antiCisco blogs » Ilya

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Archive author

Опубликовано 9 Май , 2011

Доброго дня всем!

Давно я собирался сесть и разобраться в сабжевой технологии, поскольку она меня манила как магнит 🙂 . И эта статья — попытка структурировать на бумаге беспорядок, который в голове 🙂

Начну с краткой терминологии и простенького работающего сценария, а потом уже поговорим о дебрях (в отдельных статьях, я думаю).

Поначалу немного адаптированного перевода, дальше пойдем моими словами.

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 7 комментариев »

Опубликовано 30 Ноябрь , 2010

И снова добрый день, коллеги!

Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.

В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.

Читать продолжение записи »

 

Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 29 Ноябрь , 2010

Добрый день, коллеги!

судя по многочисленным вопросам на форуме, от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall’ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
Читать продолжение записи »

 

Опубликовано: Маршрутизаторы и коммутаторы | 4 комментария »

Опубликовано 14 Февраль , 2010

Cisco GET VPN — новая технология от Cisco, призванная обеспечить безопасность туннелей через провайдерские соединения, обладающая рядом полезных особенностей. Ее описанию, особенностям и настройке и посвящена эта статья.

Начнем по традиции с постановки задачи. Классическая топология представляет собой несколько филиалов, соединенных с помощью провайдерской сети.

image

Требуется соединить сети за филиалами между собой. Наиболее распространенное решение — IPSec и в частности — DMVPN. Который кроме всего прочего, является туннельной технологией и позволяет использовать публичные Internet каналы. Недостатком такого решения является то, что сеть строится по принципу hub-n-spoke, а туннели spoke-to-spoke устанавливаются по необходимости, что не совсем удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 13 Февраль , 2010

Наконец я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.

Задача 1.
В частности, рассмотрим топологию:

Постановка задачи.

Требуется транслировать на R0:

  • 1. адреса за R2 (10.0.2.0/24) – в интерфейс fa 0/0, при обращении к R1
  • 2. адреса за R3 (10.0.3.0/24) – в интерфейс fa 0/1, при обращении к R2

Поскольку адрес интерфейса один, то естественно используется PAT.
Решение № 1.
Сами по себе трансляции пишутся для каждого случая довольно просто.
Router(config)# access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Router(config)# ip nat inside source list 101 interface fa 0/0 overload

Router(config)# access-list 102 permit ip 10.0.3.0 0.0.0.255 10.0.2.0 0.0.0.255
Router(config)# ip nat inside source list 102 interface fa 0/1 overload

Теперь нам, требуется указать для каждого интерфейса, участвующего в трансляции, является он внутренним (inside) или внешним (outside) для трансляции. Вроде все просто но вот незадача: интерфейс fa 0/1 нужно будет сделать одновременно inside и outside. Что невозможно, поскольку каждый интерфейс может быть либо inside, либо outside.
Решить такую задачу с помощью классического NAT можно только с серьезными ухищрениями.
Первый способ решения состоит в применении технологии PBR (policy based routing). Идея состоит в следующем:
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »