Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Assembler 01. 08. 2017, 11:08:17

Název: Cisco 2811 - routing na subinterfacech
Přispěvatel: Assembler 01. 08. 2017, 11:08:17

Ahoj,
mám router Cisco 2811 se dvěma porty.
Jeden port vede do vnitřní sítě, druhý na firewall a ven.

Ve směru dovnitř jsou 3 vlan - user, server a dmz (51,50,40)
ve směru ven jsou 2 vlan - inside a dmz (20,30)

viz níže vytvořím subinterfacy. Routing začne okamžitě fungovat. Jak ale nastavím default routy tak, aby veškerá komunikace z vlan 51 a 50 šla na subinterface INSIDE?

a jak udělám, aby defaultní routa z DMZ šla na DMZ?

prostě jak nastavím routing jen pro konkrétní VLAN, subinterface?

díky
L.



interface FastEthernet0/1.40
 description DMZ
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0
 ip access-group VLAN_40 out
 ip nat inside
!
interface FastEthernet0/1.50
 description ServerLAN
 encapsulation dot1Q 50
 ip address 192.168.50.1 255.255.255.0
 ip nat inside
!
interface FastEthernet0/1.51
 description UserLAN
 encapsulation dot1Q 51
 ip address 192.168.51.1 255.255.255.0
 ip nat inside
!

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: JardaA 01. 08. 2017, 11:51:15

Především Váš popis je málo srozumitelný a výpis neúplný (chybí konfigurace vnějšího rozhraní, NATu, ACL, ...). Podle mne si musíte ujasnit základy směrování; jestli používáte subinterface nebo fyzické interface je úplně jedno (tedy pokud jsou subinterface dobře nastaveny, což, jak říkáte, máte - já ale ze zásady nikdy a nikomu nevěřím :-)). No pak je to jednoduché, nesmíte ovšem zapomenout definovat cesty zpět (na tom firewallu).
Ještě poznámka - pokud byste chtěl, aby se při směrování braly v úvahu i jiné parametry nežli adresa adresáta (třeba adresa odesílatele), musíte použít složitější konstrukce, třeba route-map; to se bere až v CCNP ;-).

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: Roman Priesol 01. 08. 2017, 11:56:14

Smerovacie tabulky sa daju oddelit pomocou VRF. Smerovanie medzi VRF potom musi prebiehat na inom zariadeni, v tvojom pripade na firewalle.

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: Assembler 01. 08. 2017, 13:12:02

jasně, takže pokud chci mít více routovacích tabulek na jednom routeru, musím použít nějaké vrf nebo route-map. Nic jednoduššího předpokládám asi neexistuje. Tak potom je to jasné, proč mi to nešlo, protože umím jenom základy :)
Jdu tedy studovat VRF, protože o tom jsem už alespoň slyšel :). díky za nakopnutí...

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: Roman Šafránek 01. 08. 2017, 15:22:30

A k čemu více routovacích tabulek? Předpokládám, že uživatelé mají mít přístup na servery a na vybrané adresy do DMZ, DMZ nemá mít přístup +/- nikde na uživatele/servery... a každopádně asi všichni mají mít přístup do internetu. Potom prostě na WAN interface ip nat outside, nějaké ACL mezi interfacy a více-méně hotovo.

Nepřipadá mi taky úplně rozumné, aby se mezi VLANami USER a SERVER routovalo na takovém krámu jako je 2811 (100Mbit porty). Tohoto úkolu by se měl spíše chopit L3 switch (vč. ACL), NAT by měl udělat zmiňovaný firewall a 2811 se může hodit do šrotu.

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: Karel 01. 08. 2017, 16:58:43

Citace: Assembler  01. 08. 2017, 13:12:02

jasně, takže pokud chci mít více routovacích tabulek na jednom routeru, musím použít nějaké vrf nebo route-map. Nic jednoduššího předpokládám asi neexistuje. Tak potom je to jasné, proč mi to nešlo, protože umím jenom základy :)
Jdu tedy studovat VRF, protože o tom jsem už alespoň slyšel :). díky za nakopnutí...

Studujte VRF Lite. Plné VRF se používá v sítích s protokolem MPLS.

Název: Re:Cisco 2811 - routing na subinterfacech
Přispěvatel: qwe 02. 08. 2017, 11:12:56

ak mas tu moznost tak c2811 vymenit za switch, popripade do c2811 pridat switch modul
routing urobit na FW aj s pozadovanymi security pravidlami