Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 18:34



Ответить на тему  [ Сообщений: 16 ] 
Cisco 2911 и дополнительная сеть от провайдера 
Автор Сообщение

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Помогите разобраться с secondary ip, запутался совсем

Провайдер предоставляется канал интернета:
88.77.88.10/30

Цитата:
interface GigabitEthernet0/2.1121
description INTERNET (MTC)
encapsulation dot1Q 1121
vrf forwarding ISP2
ip address 88.77.88.10 255.255.255.252
ip nat outside
ip virtual-reassembly in


Появилось желание разнести некоторые ресурсы смотрящие в интернет и доступны из вне на разные белые IP. Для этого у провайдера были запрошены белые IP.
Провайдер выделил дополнительную сеть 212.212.212.120/29

Собственно дальше я не соображу как мне использовать ее. Мне нужно направление или подсказка как делать и как оно правильно в теории.

Первым делом я подумал про secondary ip, т.е. прописал на интерфейсе:

Цитата:
interface GigabitEthernet0/2.1121
description INTERNET (MTC)
encapsulation dot1Q 1121
vrf forwarding ISP2
ip address 212.212.212.121 255.255.255.248 secondary
ip address 88.77.88.10 255.255.255.252
ip nat outside
ip virtual-reassembly in


Мне не понятно, чтобы задействовать остальные выделенные IP в маске 29, нужно их так прописать:

Цитата:
interface GigabitEthernet0/2.1121
description INTERNET (MTC)
encapsulation dot1Q 1121
vrf forwarding ISP2
ip address 212.212.212.121 255.255.255.248 secondary
ip address 212.212.212.122 255.255.255.248 secondary
ip address 212.212.212.123 255.255.255.248 secondary
ip address 212.212.212.124 255.255.255.248 secondary
ip address 212.212.212.125 255.255.255.248 secondary
ip address 212.212.212.126 255.255.255.248 secondary
ip address 88.77.88.10 255.255.255.252
ip nat outside
ip virtual-reassembly in


?

При таком раскладе адреса, пингуется почему то только 212.212.212.121, остальные мертвые.. не могу сообразить почему.

Кто может пояснить что я не так понимаю... спасибо!


22 апр 2019, 16:27
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
it911sm писал(а):
Провайдер предоставляется канал интернета:88.77.88.10/30

Только правильнее будет 88.77.88.8/30
Range: 88.77.88.9 - 88.77.88.10

http://www.subnet-calculator.com/

Провайдер скорее всего роутит дополн. сеть вам на ваш 88.77.88.10.
Вы их можете или роутить дальше внутрь,
или NAT-ить во внутренние адреса (static или dynamic).

Secondary тут совершенно ни к чему.

_________________
Knowledge is Power


22 апр 2019, 16:40
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Silent_D писал(а):
it911sm писал(а):
Провайдер предоставляется канал интернета:88.77.88.10/30

Только правильнее будет 88.77.88.8/30
Range: 88.77.88.9 - 88.77.88.10

http://www.subnet-calculator.com/

Провайдер скорее всего роутит дополн. сеть вам на ваш 88.77.88.10.
Вы их можете или роутить дальше внутрь,
или NAT-ить во внутренние адреса (static или dynamic).

Secondary тут совершенно ни к чему.


Ответил провайдер
добрый день!

Сеть 212.212.212.120/29 прописана как secondary
ipv4 address 212.212.212.121 255.255.255.248 secondary

Это у них я так понял они прописали, поэтому я и пингую 212.212.212.121, а остальные нет..


22 апр 2019, 17:06
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
it911sm писал(а):
Сеть 212.212.212.120/29 прописана как secondary

Ну тогда остается только NAT.
И не отключайте ip proxy-arp на внешнем интерфейсе.

_________________
Knowledge is Power


22 апр 2019, 17:12
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
сказать провайдеру, чтобы он смаршрутизировал вам сеть


22 апр 2019, 17:26
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
crash писал(а):
сказать провайдеру, чтобы он смаршрутизировал вам сеть

Или просто прописал бы ее вместо 88.77.88.8/30.

_________________
Knowledge is Power


22 апр 2019, 17:29
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Silent_D писал(а):
it911sm писал(а):
Сеть 212.212.212.120/29 прописана как secondary

Ну тогда остается только NAT.
И не отключайте ip proxy-arp на внешнем интерфейсе.

можно по подробней что мне натить то !?

запутался я окончательно...


22 апр 2019, 19:10
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
it911sm писал(а):
можно поподробней что мне натить то !?
запутался я окончательно...

Спокойно, без паники! :-)

NAT-ить нужно внутренние адреса, используемые в локальной сети (LAN),
вида 10.x.x.x или 192.168.x.x в глобальные адреса, маршрутизируемые
в Инете, точнее в адреса из подсети, выделенной провайдером.
Этим и занимается ваш рутер, помимо собственно маршрутизации.
Ну и он же FW, ALG, VPN Server, Voice GW, ... ISR G2, короче. :-)

_________________
Knowledge is Power


22 апр 2019, 21:04
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Silent_D писал(а):
it911sm писал(а):
можно поподробней что мне натить то !?
запутался я окончательно...

Спокойно, без паники! :-)

NAT-ить нужно внутренние адреса, используемые в локальной сети (LAN),
вида 10.x.x.x или 192.168.x.x в глобальные адреса, маршрутизируемые
в Инете, точнее в адреса из подсети, выделенной провайдером.
Этим и занимается ваш рутер, помимо собственно маршрутизации.
Ну и он же FW, ALG, VPN Server, Voice GW, ... ISR G2, короче. :-)


Это понятно, что внутренние надо натить, но мне не понятно как натить чтоб к примеру 192,168,1,100 был как 212.212.212.123, а 192,168,1,110 был 212.212.212.122 и чтоб из вне по 212.212.212.122 и 212.212.212.123 соотвественно попадали на 192,168,1,100 и 192,168,1,110.

Все это понятно в случае когда провайдер мне дал 88.77.88.8/30, но вот как с доп. сетью этой быть, никак не могу понять....


22 апр 2019, 21:39
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
it911sm писал(а):
Silent_D писал(а):
it911sm писал(а):
можно поподробней что мне натить то !?
запутался я окончательно...

Спокойно, без паники! :-)

NAT-ить нужно внутренние адреса, используемые в локальной сети (LAN),
вида 10.x.x.x или 192.168.x.x в глобальные адреса, маршрутизируемые
в Инете, точнее в адреса из подсети, выделенной провайдером.
Этим и занимается ваш рутер, помимо собственно маршрутизации.
Ну и он же FW, ALG, VPN Server, Voice GW, ... ISR G2, короче. :-)


Это понятно, что внутренние надо натить, но мне не понятно как натить чтоб к примеру 192,168,1,100 был как 212.212.212.123, а 192,168,1,110 был 212.212.212.122 и чтоб из вне по 212.212.212.122 и 212.212.212.123 соотвественно попадали на 192,168,1,100 и 192,168,1,110.

Все это понятно в случае когда провайдер мне дал 88.77.88.8/30, но вот как с доп. сетью этой быть, никак не могу понять....


Получается примари у меня 88.77.88.8/30, а доп. 212.212.212.120/29. По примари сейчас все ходят в интернет, а вот доп. сеть хочу таргентно по машинам раскидать.. вот это мне и не понятно как это сделать


22 апр 2019, 21:53
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
it911sm писал(а):
Сеть 212.212.212.120/29 прописана как secondary
ipv4 address 212.212.212.121 255.255.255.248 secondary
Это у них я так понял они прописали

Да.
Range: 212.212.212.121 - 212.212.212.126
121 - у них на рутере, 122-126 - наши.

it911sm писал(а):
Все это понятно в случае когда провайдер мне дал 88.77.88.8/30,
но вот как с доп. сетью этой быть, никак не могу понять....

А что вас смущает? Пишем как обычно.

it911sm писал(а):
Это понятно, что внутренние надо натить, но мне не понятно как натить
чтоб к примеру 192,168,1,100 был как 212.212.212.123, а 192,168,1,110 был 212.212.212.122
и чтоб из вне по 212.212.212.122 и 212.212.212.123 соотвественно попадали на 192,168,1,100 и 192,168,1,110.

ip nat inside source static 192.168.1.110 212.212.212.122
ip nat inside source static 192.168.1.100 212.212.212.123

Тут единственный тонкий момент - будет ли proxy arp отрабатывать
для адресов не из диапазона интерфейса?
Если совсем никак, то пропишите у себя один из этих адресов на wan интерфейс:

ip address 212.212.212.122 255.255.255.248 secondary

При этом можно продолжать в этот адрес nat-ить.

Попробуйте. К сожалению, гарантировать ничего не могу,
т.к. у себя никогда такого изврата не использовал.

_________________
Knowledge is Power


23 апр 2019, 00:43
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
Silent_D писал(а):
Тут единственный тонкий момент - будет ли proxy arp отрабатывать
для адресов не из диапазона интерфейса?
все будет работать
Silent_D писал(а):
ip address 212.212.212.122 255.255.255.248 secondary
не надо ничего прописывать секондари, все и так прекрасно заработает.


23 апр 2019, 05:24
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Цитата:
Да.
Range: 212.212.212.121 - 212.212.212.126
121 - у них на рутере, 122-126 - наши.

Так понятно, всего 4 белых IP мне оказалось доступно..
Я правильно понимаю что 212.212.212.121 выступает в роли шлюза ? Т.е. чтобы 192.168.1.110 во вне виделся как 212.212.212.123, нужно заворачивать трафик на 212.212.212.121 ?
Код:
route-map ROUTE-ISP-SECONDARY permit 10
match ip address ISP2-SECONDARY
set ip next-hop 212.212.212.121


Где ISP2-SECONDARY будет указан 192.168.1.110

Я правильно понимаю ?


it911sm писал(а):
Это понятно, что внутренние надо натить, но мне не понятно как натить
чтоб к примеру 192,168,1,100 был как 212.212.212.123, а 192,168,1,110 был 212.212.212.122
и чтоб из вне по 212.212.212.122 и 212.212.212.123 соотвественно попадали на 192,168,1,100 и 192,168,1,110.

ip nat inside source static 192.168.1.110 212.212.212.122
ip nat inside source static 192.168.1.100 212.212.212.123

Попробую сейчас


23 апр 2019, 08:00
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
Если вам провайдер маршрутизирует сеть на ваш маршрутизатор, то не надо ничего никуда заворачивать, а просто настройте NAT. Если он не маршрутизирует вам новую подсеть, то попросите его это сделать и опять же просто настройте после этого NAT.


23 апр 2019, 09:34
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Да, не нужно ничего никуда заворачивать.
У вас же прописан default gateway?

ip route 0.0.0.0 0.0.0.0 88.77.88.9

Этого достаточно.

_________________
Knowledge is Power


23 апр 2019, 10:08
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Спасибо crash, Silent_D за помощь! Все получилось!

Объяснили дураку что к чем :) Теперь я знаю немножечко больше в cisco :)

Тему можно закрывать!


29 апр 2019, 12:12
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 16 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 87


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB