Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:06



Ответить на тему  [ Сообщений: 23 ] 
Заставить ходить пакеты без маршрутизации 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Есть простейшая схема (см. картинку)

Надо заставить ходить пакеты (пинговать, например)

1. Между хостами 10.1.1.1 и 10.2.2.1 (например, telnet с одного маршрутизатора на другой)
2. Между сетями 10.1.1.0/24 и 10.2.2.0/24 (любые 2 хоста из этих сетей могли бы общаться)

Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях.

ЗЫ Задачка простенькая. Решите - дам посложнее.

Удачи, Сергей


Вложения:
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 97544 ]
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 101250 ]
07 май 2009, 08:30
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Есть простейшая схема (см. картинку)

Условие: на маршрутизаторах нет ни policy-based routing, ни статических маршрутов. Они знают только о своих непосредственно присоединённых сетях.
Удачи, Сергей[/quote]


Ничего под рукой нет, что бы проверить... допустим так... извините, если явная ахинея

R1

int tu 0
ip add 192.168.1.1 255.255.255.252
tu sous fa 0/1
tu dest 10.2.2.1
end

int fa 0/1
ip add 10.1.1.1 255.255.255.0
crypto map R1-R2
end

crypto map R1-R2
set peer 10.1.1.100
match address R1-to-R2
....
end

ip access-list extended R1-to-R2
permit gre host 10.1.1.1 host 10.1.1.100
################


на асе должен будет быть обратный акцесс лист


R2

int tu 0
ip add 192.168.1.2 255.255.255.252
tu sous fa 0/0
tu dest 10.1.1.1
end


что-то в этом роде....


07 май 2009, 22:03
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Int tu 0 не поднимется - циска R1 не знает, где адрес 10.2.2.1

Процесс мышления никогда не может быть ахинеей, не наговаривайте на себя :)


08 май 2009, 08:39
Профиль
Может как вариант повесить "зеркально" секондари адреса на интерфейсы двух роутеров?


08 май 2009, 09:37
R1


int fa 0/1
ip add 10.1.1.1 255.255.255.0
ip add 10.2.2.2 255.255.255.0 sec

R2

int fa 0/1
ip add 10.2.2.1 255.255.255.0
ip add 10.1.1.2 255.255.255.0 sec


08 май 2009, 09:39
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :)

ЗЫ Задача решается вообще без изменения конфига крайних рутеров.


08 май 2009, 10:05
Профиль

Зарегистрирован: 08 май 2009, 09:41
Сообщения: 2
Всем здравствуйте!!!

А можно уточнить кое что: можно ли как-нибудь настраивать ASA, которая стоит посередине?
Или трогать можно только роутеры?

И можно ли использовать default маршрут на роутерах? (хотя впринципе это та же статика...)


08 май 2009, 10:08
Профиль WWW
[quote="Fedia"]А на ASA тогда как быть? С её точки зрения обе сети буду с обеих сторон :) Не пройдёт :)

ЗЫ Задача решается вообще без изменения конфига крайних рутеров.[/quote]
Не понял, как без изменения конфигов крайних роутеров, заставить пакеты ходить через определенный интерфейс, который подключен к аса...

В моем случае пакет с R1 будет уходить в Fa0/1, так как есть secondary адрес, причем source будет (если я не ошибаюсь) primary адрес (либо можно явно ставить source), а аса уже будет знать о 2 сетях, так как для неё это connected... обратно пакет будет идти по тому же алгоритму...


08 май 2009, 10:22

Зарегистрирован: 08 май 2009, 09:41
Сообщения: 2
А вообще нарисованная ASA принципиальна? Или вместо нее с успехом можно поставить обычный маршрутизатор?

Просто если здесь должна стоять именно ASA, то можно ли узнать ее начальные настройки: какой интерфейс inside, какой outside, или какой DMZ; какой security-lavel на них стоит...


08 май 2009, 11:21
Профиль WWW

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Есть простейшая схема (см. картинку)

Надо заставить ходить пакеты (пинговать, например)
[/quote]


увидеть другую киску не проблема, например так

R1
!
interface FastEthernet0/0
ip address 10.2.2.252 255.255.255.0 secondary
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
end

interface Tunnel0
ip address 192.168.1.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 10.2.2.1
end

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
R2

interface FastEthernet0/0
ip address 10.1.1.252 255.255.255.0 secondary
ip address 10.2.2.1 255.255.255.0
duplex auto
speed auto
end

!
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 10.1.1.1
end

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

interface FastEthernet0/0
ip address 10.1.1.100 255.255.255.0
duplex auto
speed auto
end


interface FastEthernet0/1
ip address 10.2.2.100 255.255.255.0
duplex auto
speed auto
end


ip route 10.1.1.252 255.255.255.255 FastEthernet0/1
ip route 10.2.2.252 255.255.255.255 FastEthernet0/0

+++++++++++++++++++++++++++++++++++++++++++++++++++


проверяем с R1

R-1#p 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/93/164 ms



т.е, пингуем R2....


или этого мало? :-)


08 май 2009, 12:35
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="silver"]


или этого мало? :-)[/quote]


ах да..

R-1#telnet 10.2.2.1 /source-interface tu 0
Trying 10.2.2.1 ... Open


User Access Verification

Password:
R-2>

+++++++++++++++++++++++++++++++++++++++++++++++++


R-1#ping 10.2.2.1 source tu 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/95/148 ms
R-1#


08 май 2009, 14:02
Профиль

Зарегистрирован: 08 май 2009, 16:56
Сообщения: 35
Всем привет!
А proxy-arp на ASA не спасет отца русской демократии?


08 май 2009, 16:59
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
proxy-arp не спасёт - сети разные. А proxy-arp моежт соединить 2 куска одной сети


08 май 2009, 19:36
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
2 Silver.

Интересное решение. Мне в голову не приходило. Будем считать, что один способ есть. Правда не понятно, как быть в случае со второй половинкой задачи: с сетями

Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга


08 май 2009, 19:49
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]2 Silver.
Ну и тогда усложню для вас: НЕ МЕНЯЯ конфиги крайних рутеров заставить увидеть крайние рутеры друг друга[/quote]

а если так

нат, на каждый из интерфейсов асы

и явным образом через route-map указываем маршрут на противоположный маршрутизатор, за асой

access-list 1 permit 10.1.1.0 0.0.0.255
access-list 2 permit 10.2.2.0 0.0.0.255

route-map NET1 permit 10
match ip address 1
set ip default next-hop 10.2.2.1

route-map NET2 permit 10
match ip address 2
set ip default next-hop 10.1.1.1

Плюс нат...

int fa 0/1
ip policy route-map NET2
ip nat inside


int fa 0/0
ip policy route-map NET1
ip nat inside

Проверить увы не могу... на домашнем компе при включении ната на Dynamipse - cъезжает крыша :-)


08 май 2009, 23:37
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
2 Silver
А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.


09 май 2009, 09:17
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]2 Silver
А вы себя не запутываете? Зачем route-map? На крайних рутерах его нельзя вонзить по условию, а на центральном он ИМХО не нужен. А на ASA его вовсе нет :) Идея про НАТ - правильная.[/quote]

в топку такие задачи :-)

Сам нат, проблем не вызывает:

ASA#sh run | i nat
ip nat inside
ip nat outside
ip nat inside source static 10.1.1.1 10.2.2.2
ip nat outside source static 10.2.2.1 10.1.1.2


т.е, если я обращаюсь с стороны оутсайда, на 10,2,2,2, то это соотв. 10,1,1,1 ,
и на оборот, если я с инсайда обращаюсь на адрес 10,1,1,2, то это соотв. 10,2,2,1


interface FastEthernet0/0
ip address 10.1.1.100 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
end

interface FastEthernet0/1
ip address 10.2.2.100 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
end

Но, не работает.. хоть ты тресни!
два дня жизни в минус! ;-)
пока не нашел в инете, что внутри ната вначале маршрутизируются inside сторона, и только затем пакет будет идти по правилам ната
для избежания этого нужно прописать роут
ip route 10.1.1.2 255.255.255.255 10.2.2.1


вот так все работает...


R2#p 10.2.2.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/169/300 ms
R2#

R2#telnet 10.2.2.2
Trying 10.2.2.2 ... Open


User Access Verification

Password:
R1>


10 май 2009, 12:13
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Браво, исчерпывающе :) Не жалейте дней - в них опыт :))

ЗЫ На АСА это выглядело бы попроще, для чего её и поставил:

static (inside,outside) 10.1.1.99 10.2.2.1
static (outside,inside) 10.2.2.99 10.1.1.1

Ну и ACL на интерфейс по вкусу.

А для сетей? Можно? Нельзя? Как или почему.


10 май 2009, 21:42
Профиль
Берем ASA5505.
У неё сзади есть встроенный свитч на 8 портов.
R1 подключаем к порту 2
R2 подключаем к порту 3
Настройки Асы - по дефолту:
write erase
reload
после перезагрузки проверить, чтобы интерфейсы e0/2 и e0/3 не были в shutdown


26 июл 2009, 14:28
Приветствую!

Картинка куда то пропала, можно ее увидеть? :)


07 янв 2010, 22:24
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, с картинками беда :(
Не знаю, чья вина, но после некоторого события часть картинок, которые размещали люди и я в т.ч. пропали бесследно :( Вернее были заменены на фейковые файлы :(

Картинка такая:


Вложения:
PingNoRoute.jpg
PingNoRoute.jpg [ 7.91 КБ | Просмотров: 94121 ]
08 янв 2010, 00:14
Профиль
О, спасибо, я думаю что совсем замечательно было бы разместить ее в первом посте с самой задачей, ну скажем так восстановить :)


08 янв 2010, 01:51
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Да, мысль архиправильная. Сделаю завтра, если не забуду (картинка на другом компе) :)


09 янв 2010, 00:15
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 23 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB