Route/Bridge - Настройка оборудования cisco

Route/Bridge - Настройка оборудования cisco

r1sh

Пользователь

Сообщения: 124
Благодарности: 5

День добрый!

Передали в новой фирме в администрирование сеть.

Несколько филиалов, провайдер у всех один, сидят за Cisco 881. Так же от этого провайдера идет линк до шлюза на редхате и за ним сервера в облаке.

Разбираюсь в маршрутизации и том как все это устроено, голова кругом.

У редхата 3 сетевых интерфейса:

89.*.*.92 - подсеть провайдера
192.168.181.12 - подсеть сервера телефонии
192.168.240.* - подсеть облака

Беру в пример маршрутизатор который в одном из филиалов:

1.На внешнем порту два адреса: 89.*.*.* т.е. провайдера и 192.168.181.* т.е. подсеть сервера телефонии, nat outside
2.На внутреннем влан1 192.168.3.* , nat inside, ip nat inside source list 100 pool NEW overload на acl 100 правила:

access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any

3.Роутинг:

ip route 0.0.0.0 0.0.0.0 89.*.*.225 - железка провайдера
ip route 10.0.1.0 255.255.255.0 89.*.*.230 - маршрутизатор другого филиала
ip route 192.168.10.0 255.255.255.0 192.168.181.12
ip route 192.168.240.0 255.255.255.0 89.*.*.92
ip route 192.168.240.0 255.255.255.0 192.168.181.12

ACL:
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit gre any any
access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 102 permit gre any any
access-list 103 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 103 permit gre any any
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 104 permit gre any any

4.VPN Тунели:

crypto isakmp key 6 * address 89.*.*.226
crypto isakmp key 6 * address 89.*.*.92
crypto isakmp key 6 * address 89.*.*.230
crypto isakmp key 6 * address 192.168.181.12

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto map NEWVPN 10 ipsec-isakmp
set peer 192.168.181.12
set transform-set myset
match address 104

crypto map vpn 10 ipsec-isakmp
set peer 89.*.*.226
set transform-set myset
match address 101
crypto map vpn 20 ipsec-isakmp
set peer 89.223.6.92
set transform-set myset
match address 102
crypto map vpn 30 ipsec-isakmp
set peer 89.*.*.230
set transform-set myset
match address 103

При этом sh crypto isakmp sa выдает:
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.181.16 192.168.181.12 QM_IDLE 2125 ACTIVE
89.104.102.231 89.223.6.92 QM_IDLE 2126 ACTIVE

В связи со всем этим у меня возникли вопросы:

Как я понимаю, со внешнего интерфейса 192.168.181.* маршрутизатора установлен туннель к интерфейсу редхата 192.168.181.12. Но я не могу понять, как из подсети 192.168.3.0 клиенты попадают в подсеть 192.168.181.12 и на АТС, по скольку нету правила....

И по поводу туннелей, судя по выводу последней команды активных только одно подключение, а зачем тогда остальные созданы и запущены?

Отправлено: 16:02, 16-08-2012

Telepuzik

Ветеран

Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать

Цитата r1sh:

У редхата 3 сетевых интерфейса:
89.*.*.92 - подсеть провайдера
192.168.181.12 - подсеть сервера телефонии
192.168.240.* - подсеть облака »

Вывод ifconfig можно с этого сервера посмотреть?

Цитата r1sh:

Но я не могу понять, как из подсети 192.168.3.0 клиенты попадают в подсеть 192.168.181.12 и на АТС, по скольку нету правила.... »

У Вас точно у АТС адрес из подсети 192.168.181.0 ? Тут есть в настройках туннеля:

Цитата r1sh:

match address 104 »

эта команда заворачивает трафик определенный в 104 в созданный туннель.

Цитата r1sh:

access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255 »

Подсеть 192.168.10.0/24 у Вас случаем не за редхатом находится?

Цитата r1sh:

И по поводу туннелей, судя по выводу последней команды активных только одно подключение »

Почему один то, тут два действующих туннеля.

Цитата r1sh:

а зачем тогда остальные созданы и запущены? »

Может филиалов было больше чем сейчас.

-------
По'DDoS'ил и бросил :-)