL_PORT_1
no ip address
no cdp enable
!
interface FastEthernet2
switchport access vlan 2
no ip address
shutdown
no cdp enable
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface FastEthernet4
no ip address
shutdown
no cdp enable
!
interface Vlan1
ip address bbb.bbb.bbb.11 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 aaa.aaa.aaa.aa7
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export version 5
ip flow-export destination bbb.bbb.bbb.8 9999
ip flow-export destination bbb.bbb.bbb.1 9996
!
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source static tcp bbb.bbb.bbb.9 21 aaa.aaa.aaa.aa8 21 extendable
ip nat inside source static tcp bbb.bbb.bbb.9 22 aaa.aaa.aaa.aa8 22 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 25 aaa.aaa.aaa.aa8 25 extendable
ip nat inside source static tcp bbb.bbb.bbb.9 80 aaa.aaa.aaa.aa8 80 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 110 aaa.aaa.aaa.aa8 110 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 3000 aaa.aaa.aaa.aa8 3000 extendable
ip nat inside source static tcp bbb.bbb.bbb.4 4662 aaa.aaa.aaa.aa8 4662 extendable
ip nat inside source static udp bbb.bbb.bbb.4 4672 aaa.aaa.aaa.aa8 4672 extendable
ip nat inside source static tcp bbb.bbb.bbb.2 6881 aaa.aaa.aaa.aa8 6881 extendable
!
!
ip access-list extended fa0-in
deny ip 169.254.0.0 0.0.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 224.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 240.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.128.255.255 any
permit udp any eq ntp host aaa.aaa.aaa.aa8 eq ntp
permit tcp any host aaa.aaa.aaa.aa8 eq smtp
permit tcp any host aaa.aaa.aaa.aa8 eq www
permit tcp any host aaa.aaa.aaa.aa8 eq pop3
deny tcp any any range 1 1024
deny udp any any range 1 1024
permit ip any any
access-list 1 permit bbb.bbb.bbb.0 0.0.0.255
access-list 108 permit ip any bbb.bbb.bbb.0 0.0.0.255
snmp-server community public RO
!
route-map OUR_MAP permit 10
match ip address 108
set interface Loopback0 Vlan1
!
control-plane
!
line con 0
exec-timeout 120 0
line aux 0
line vty 0 4
exec-timeout 0 0
login local
length 0
!
ntp clock-period 17180101
ntp server hhh.hhh.hhh.hhh prefer
ntp server hhh.hhh.hhh.hhh
end
Элементарная ситуация: Есть локальная сеть с web-сервером компании и между ею и сетью Интернет находится Cisco 1721.
На Cisco настроены два интерфейса, один внутренний, к которому подключена локальная сеть и интерфейс, к которому подключен Интернет. Из сети Интернет с помощью правил идут перенаправления по соответствующим портам на соответствующие сервера в локальной сети (в том числе и web-сервер).
Со стороны внешнего интерфейса все работает.
Но если из локальной сети идти на web-сервер компании, то получая из DNS внешний IP (это Cisco) пробиться на него не возможно. Ping из локальной сети до внешнего IP есть, а подключиться на какой-либо порт на внешнем интерфейсе из локальной сети невозможно. Не на один из открытых.
Облазил все закоулки сети Интернет (cisco.com в том числе), нет подобных примеров и их решений.
Временно решил проблему через местный DNS, заварачивая запросы которые идут на наш web-сервер из локальной сети, непосредственно на локальный IP web-сервера. Но это не хорошее решение.
Осталась только надежда на помощь данного форума.
Ситуация вроде простая.
Привожу конфигурацию Cisco 1721:
!
!
version 12.3
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
security passwords min-length 6
no logging buffered
enable secret 5 $1$RP45$
!
username user privilege 15 view root secret 5 $1$0goj$
clock timezone Russia 5
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
!
ip cef
ip domain name bbb.ru
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
ip name-server xxx.xxx.xxx.xxx
ip ips po max-events 100
no ftp-server write-enable
!
!
interface Loopback0
ip address 192.168.0.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0
description $ETH-LAN$Internet
ip address aaa.aaa.aaa.aa8 255.255.255.252
ip access-group fa0-in in
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip policy route-map OUR_MAP
speed auto
!
interface FastEthernet1
description LOCAL_PORT_1
no ip address
no cdp enable
!
interface FastEthernet2
switchport access vlan 2
no ip address
shutdown
no cdp enable
!
interface FastEthernet3
no ip address
shutdown
no cdp enable
!
interface FastEthernet4
no ip address
shutdown
no cdp enable
!
interface Vlan1
ip address bbb.bbb.bbb.11 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
!
ip classless
ip route 0.0.0.0 0.0.0.0 aaa.aaa.aaa.aa7
no ip http server
ip http authentication local
no ip http secure-server
ip flow-export version 5
ip flow-export destination bbb.bbb.bbb.8 9999
ip flow-export destination bbb.bbb.bbb.1 9996
!
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat inside source list 1 interface FastEthernet0 overload
ip nat inside source static tcp bbb.bbb.bbb.9 21 aaa.aaa.aaa.aa8 21 extendable
ip nat inside source static tcp bbb.bbb.bbb.9 22 aaa.aaa.aaa.aa8 22 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 25 aaa.aaa.aaa.aa8 25 extendable
ip nat inside source static tcp bbb.bbb.bbb.9 80 aaa.aaa.aaa.aa8 80 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 110 aaa.aaa.aaa.aa8 110 extendable
ip nat inside source static tcp bbb.bbb.bbb.8 3000 aaa.aaa.aaa.aa8 3000 extendable
ip nat inside source static tcp bbb.bbb.bbb.4 4662 aaa.aaa.aaa.aa8 4662 extendable
ip nat inside source static udp bbb.bbb.bbb.4 4672 aaa.aaa.aaa.aa8 4672 extendable
ip nat inside source static tcp bbb.bbb.bbb.2 6881 aaa.aaa.aaa.aa8 6881 extendable
!
!
ip access-list extended fa0-in
deny ip 169.254.0.0 0.0.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 224.0.0.0 0.255.255.255 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 240.0.0.0 0.255.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 172.16.0.0 0.128.255.255 any
permit udp any eq ntp host aaa.aaa.aaa.aa8 eq ntp
permit tcp any host aaa.aaa.aaa.aa8 eq smtp
permit tcp any host aaa.aaa.aaa.aa8 eq www
permit tcp any host aaa.aaa.aaa.aa8 eq pop3
deny tcp any any range 1 1024
deny udp any any range 1 1024
permit ip any any
access-list 1 permit bbb.bbb.bbb.0 0.0.0.255
access-list 108 permit ip any bbb.bbb.bbb.0 0.0.0.255
snmp-server community public RO
!
route-map OUR_MAP permit 10
match ip address 108
set interface Loopback0 Vlan1
!
control-plane
!
line con 0
exec-timeout 120 0
line aux 0
line vty 0 4
exec-timeout 0 0
login local
length 0
!
ntp clock-period 17180101
ntp server hhh.hhh.hhh.hhh prefer
ntp server hhh.hhh.hhh.hhh
end
- biruk
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 05 июл 2006, 09:39
| Цитата | ||
| Временно решил проблему через местный DNS, заварачивая запросы которые идут на наш web-сервер из локальной сети, непосредственно на локальный IP web-сервера. Но это не хорошее решение.
[/quote] имхо это самое правильное решение, split-dns называется 
если хочется изврата, можно попробовать вынести веб-сервер в другой вилан (например 2) и настроить еще один статик между vlan2 и vlan1. Но не проверял. Trust me - i know what i’m doing © Sledge Hummer
Дам несколько советов.
1. Выкладывая конфиг, не забываем затирать свой пароль(пусть он даже через метод secret - но все же)... 2. NTP вроде есть, даже временная зона есть - а вот на летнее зимнее время кто будет переходить? 3. Замечательный ACL по входу на Eth0 - вначале мы запрещаем всякий бред, а потом разрешаем все что осталось? - как правило разрешают то что нужно, а по дефолту всегда стоит deny. - Если же таким оригинальным способом думали разрешить работу в инете - нет необходимости.(за исключением работы с ftp)
Отдельно вопрос 1. -Конструкция с роут мапом - нафига она? еще и лупбек приплели....
|