r1sh
16-08-2012, 16:02
День добрый!
Передали в новой фирме в администрирование сеть.
Несколько филиалов, провайдер у всех один, сидят за Cisco 881. Так же от этого провайдера идет линк до шлюза на редхате и за ним сервера в облаке.
Разбираюсь в маршрутизации и том как все это устроено, голова кругом.
У редхата 3 сетевых интерфейса:
89.*.*.92 - подсеть провайдера
192.168.181.12 - подсеть сервера телефонии
192.168.240.* - подсеть облака
Беру в пример маршрутизатор который в одном из филиалов:
1.На внешнем порту два адреса: 89.*.*.* т.е. провайдера и 192.168.181.* т.е. подсеть сервера телефонии, nat outside
2.На внутреннем влан1 192.168.3.* , nat inside, ip nat inside source list 100 pool NEW overload на acl 100 правила:
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
3.Роутинг:
ip route 0.0.0.0 0.0.0.0 89.*.*.225 - железка провайдера
ip route 10.0.1.0 255.255.255.0 89.*.*.230 - маршрутизатор другого филиала
ip route 192.168.10.0 255.255.255.0 192.168.181.12
ip route 192.168.240.0 255.255.255.0 89.*.*.92
ip route 192.168.240.0 255.255.255.0 192.168.181.12
ACL:
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit gre any any
access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 102 permit gre any any
access-list 103 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 103 permit gre any any
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 104 permit gre any any
4.VPN Тунели:
crypto isakmp key 6 * address 89.*.*.226
crypto isakmp key 6 * address 89.*.*.92
crypto isakmp key 6 * address 89.*.*.230
crypto isakmp key 6 * address 192.168.181.12
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map NEWVPN 10 ipsec-isakmp
set peer 192.168.181.12
set transform-set myset
match address 104
crypto map vpn 10 ipsec-isakmp
set peer 89.*.*.226
set transform-set myset
match address 101
crypto map vpn 20 ipsec-isakmp
set peer 89.223.6.92
set transform-set myset
match address 102
crypto map vpn 30 ipsec-isakmp
set peer 89.*.*.230
set transform-set myset
match address 103
При этом sh crypto isakmp sa выдает:
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.181.16 192.168.181.12 QM_IDLE 2125 ACTIVE
89.104.102.231 89.223.6.92 QM_IDLE 2126 ACTIVE
В связи со всем этим у меня возникли вопросы:
Как я понимаю, со внешнего интерфейса 192.168.181.* маршрутизатора установлен туннель к интерфейсу редхата 192.168.181.12. Но я не могу понять, как из подсети 192.168.3.0 клиенты попадают в подсеть 192.168.181.12 и на АТС, по скольку нету правила....
И по поводу туннелей, судя по выводу последней команды активных только одно подключение, а зачем тогда остальные созданы и запущены?
Передали в новой фирме в администрирование сеть.
Несколько филиалов, провайдер у всех один, сидят за Cisco 881. Так же от этого провайдера идет линк до шлюза на редхате и за ним сервера в облаке.
Разбираюсь в маршрутизации и том как все это устроено, голова кругом.
У редхата 3 сетевых интерфейса:
89.*.*.92 - подсеть провайдера
192.168.181.12 - подсеть сервера телефонии
192.168.240.* - подсеть облака
Беру в пример маршрутизатор который в одном из филиалов:
1.На внешнем порту два адреса: 89.*.*.* т.е. провайдера и 192.168.181.* т.е. подсеть сервера телефонии, nat outside
2.На внутреннем влан1 192.168.3.* , nat inside, ip nat inside source list 100 pool NEW overload на acl 100 правила:
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
3.Роутинг:
ip route 0.0.0.0 0.0.0.0 89.*.*.225 - железка провайдера
ip route 10.0.1.0 255.255.255.0 89.*.*.230 - маршрутизатор другого филиала
ip route 192.168.10.0 255.255.255.0 192.168.181.12
ip route 192.168.240.0 255.255.255.0 89.*.*.92
ip route 192.168.240.0 255.255.255.0 192.168.181.12
ACL:
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 any
access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit gre any any
access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 102 permit gre any any
access-list 103 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 103 permit gre any any
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255
access-list 104 permit gre any any
4.VPN Тунели:
crypto isakmp key 6 * address 89.*.*.226
crypto isakmp key 6 * address 89.*.*.92
crypto isakmp key 6 * address 89.*.*.230
crypto isakmp key 6 * address 192.168.181.12
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto map NEWVPN 10 ipsec-isakmp
set peer 192.168.181.12
set transform-set myset
match address 104
crypto map vpn 10 ipsec-isakmp
set peer 89.*.*.226
set transform-set myset
match address 101
crypto map vpn 20 ipsec-isakmp
set peer 89.223.6.92
set transform-set myset
match address 102
crypto map vpn 30 ipsec-isakmp
set peer 89.*.*.230
set transform-set myset
match address 103
При этом sh crypto isakmp sa выдает:
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.181.16 192.168.181.12 QM_IDLE 2125 ACTIVE
89.104.102.231 89.223.6.92 QM_IDLE 2126 ACTIVE
В связи со всем этим у меня возникли вопросы:
Как я понимаю, со внешнего интерфейса 192.168.181.* маршрутизатора установлен туннель к интерфейсу редхата 192.168.181.12. Но я не могу понять, как из подсети 192.168.3.0 клиенты попадают в подсеть 192.168.181.12 и на АТС, по скольку нету правила....
И по поводу туннелей, судя по выводу последней команды активных только одно подключение, а зачем тогда остальные созданы и запущены?