|
Настройка оборудования cisco
День добрый!
Передали в новой фирме в администрирование сеть. Несколько филиалов, провайдер у всех один, сидят за Cisco 881. Так же от этого провайдера идет линк до шлюза на редхате и за ним сервера в облаке. Разбираюсь в маршрутизации и том как все это устроено, голова кругом. У редхата 3 сетевых интерфейса: 89.*.*.92 - подсеть провайдера 192.168.181.12 - подсеть сервера телефонии 192.168.240.* - подсеть облака Беру в пример маршрутизатор который в одном из филиалов: 1.На внешнем порту два адреса: 89.*.*.* т.е. провайдера и 192.168.181.* т.е. подсеть сервера телефонии, nat outside 2.На внутреннем влан1 192.168.3.* , nat inside, ip nat inside source list 100 pool NEW overload на acl 100 правила: access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255 access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255 access-list 100 permit ip 192.168.3.0 0.0.0.255 any 3.Роутинг: ip route 0.0.0.0 0.0.0.0 89.*.*.225 - железка провайдера ip route 10.0.1.0 255.255.255.0 89.*.*.230 - маршрутизатор другого филиала ip route 192.168.10.0 255.255.255.0 192.168.181.12 ip route 192.168.240.0 255.255.255.0 89.*.*.92 ip route 192.168.240.0 255.255.255.0 192.168.181.12 ACL: access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255 access-list 100 deny ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255 access-list 100 permit ip 192.168.3.0 0.0.0.255 any access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit gre any any access-list 102 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255 access-list 102 permit gre any any access-list 103 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255 access-list 103 permit gre any any access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.240.0 0.0.0.255 access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 104 permit ip 192.168.3.0 0.0.0.255 10.0.1.0 0.0.0.255 access-list 104 permit gre any any 4.VPN Тунели: crypto isakmp key 6 * address 89.*.*.226 crypto isakmp key 6 * address 89.*.*.92 crypto isakmp key 6 * address 89.*.*.230 crypto isakmp key 6 * address 192.168.181.12 crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map NEWVPN 10 ipsec-isakmp set peer 192.168.181.12 set transform-set myset match address 104 crypto map vpn 10 ipsec-isakmp set peer 89.*.*.226 set transform-set myset match address 101 crypto map vpn 20 ipsec-isakmp set peer 89.223.6.92 set transform-set myset match address 102 crypto map vpn 30 ipsec-isakmp set peer 89.*.*.230 set transform-set myset match address 103 При этом sh crypto isakmp sa выдает: IPv4 Crypto ISAKMP SA dst src state conn-id status 192.168.181.16 192.168.181.12 QM_IDLE 2125 ACTIVE 89.104.102.231 89.223.6.92 QM_IDLE 2126 ACTIVE В связи со всем этим у меня возникли вопросы: Как я понимаю, со внешнего интерфейса 192.168.181.* маршрутизатора установлен туннель к интерфейсу редхата 192.168.181.12. Но я не могу понять, как из подсети 192.168.3.0 клиенты попадают в подсеть 192.168.181.12 и на АТС, по скольку нету правила.... И по поводу туннелей, судя по выводу последней команды активных только одно подключение, а зачем тогда остальные созданы и запущены? |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
| Время: 19:03. |
Время: 19:03.
© OSzone.net 2001-