Anticisco
http://www.anticisco.ru/forum/

Заставить ходить пакеты без маршрутизации
http://www.anticisco.ru/forum/viewtopic.php?f=3&t=116
Страница 1 из 1

Автор:  Fedia [ 07 май 2009, 08:30 ]
Заголовок сообщения:  Заставить ходить пакеты без маршрутизации

Есть простейшая схема (см. картинку)

Надо заставить ходить пакеты (пинговать, например)

1. Между хостами 10.1.1.1 и 10.2.2.1 (например, telnet с одного маршрутизатора на другой)
2. Между сетями 10.1.1.0/24 и 10.2.2.0/24 (любые 2 хоста из этих сетей могли бы общаться)

Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях.

ЗЫ Задачка простенькая. Решите - дам посложнее.

Удачи, Сергей

Вложения:
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 30225 ]
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 33931 ]

Автор:  silver [ 07 май 2009, 22:03 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="Fedia"]Есть простейшая схема (см. картинку)

Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях.
Удачи, Сергей[/quote]


Ничего под рукой нет, что бы проверить... допустим так... извините, если явная ахинея

R1

int tu 0
ip add 192.168.1.1 255.255.255.252
tu sous fa 0/1
tu dest 10.2.2.1
end

int fa 0/1
ip add 10.1.1.1 255.255.255.0
crypto map R1-R2
end

crypto map R1-R2
set peer 10.1.1.100
match address R1-to-R2
....
end

ip access-list extended R1-to-R2
permit gre host 10.1.1.1 host 10.1.1.100
################


на асе должен будет быть обратный акцесс лист


R2

int tu 0
ip add 192.168.1.2 255.255.255.252
tu sous fa 0/0
tu dest 10.1.1.1
end


что-то в этом роде....

Автор:  Fedia [ 08 май 2009, 08:39 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Int tu 0 не поднимется - циска R1 не знает, где адрес 10.2.2.1

Процесс мышления никогда не может быть ахинеей, не наговаривайте на себя :)

Автор:  Alex [ 08 май 2009, 09:37 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Может как вариант повесить "зеркально" секондари адреса на интерфейсы двух роутеров?

Автор:  Alex [ 08 май 2009, 09:39 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

R1


int fa 0/1
ip add 10.1.1.1 255.255.255.0
ip add 10.2.2.2 255.255.255.0 sec

R2

int fa 0/1
ip add 10.2.2.1 255.255.255.0
ip add 10.1.1.2 255.255.255.0 sec

Автор:  Fedia [ 08 май 2009, 10:05 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :)

ЗЫ Задача решается вообще без изменения конфига крайних рутеров.

Автор:  Ant0shka [ 08 май 2009, 10:08 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Всем здравствуйте!!!

А можно уточнить кое что: можно ли как-нибудь настраивать ASA, которая стоит посередине?
Или трогать можно только роутеры?

И можно ли использовать default маршрут на роутерах? (хотя впринципе это та же статика...)

Автор:  Alex [ 08 май 2009, 10:22 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="Fedia"]А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :)

ЗЫ Задача решается вообще без изменения конфига крайних рутеров.[/quote]
Не понял, как без изменения конфигов крайних роутеров, заставить пакеты ходить через определенный интерфейс, который подключен к аса...

В моем случае пакет с R1 будет уходить в Fa0/1, так как есть secondary адрес, причем source будет (если я не ошибаюсь) primary адрес (либо можно явно ставить source), а аса уже будет знать о 2 сетях, так как для неё это connected... обратно пакет будет идти по тому же алгоритму...

Автор:  Ant0shka [ 08 май 2009, 11:21 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

А вообще нарисованная ASA принципиальна? Или вместо нее с успехом можно поставить обычный маршрутизатор?

Просто если здесь должна стоять именно ASA, то можно ли узнать ее начальные настройки: какой интерфейс inside, какой outside, или какой DMZ; какой security-lavel на них стоит...

Автор:  silver [ 08 май 2009, 12:35 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="Fedia"]Есть простейшая схема (см. картинку)

Надо заставить ходить пакеты (пинговать, например)
[/quote]


увидеть другую киску не проблема, например так

R1
!
interface FastEthernet0/0
ip address 10.2.2.252 255.255.255.0 secondary
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
end

interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 10.2.2.1
end

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
R2

interface FastEthernet0/0
ip address 10.1.1.252 255.255.255.0 secondary
ip address 10.2.2.1 255.255.255.0
duplex auto
speed auto
end

!
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 10.1.1.1
end

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

interface FastEthernet0/0
ip address 10.1.1.100 255.255.255.0
duplex auto
speed auto
end


interface FastEthernet0/1
ip address 10.2.2.100 255.255.255.0
duplex auto
speed auto
end


ip route 10.1.1.252 255.255.255.255 FastEthernet0/1
ip route 10.2.2.252 255.255.255.255 FastEthernet0/0

+++++++++++++++++++++++++++++++++++++++++++++++++++


проверяем с R1

R-1#p 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/93/164 ms



т.е, пингуем R2....


или этого мало? :-)

Автор:  silver [ 08 май 2009, 14:02 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="silver"]


или этого мало? :-)[/quote]


ах да..

R-1#telnet 10.2.2.1 /source-interface tu 0
Trying 10.2.2.1 ... Open


User Access Verification

Password:
R-2>

+++++++++++++++++++++++++++++++++++++++++++++++++


R-1#ping 10.2.2.1 source tu 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/95/148 ms
R-1#

Автор:  lis [ 08 май 2009, 16:59 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Всем привет!
А proxy-arp на ASA не спасет отца русской демократии?

Автор:  Fedia [ 08 май 2009, 19:36 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

proxy-arp не спасёт - сети разные. А proxy-arp моежт соединить 2 куска одной сети

Автор:  Fedia [ 08 май 2009, 19:49 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

2 Silver.

Интересное решение. Мне в голову не приходило. Будем считать, что один способ есть. Правда не понятно, как быть в случае со второй половинкой задачи: с сетями

Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга

Автор:  silver [ 08 май 2009, 23:37 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="Fedia"]2 Silver.
Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга[/quote]

а если так

нат, на каждый из интерфейсов асы

и явным образом через route-map указываем маршрут на противоположный маршрутизатор, за асой

access-list 1 permit 10.1.1.0 0.0.0.255
access-list 2 permit 10.2.2.0 0.0.0.255

route-map NET1 permit 10
match ip address 1
set ip default next-hop 10.2.2.1

route-map NET2 permit 10
match ip address 2
set ip default next-hop 10.1.1.1

Плюс нат...

int fa 0/1
ip policy route-map NET2
ip nat inside


int fa 0/0
ip policy route-map NET1
ip nat inside

Проверить увы не могу... на домашнем компе при включении ната на Dynamipse - cъезжает крыша :-)

Автор:  Fedia [ 09 май 2009, 09:17 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

2 Silver
А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.

Автор:  silver [ 10 май 2009, 12:13 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

[quote="Fedia"]2 Silver
А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.[/quote]

в топку такие задачи :-)

Сам нат, проблем не вызывает:

ASA#sh run | i nat
ip nat inside
ip nat outside
ip nat inside source static 10.1.1.1 10.2.2.2
ip nat outside source static 10.2.2.1 10.1.1.2


т.е, если я обращаюсь с стороны оутсайда, на 10,2,2,2, то это соотв. 10,1,1,1 ,
и на оборот, если я с инсайда обращаюсь на адрес 10,1,1,2, то это соотв. 10,2,2,1


interface FastEthernet0/0
ip address 10.1.1.100 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
end

interface FastEthernet0/1
ip address 10.2.2.100 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end

Но, не работает.. хоть ты тресни!
два дня жизни в минус! ;-)
пока не нашел в инете, что внутри ната вначале маршрутизируются inside сторона, и только затем пакет будет идти по правилам ната
для избежания этого нужно прописать роут
ip route 10.1.1.2 255.255.255.255 10.2.2.1


вот так все работает...


R2#p 10.2.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/169/300 ms
R2#

R2#telnet 10.2.2.2
Trying 10.2.2.2 ... Open


User Access Verification

Password:
R1>

Автор:  Fedia [ 10 май 2009, 21:42 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Браво, исчерпывающе :) Не жалейте дней - в них опыт :))

ЗЫ На АСА это выглядело бы попроще, для чего её и поставил:

static (inside,outside) 10.1.1.99 10.2.2.1
static (outside,inside) 10.2.2.99 10.1.1.1

Ну и ACL на интерфейс по вкусу.

А для сетей? Можно? Нельзя? Как или почему.

Автор:  CiscoChainik [ 26 июл 2009, 14:28 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Берем ASA5505.
У неё сзади есть встроенный свитч на 8 портов.
R1 подключаем к порту 2
R2 подключаем к порту 3
Настройки Асы - по дефолту:
write erase
reload
после перезагрузки проверить, чтобы интерфейсы e0/2 и e0/3 не были в shutdown

Автор:  Airgunster [ 07 янв 2010, 22:24 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Приветствую!

Картинка куда то пропала, можно ее увидеть? :)

Автор:  Fedia [ 08 янв 2010, 00:14 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Да, с картинками беда :(
Не знаю, чья вина, но после некоторого события часть картинок, которые размещали люди и я в т.ч. пропали бесследно :( Вернее были заменены на фейковые файлы :(

Картинка такая:

Вложения:
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 26802 ]

Автор:  Airgunster [ 08 янв 2010, 01:51 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

О, спасибо, я думаю что совсем замечательно было бы разместить ее в первом посте с самой задачей, ну скажем так восстановить :)

Автор:  Fedia [ 09 янв 2010, 00:15 ]
Заголовок сообщения:  Re: Заставить ходить пакеты без маршрутизации

Да, мысль архиправильная. Сделаю завтра, если не забуду (картинка на другом компе) :)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/