Anticisco http://www.anticisco.ru/forum/ |
|
Заставить ходить пакеты без маршрутизации http://www.anticisco.ru/forum/viewtopic.php?f=3&t=116 |
Страница 1 из 1 |
Автор: | Fedia [ 07 май 2009, 08:30 ] | |||
Заголовок сообщения: | Заставить ходить пакеты без маршрутизации | |||
Есть простейшая схема (см. картинку) Надо заставить ходить пакеты (пинговать, например) 1. Между хостами 10.1.1.1 и 10.2.2.1 (например, telnet с одного маршрутизатора на другой) 2. Между сетями 10.1.1.0/24 и 10.2.2.0/24 (любые 2 хоста из этих сетей могли бы общаться) Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях. ЗЫ Задачка простенькая. Решите - дам посложнее. Удачи, Сергей
|
Автор: | silver [ 07 май 2009, 22:03 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="Fedia"]Есть простейшая схема (см. картинку) Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях. Удачи, Сергей[/quote] Ничего под рукой нет, что бы проверить... допустим так... извините, если явная ахинея R1 int tu 0 ip add 192.168.1.1 255.255.255.252 tu sous fa 0/1 tu dest 10.2.2.1 end int fa 0/1 ip add 10.1.1.1 255.255.255.0 crypto map R1-R2 end crypto map R1-R2 set peer 10.1.1.100 match address R1-to-R2 .... end ip access-list extended R1-to-R2 permit gre host 10.1.1.1 host 10.1.1.100 ################ на асе должен будет быть обратный акцесс лист R2 int tu 0 ip add 192.168.1.2 255.255.255.252 tu sous fa 0/0 tu dest 10.1.1.1 end что-то в этом роде.... |
Автор: | Fedia [ 08 май 2009, 08:39 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Int tu 0 не поднимется - циска R1 не знает, где адрес 10.2.2.1 Процесс мышления никогда не может быть ахинеей, не наговаривайте на себя |
Автор: | Alex [ 08 май 2009, 09:37 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Может как вариант повесить "зеркально" секондари адреса на интерфейсы двух роутеров? |
Автор: | Alex [ 08 май 2009, 09:39 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
R1 int fa 0/1 ip add 10.1.1.1 255.255.255.0 ip add 10.2.2.2 255.255.255.0 sec R2 int fa 0/1 ip add 10.2.2.1 255.255.255.0 ip add 10.1.1.2 255.255.255.0 sec |
Автор: | Fedia [ 08 май 2009, 10:05 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон Не пройдёт ЗЫ Задача решается вообще без изменения конфига крайних рутеров. |
Автор: | Ant0shka [ 08 май 2009, 10:08 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Всем здравствуйте!!! А можно уточнить кое что: можно ли как-нибудь настраивать ASA, которая стоит посередине? Или трогать можно только роутеры? И можно ли использовать default маршрут на роутерах? (хотя впринципе это та же статика...) |
Автор: | Alex [ 08 май 2009, 10:22 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="Fedia"]А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :) ЗЫ Задача решается вообще без изменения конфига крайних рутеров.[/quote] Не понял, как без изменения конфигов крайних роутеров, заставить пакеты ходить через определенный интерфейс, который подключен к аса... В моем случае пакет с R1 будет уходить в Fa0/1, так как есть secondary адрес, причем source будет (если я не ошибаюсь) primary адрес (либо можно явно ставить source), а аса уже будет знать о 2 сетях, так как для неё это connected... обратно пакет будет идти по тому же алгоритму... |
Автор: | Ant0shka [ 08 май 2009, 11:21 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
А вообще нарисованная ASA принципиальна? Или вместо нее с успехом можно поставить обычный маршрутизатор? Просто если здесь должна стоять именно ASA, то можно ли узнать ее начальные настройки: какой интерфейс inside, какой outside, или какой DMZ; какой security-lavel на них стоит... |
Автор: | silver [ 08 май 2009, 12:35 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="Fedia"]Есть простейшая схема (см. картинку) Надо заставить ходить пакеты (пинговать, например) [/quote] увидеть другую киску не проблема, например так R1 ! interface FastEthernet0/0 ip address 10.2.2.252 255.255.255.0 secondary ip address 10.1.1.1 255.255.255.0 duplex auto speed auto end interface Tunnel0 ip address 192.168.1.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 10.2.2.1 end +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ R2 interface FastEthernet0/0 ip address 10.1.1.252 255.255.255.0 secondary ip address 10.2.2.1 255.255.255.0 duplex auto speed auto end ! interface Tunnel0 ip address 192.168.1.2 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 10.1.1.1 end +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ interface FastEthernet0/0 ip address 10.1.1.100 255.255.255.0 duplex auto speed auto end interface FastEthernet0/1 ip address 10.2.2.100 255.255.255.0 duplex auto speed auto end ip route 10.1.1.252 255.255.255.255 FastEthernet0/1 ip route 10.2.2.252 255.255.255.255 FastEthernet0/0 +++++++++++++++++++++++++++++++++++++++++++++++++++ проверяем с R1 R-1#p 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/93/164 ms т.е, пингуем R2.... или этого мало? :-) |
Автор: | silver [ 08 май 2009, 14:02 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="silver"] или этого мало? :-)[/quote] ах да.. R-1#telnet 10.2.2.1 /source-interface tu 0 Trying 10.2.2.1 ... Open User Access Verification Password: R-2> +++++++++++++++++++++++++++++++++++++++++++++++++ R-1#ping 10.2.2.1 source tu 0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/95/148 ms R-1# |
Автор: | lis [ 08 май 2009, 16:59 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Всем привет! А proxy-arp на ASA не спасет отца русской демократии? |
Автор: | Fedia [ 08 май 2009, 19:36 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
proxy-arp не спасёт - сети разные. А proxy-arp моежт соединить 2 куска одной сети |
Автор: | Fedia [ 08 май 2009, 19:49 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
2 Silver. Интересное решение. Мне в голову не приходило. Будем считать, что один способ есть. Правда не понятно, как быть в случае со второй половинкой задачи: с сетями Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга |
Автор: | silver [ 08 май 2009, 23:37 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="Fedia"]2 Silver. Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга[/quote] а если так нат, на каждый из интерфейсов асы и явным образом через route-map указываем маршрут на противоположный маршрутизатор, за асой access-list 1 permit 10.1.1.0 0.0.0.255 access-list 2 permit 10.2.2.0 0.0.0.255 route-map NET1 permit 10 match ip address 1 set ip default next-hop 10.2.2.1 route-map NET2 permit 10 match ip address 2 set ip default next-hop 10.1.1.1 Плюс нат... int fa 0/1 ip policy route-map NET2 ip nat inside int fa 0/0 ip policy route-map NET1 ip nat inside Проверить увы не могу... на домашнем компе при включении ната на Dynamipse - cъезжает крыша :-) |
Автор: | Fedia [ 09 май 2009, 09:17 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
2 Silver А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет Идея про НАТ - правильная. |
Автор: | silver [ 10 май 2009, 12:13 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
[quote="Fedia"]2 Silver А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.[/quote] в топку такие задачи :-) Сам нат, проблем не вызывает: ASA#sh run | i nat ip nat inside ip nat outside ip nat inside source static 10.1.1.1 10.2.2.2 ip nat outside source static 10.2.2.1 10.1.1.2 т.е, если я обращаюсь с стороны оутсайда, на 10,2,2,2, то это соотв. 10,1,1,1 , и на оборот, если я с инсайда обращаюсь на адрес 10,1,1,2, то это соотв. 10,2,2,1 interface FastEthernet0/0 ip address 10.1.1.100 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto end interface FastEthernet0/1 ip address 10.2.2.100 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto end Но, не работает.. хоть ты тресни! два дня жизни в минус! ;-) пока не нашел в инете, что внутри ната вначале маршрутизируются inside сторона, и только затем пакет будет идти по правилам ната для избежания этого нужно прописать роут ip route 10.1.1.2 255.255.255.255 10.2.2.1 вот так все работает... R2#p 10.2.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/169/300 ms R2# R2#telnet 10.2.2.2 Trying 10.2.2.2 ... Open User Access Verification Password: R1> |
Автор: | Fedia [ 10 май 2009, 21:42 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Браво, исчерпывающе Не жалейте дней - в них опыт ) ЗЫ На АСА это выглядело бы попроще, для чего её и поставил: static (inside,outside) 10.1.1.99 10.2.2.1 static (outside,inside) 10.2.2.99 10.1.1.1 Ну и ACL на интерфейс по вкусу. А для сетей? Можно? Нельзя? Как или почему. |
Автор: | CiscoChainik [ 26 июл 2009, 14:28 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Берем ASA5505. У неё сзади есть встроенный свитч на 8 портов. R1 подключаем к порту 2 R2 подключаем к порту 3 Настройки Асы - по дефолту: write erase reload после перезагрузки проверить, чтобы интерфейсы e0/2 и e0/3 не были в shutdown |
Автор: | Airgunster [ 07 янв 2010, 22:24 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Приветствую! Картинка куда то пропала, можно ее увидеть? :) |
Автор: | Fedia [ 08 янв 2010, 00:14 ] | ||
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации | ||
Да, с картинками беда Не знаю, чья вина, но после некоторого события часть картинок, которые размещали люди и я в т.ч. пропали бесследно Вернее были заменены на фейковые файлы Картинка такая:
|
Автор: | Airgunster [ 08 янв 2010, 01:51 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
О, спасибо, я думаю что совсем замечательно было бы разместить ее в первом посте с самой задачей, ну скажем так восстановить :) |
Автор: | Fedia [ 09 янв 2010, 00:15 ] |
Заголовок сообщения: | Re: Заставить ходить пакеты без маршрутизации |
Да, мысль архиправильная. Сделаю завтра, если не забуду (картинка на другом компе) |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |