Francyz
@Francyz
Photographer & SysAdmin

Как скорректировать маршрутизатор Cisco 1921 на разные подсети?

Приветствую, Камрады!

Требуется помощь с маршрутизатором Cisco 1921, а именно проброс его в другие Vlan. Никак не могу сообразить с маршрутом.

В общем изначально была простая сеть, т.е. одна 0-ая подсеть на неуправляемых коммутаторах. Серваки и пользователи были в общей куче. Если нужно было к примеру пробросить 1С на внешку, то я просто прописал на сервере шлюзом циску и на ней просто сделал проброс портов. Так же на ней настроена DMVPN-сеть между офисами для телефонов (экономия на межгороде)

Вот ее конфиг:

dbt_vlg#sh run
Building configuration...

Current configuration : 5404 bytes
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
no service dhcp
!
hostname dbt_vlg
!
boot-start-marker
boot-end-marker
!
!
enable password 7 ************************
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip multicast-routing
!
!
ip domain name donbiotech.local
ip name-server 83.221.202.254
ip name-server 8.8.8.8
ip inspect WAAS flush-timeout 10
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
username francyz privilege 15 secret 5 ***********************
!
redundancy
!
!
ip ssh version 1
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key dbtkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set dmvpn_ts esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile dmvpn_profile
set transform-set dmvpn_ts
!
!
interface Tunnel1
description DMVPN
ip address 10.0.0.1 255.255.255.224
no ip redirects
ip mtu 1400
ip nhrp authentication nhrpkey
ip nhrp map multicast dynamic
ip nhrp network-id 2014
ip ospf authentication message-digest
ip ospf authentication-key 7 151D181C0215202131
ip ospf network broadcast
ip ospf hello-interval 3
ip ospf priority 100
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 2014
tunnel protection ipsec profile dmvpn_profile
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description INTERNET
ip address <внешний адрес> 255.255.255.252
ip access-group LANNET-in in
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
router ospf 10
router-id 1.1.1.1
auto-cost reference-bandwidth 1000
area 0 authentication message-digest
area 192.168.0.0 authentication message-digest
redistribute static subnets
passive-interface default
no passive-interface Tunnel1
network 10.0.0.0 0.0.0.31 area 0
network 192.168.0.0 0.0.0.255 area 192.168.0.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list internet_to_lan interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.0.2 3389 <внешний адрес> 51788 extendable
ip nat inside source static tcp 192.168.0.3 3389 <внешний адрес> extendable
ip route 0.0.0.0 0.0.0.0 <внешний шлюз провайдера>
!
ip access-list extended LANNET-in
permit icmp any any
permit tcp any any established
remark DNS
permit udp any host <внешний адрес> eq domain
permit tcp any host <внешний адрес> eq domain
permit udp any any
remark WEB
permit tcp any host <внешний адрес> eq www
permit tcp any host <внешний адрес> eq 443
remark AVP
permit tcp any host <внешний адрес> eq 13000
permit tcp any host <внешний адрес> eq 14000
permit udp any host <внешний адрес> eq 15000
remark RDP
permit tcp any host <внешний адрес> eq 51788
ip access-list extended internet_to_lan
permit ip 192.168.0.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0
transport input all
line vty 1
exec-timeout 30 0
privilege level 15
transport input ssh
line vty 2 4
transport input all
!
scheduler allocate 20000 1000
end


Но вот пришли L3 и L2 свитчи и нужно теперь это все делать довести до ума. Были созданы отдельные Vlan'ы для активного оборудования, серверов, пользователей и принтеров.
Vlan 100 - коммутаторы и т.д.
192.168.0.0/24
gw 192.168.0.250

Vlan 101 - сервера
192.168.1.0/24
gw 192.168.1.250

Vlan 102 - пользователи
192.168.2.0/24
gw 192.168.2.250

Маршрутизирует трафик между Vlan'ами L3 коммутатор. Вот его конфиг:

Aruba-2930F-48G-01# sh run

Running configuration:

hostname "Aruba-2930F-48G-01"
module 1 type jl260a
time timezone 180
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.1.1
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 11-32,47-48
untagged 1-10,33-46,49-52
no ip address
exit
vlan 99
name "Management"
untagged 47-48
tagged 50-52
ip address 192.168.99.250 255.255.255.0
exit
vlan 100
name "Active"
untagged 1-10
tagged 50-52
ip address 192.168.0.250 255.255.255.0
ip helper-address 192.168.1.2
exit
vlan 101
name "Servers"
untagged 11-20
tagged 50-52
ip address 192.168.1.250 255.255.255.0
exit
vlan 102
name "Users"
tagged 50-52
ip address 192.168.2.250 255.255.255.0
ip helper-address 192.168.1.2
exit
vlan 103
name "Printers"
tagged 50-52
ip address 192.168.3.250 255.255.255.0
ip helper-address 192.168.1.2
exit
management-vlan 99
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
device-profile name "default-ap-profile"
cos 0
exit
activate provision disable
password manager

Есть DHCP сервер с адресом 192.168.1.2, который входит в VLAN 101, с него раздаются адреса для всех подсетей по шаблону:
адрес 192.168.*.0
маска 255.255.255.0
шлюз 192.168.*.250
, где * - 1, 2 или 3 в зависимости от VLAN

И есть Kerio с адресом 192.168.1.1 из VLAN 101 на внутреннем интерфейсе, который раздает интернет. На L3 добавлен статический маршрут ip route 0.0.0.0 0.0.0.0 192.168.1.1, а на самом керио 192.168.0.0 mask 255.255.0.0 gw 192.168.1.250.
И внешний интерфейс с адресом 192.168.0.4 mask 255.255.255.0 шлюз 192.168.0.1 (циска, куда приходит инет).

Так вот, при такой схеме доступ в интернет есть у 101 - 103 Vlan'а, посредствам Керио. Циска с этих Vlan'ов не пингуется, только из своего 100-го. Как мне настроить циску так, чтобы она видела другие Vlan'ы?

Т.е. я к примеру хочу пробросить так же сервер 1С наружу, но т.к. у него адрес уже из 1-ой подсети 192.168.1.3, то сделать как раньше не получится. Сейчас у сервера шлюзом стоит L3 Коммутатор с адресом из своего Vlan'а - 192.168.1.250. Циска 1-ю подсеть не видит, поэтому просто так заменить шлюз на 192.168.0.1 не получится, пока циска не будет видить адреса из других подсетей.

Подскажите с конфигом, где и что подкорректировать.

Вот визуальная схема:
b63337fdbc344f228fdb87928d6c446c.jpg
  • Вопрос задан
  • 405 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы