Страница 1 из 1
Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 8:43:26
axtuba
Здравствуйте!
Прошу сильно не пинать, так как с темой не очень знаком.
У нас есть циска 2811 в двумя езернет портами (интернет и локалка). Недавно сменили провайдера. Наш новый провайдер дает нам интернет по PPPoE (логин, пароль), соответственно получаем какой-то ip'шник. кроме этого он нам предоставляет еще два "белых" ip. Просто настроить dialer и NAT особого труда не составило, интернет заработал.
Но вот в чем суть вопроса: можно ли настроить один из "белых" ip'шников на циске (чтобы запросы извне приходили непосредственно на циску), и если "да", то как? Можно ли на FE0/1 повесить и dialer и реальный айпишник?
Буду рад любой помощи!
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 9:01:48
lap
А "он нам предоставляет еще два "белых" ip" он посредством чего предоставляет? просто есть вариант что оно все будет прилетать также через пппое (просто прописывается дополнительный атрибут в радиусе). И количество какое-то странное - 2, обычно сеть выдают /30 и далее.
повесить dialer и айпишник на езернет на цыске можно.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 9:22:57
axtuba
lap писал(а):А "он нам предоставляет еще два "белых" ip" он посредством чего предоставляет? просто есть вариант что оно все будет прилетать также через пппое (просто прописывается дополнительный атрибут в радиусе). И количество какое-то странное - 2, обычно сеть выдают /30 и далее.
Ну естественно сеть /30 выдали, просто видимо не так выразился. Со слов провайдера все что будет приходить на "белые" ip (сеть /30), будет на PPPoE роутиться, а мы здесь уже сами дальше расставляем реальные адреса и т.д.
lap писал(а):повесить dialer и айпишник на езернет на цыске можно.
А как, не подскажете? Или где прочитать можно? Просто все что я находил, это либо PPPoE с выдачей реальных адресов, либо "белые" ip ставим уже за циской (например на сервера).
Может я не правильно понимаю как организовать схему подключения?
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 9:24:57
lap
а fe0/1 у вас куда смотрит?
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 9:40:37
axtuba
lap писал(а):а fe0/1 у вас куда смотрит?
FE0/1 на провайдера, FE0/0 в локалку.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 10:12:20
lap
а зачем тогда на него еще и белые адреса вешать? если адреса повесить на лупбэки с маской /32, то можно настроить нат и заодно запользовать все 4 адреса. или вы можете ее куданибудь дальше в локалку сроутить. или на фа0/0 повесить. вариантов море.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 10:47:43
axtuba
lap писал(а):а зачем тогда на него еще и белые адреса вешать?
Ну собственно потому, что получаемый PPPoE адрес является динамическим.
lap писал(а):если адреса повесить на лупбэки с маской /32, то можно настроить нат и заодно запользовать все 4 адреса. или вы можете ее куданибудь дальше в локалку сроутить. или на фа0/0 повесить. вариантов море.
Т.е. на лупбэк белый адрес вешаем, с фа0/0 (локалка) через nat на лупбэк?
Или второй вариант на фа0/0 вешаем белый айпи, а как тогда локалка в другой подсети, роутить? Или как по-другому?
Я конечно понимаю, что вопросы нубские, но тупо на изучение и штудирование всего курса циски времени нету. Буду благодарен, если подскажете конкретный пример, или конкретные статьи.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-17 21:54:36
lap
пример с натом (пример с 877й, поэтому немного другие интерфейсы):
Код: Выделить всё
interface Loopback10
ip address y.y.y.0 255.255.255.255
!
interface Loopback11
ip address y.y.y.1 255.255.255.255
!
interface Vlan21
ip address 172.21.0.1 255.255.255.0
ip nat inside
!
interface BVI1
ip address x.x.x.82 255.255.255.252
ip nat outside
ip virtual-reassembly in
!
ip nat inside source list NAT-10 interface Loopback10 overload
ip nat inside source list NAT-11 interface Loopback11 overload
ip route 0.0.0.0 0.0.0.0 BVI1 x.x.x.81
ip roue 192.168.2.0 255.255.255.0 Vlan21 172.21.0.254
!
!
ip access-list standard NAT-10
permit 172.21.0.0 0.0.0.255
!
ip access-list standard NAT-11
permit 192.168.2.0 0.0.0.255
Впринципе прокатывает вариант с белым адресом на лупбеке сервера и статическим роутом на цыске этого адреса через серый (естественно софт должен уметь слушать и отвечать с нужного места)ю Этот способ также позволяет запользовать все 4 адреса из сети /30.
Если повесить адреса на интерфейс смотрящий в сторону провайдера - я незнаю как это будет работать, при условии что на стороне провайдера оно роутится на самом аксес сервере через пппоешный интерфейс.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-18 7:00:18
axtuba
Спасибо за ответы, буду думать. Но проблемы не кончаются...
Я вот не могу создать влан интерфейс на своей циске:
Код: Выделить всё
axtuba(config)#int vlan 100
^
% Invalid input detected at '^' marker.
axtuba(config)#int ?
Async Async interface
BVI Bridge-Group Virtual Interface
CDMA-Ix CDMA Ix interface
CTunnel CTunnel interface
Dialer Dialer interface
FastEthernet FastEthernet IEEE 802.3
Group-Async Async Group interface
Lex Lex interface
Loopback Loopback interface
MFR Multilink Frame Relay bundle interface
Multilink Multilink-group interface
Null Null interface
Port-channel Ethernet Channel of interfaces
Tunnel Tunnel interface
Vif PGM Multicast Host interface
Virtual-Access Virtual Access interface
Virtual-PPP Virtual PPP interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
range interface range command
Собственно мне один белый адрес точно нужен на циске, так как на ней ВПН поднимается.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-18 7:09:29
lap
яж напейсал что это пример с 877й, там по другому не получится настроить. У тебя вместо влана будет фа0/0, а вместо bvi - dealer интерфейс.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-09-18 11:10:46
axtuba
Спасибо! Буду пробовать.
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-10-03 12:48:59
axtuba
lap писал(а):яж напейсал что это пример с 877й, там по другому не получится настроить. У тебя вместо влана будет фа0/0, а вместо bvi - dealer интерфейс.
Спасибо! Работает!
Но проблема с VPN осталась. IPSEC VPN. Как только не пробовал - либо не поднимается туннель (если криптомап на диалер), либо туннель поднимается, но никакие данные не идут (если криптомап на лупбэк или лупбэк+диалер)...
Подскажите, почему?
P.S. пробовал и crypto-map ... local-address loopback0 overload, но может чего не правильно делаю...
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-10-03 13:04:13
lap
иписек вы статический рисуете или клиентом клиентитесь? начиная с какой-то версии надо через виртуалтемплейт все делать. покрайней мере 124-24.T7 изивпн заработал только с ним.
http://forum.lissyara.su/viewtopic.php?f=48&t=35768
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-10-07 8:03:57
axtuba
IPSEC статический. Раньше работало (когда был белый ip), теперь же у меня через белый ip на loopback, pppoe - dialer и т.д.
Теперь не работает...
Часть конфига:
Код: Выделить всё
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 9
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp key mykey address aa.bb.cc.dd no-xauth
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel toServer
set peer aa.bb.cc.dd
set transform-set myset
match address 102
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2013-10-11 15:56:15
gumeniuc
покажите sho run или debug включайте
Re: Помогите новичку с настройкой Cisco 2811
Добавлено: 2014-01-08 0:32:04
rvv80
Нафига лупбэк для этого юзать? Не судьба прописать статический белый ip на интерфейсе Dialer?
И что значит провайдер "выдает" один адрес через pppoe, а вам нужен другой? Это ведь все зависит от ваших настроек.
Если прописать:
interface Dialer1
ip address negotiated
то будет получать через ppp от провайдера, а если:
interface Dialer1
ip address <ваш белый IP>
то будет закреплен статический и не нужно мудрить с лупбэками. Очень может быть, что и IPSec сразу заработает.