14
Cisco Router 2 Gateways für verschiedene Clients
Hallo Cisco-Spezialisten,
ich habe ein Problem bei einem Kunden. Dort sind zwei verschiedene Internezugänge vorhanden.
1. T-DSL-Business 16000
2. T-Interconnect
Ich habe die folgende Interfaces auf dem Router 1811:
VLAN1: 192.168.10.x/24 (Lokales Netzwerk)
FastEthernet1: 192.168.12.x (Netzwerk zum Router für T-DSL-Business)
FastEthernet2: 192.168.13.x (Netzwerk zum Router von T-Interconnect; in der realen Konfig ist dies natürlich keine lokale IP)
Die lokalen PC und Server nutzen zurzeit die folgende Konfiguration und haben über T-DSL-Business eine Verbindung zum Internet:
IP-Adresse: 192.168.10.x
Gateway: 192.168.10.250 (Der Cisco 1811)
Über den T-Interconnect werden Mails versendet und empfangen. Der Mailserver und der Server für Virenprüfung hängt zurzeit an einem anderen Router
Die Server die über T-Interconnect Mails senden und Empfangen haben zur zeit die folgenden Konfiguration:
IP-Adresse: 192.168.10.x
Gateway: 192.168.10.240 (alter Router der abgelöst werden soll)
Ich hoffe, dass dieses bis dahin soweit verständlich ist.
Mein Ziel ist es die beiden Server für Mail ebenfalls über den Cisco 1811 an das Internet zu binden. Für diese Server sollte die Route im Cisco jedoch über das Interface Fastethernet2 laufen z.B.:
IP Route 0.0.0.0 0.0.0.0 192.168.12.250 (Default-Route für allgemeine PC über Interface FastEthernet1)
IP Route 0.0.0.0 0.0.0.0 192.168.13.250 (Default-Route für Mail-PC über Interface FastEthernet2)
Kann man so etwas Einrichten oder muss ich mir hier etwas anderes einfallen lassen? Die aktuelle Konfiguration läßt zurzeit nicht zu, dass die Mail-Server in einer DMZ ausgelagert werden, d.h. die Mailserver bleiben im Netzwerk 192.168.10.x.
So nun hoffe ich, dass Ihr mir vielleicht ein paar Gedanken für einen Lösungsansatz geben könnt.
Viele Grüße und Dank im Voraus
Dieter
ich habe ein Problem bei einem Kunden. Dort sind zwei verschiedene Internezugänge vorhanden.
1. T-DSL-Business 16000
2. T-Interconnect
Ich habe die folgende Interfaces auf dem Router 1811:
VLAN1: 192.168.10.x/24 (Lokales Netzwerk)
FastEthernet1: 192.168.12.x (Netzwerk zum Router für T-DSL-Business)
FastEthernet2: 192.168.13.x (Netzwerk zum Router von T-Interconnect; in der realen Konfig ist dies natürlich keine lokale IP)
Die lokalen PC und Server nutzen zurzeit die folgende Konfiguration und haben über T-DSL-Business eine Verbindung zum Internet:
IP-Adresse: 192.168.10.x
Gateway: 192.168.10.250 (Der Cisco 1811)
Über den T-Interconnect werden Mails versendet und empfangen. Der Mailserver und der Server für Virenprüfung hängt zurzeit an einem anderen Router
Die Server die über T-Interconnect Mails senden und Empfangen haben zur zeit die folgenden Konfiguration:
IP-Adresse: 192.168.10.x
Gateway: 192.168.10.240 (alter Router der abgelöst werden soll)
Ich hoffe, dass dieses bis dahin soweit verständlich ist.
Mein Ziel ist es die beiden Server für Mail ebenfalls über den Cisco 1811 an das Internet zu binden. Für diese Server sollte die Route im Cisco jedoch über das Interface Fastethernet2 laufen z.B.:
IP Route 0.0.0.0 0.0.0.0 192.168.12.250 (Default-Route für allgemeine PC über Interface FastEthernet1)
IP Route 0.0.0.0 0.0.0.0 192.168.13.250 (Default-Route für Mail-PC über Interface FastEthernet2)
Kann man so etwas Einrichten oder muss ich mir hier etwas anderes einfallen lassen? Die aktuelle Konfiguration läßt zurzeit nicht zu, dass die Mail-Server in einer DMZ ausgelagert werden, d.h. die Mailserver bleiben im Netzwerk 192.168.10.x.
So nun hoffe ich, dass Ihr mir vielleicht ein paar Gedanken für einen Lösungsansatz geben könnt.
Viele Grüße und Dank im Voraus
Dieter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 103423
Url: https://administrator.de/contentid/103423
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
14 Kommentare
Neuester Kommentar
Ja, natürlich ist deine Konfiguration einfach und problemlos möglich !
Bevor wir hier ins Eingemachte gehen solltest du aber erstmal verifizieren ob dein Netzwerk so aussieht:
Das ist wichtig fürs Verständnis und die richtige Konfig.
Der Schlüssel zur Lösung deiner Anforderung ist ein Policy based Routing auf dem Cisco 1811.
Die default Route auf dem 1811 wird ja vermutlich derzeit auf den T-DSL Business Router zeigen, so das in einer Standard Konfig alles erstmal über diesen Router geht.
Du musst nun den Verkehr der beiden Mailserver ausfiltern und sie an eine andere Gatway IP Adresse senden nämlich an den T-Interconnect Router.
Eben genau das mach PBR !! Und so gehts:
(Beispiel Mailserver haben die 192.168.10.200 und .201 )
Filterliste auf dem Cisco 1811 anlegen:
access-list 110 permit ip host 192.168.10.200 any
access-list 110 permit ip host 192.168.10.201 any
Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Dann PBR Policy auf dem Interface aktivieren:
interface vlan 1
ip address 192.168.10.x 255.255.255.0
ip policy route-map t-inter
Das wars ! Das reroutet den gesamten Verkehr der beiden Server über T-Interconnect und der Rest geht über T-DSL Business.
Solltest du ausnahmslos nur Mail Traffic der Server (und keinen Web, FTP oder anderen Traffic) rerouten kannst du die ACL auch noch entsprechend enger ziehen mit den TCP Ports der Email Applikationen...
Bevor wir hier ins Eingemachte gehen solltest du aber erstmal verifizieren ob dein Netzwerk so aussieht:
Das ist wichtig fürs Verständnis und die richtige Konfig.
Der Schlüssel zur Lösung deiner Anforderung ist ein Policy based Routing auf dem Cisco 1811.
Die default Route auf dem 1811 wird ja vermutlich derzeit auf den T-DSL Business Router zeigen, so das in einer Standard Konfig alles erstmal über diesen Router geht.
Du musst nun den Verkehr der beiden Mailserver ausfiltern und sie an eine andere Gatway IP Adresse senden nämlich an den T-Interconnect Router.
Eben genau das mach PBR !! Und so gehts:
(Beispiel Mailserver haben die 192.168.10.200 und .201 )
Filterliste auf dem Cisco 1811 anlegen:
access-list 110 permit ip host 192.168.10.200 any
access-list 110 permit ip host 192.168.10.201 any
Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:
route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254 (IP Addresse T-Interconnect Router !)
Dann PBR Policy auf dem Interface aktivieren:
interface vlan 1
ip address 192.168.10.x 255.255.255.0
ip policy route-map t-inter
Das wars ! Das reroutet den gesamten Verkehr der beiden Server über T-Interconnect und der Rest geht über T-DSL Business.
Solltest du ausnahmslos nur Mail Traffic der Server (und keinen Web, FTP oder anderen Traffic) rerouten kannst du die ACL auch noch entsprechend enger ziehen mit den TCP Ports der Email Applikationen...
Hallo Aqui,
du hast es genau auf den Punkt gebracht. Ich habe zwar über policy based routing gelesen aber ich konnte mir nicht vorstellen, wie ich es in diesem Fall umsetze. Deine Vorstellung vom Aufbau des Netzwerkes ist absolut korrekt.
Danke für Deine Mühe
Viele Grüße
Dieter
du hast es genau auf den Punkt gebracht. Ich habe zwar über policy based routing gelesen aber ich konnte mir nicht vorstellen, wie ich es in diesem Fall umsetze. Deine Vorstellung vom Aufbau des Netzwerkes ist absolut korrekt.
Danke für Deine Mühe
Viele Grüße
Dieter
Wenns das war und es funktioniert bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Hallo Aqui,
ich habe mal Deinen Lösungsansatz versucht umzusetzen. Es funktioniett jedoch noch nicht. Hier ist meine Config:
Sobald ich die Zeile
ip policy route-map t-inter
rausnehme, kann ich wieder vom PC ins Internet.
Ich habe das NAT in Verdacht gehabt und habe die folgende Zeile eingebaut:
ip nat inside source route-map t-inter interface fastethernet1 overload
Leider ihne Erfolg.
Ich hoffe Du hast noch irgend eine Idee.
Viele Dank und Grüße
Dieter
ich habe mal Deinen Lösungsansatz versucht umzusetzen. Es funktioniett jedoch noch nicht. Hier ist meine Config:
Building configuration...
Current configuration : 11434 bytes
!
! Last configuration change at 13:58:22 UTC Mon Dec 8 2008 by admin
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rt1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 warnings
logging console critical
enable secret 5 xxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
no ip source-route
!
!
ip cef
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name firma.local
ip name-server 217.237.148.102
ip inspect log drop-pkt
ip inspect name SDM_MEDIUM appfw SDM_MEDIUM
ip inspect name SDM_MEDIUM cuseeme
ip inspect name SDM_MEDIUM dns
ip inspect name SDM_MEDIUM ftp
ip inspect name SDM_MEDIUM h323
ip inspect name SDM_MEDIUM https
ip inspect name SDM_MEDIUM icmp
ip inspect name SDM_MEDIUM imap reset
ip inspect name SDM_MEDIUM pop3 reset
ip inspect name SDM_MEDIUM netshowip inspect name SDM_MEDIUM rcmd
ip inspect name SDM_MEDIUM realaudio
ip inspect name SDM_MEDIUM rtsp
ip inspect name SDM_MEDIUM esmtp
ip inspect name SDM_MEDIUM sqlnet
ip inspect name SDM_MEDIUM streamworks
ip inspect name SDM_MEDIUM tftp
ip inspect name SDM_MEDIUM tcp
ip inspect name SDM_MEDIUM udp
ip inspect name SDM_MEDIUM vdolive
ip ips sdf location flash://128MB.sdf autosave
ip ips notify SDEE
ip ips name sdm_ips_rule
!
appfw policy-name SDM_MEDIUM
application im aol
service default action allow alarm
service text-chat action allow alarm
server permit name login.oscar.aol.com
server permit name toc.oscar.aol.com
server permit name oam-d09a.blue.aol.com
audit-trail on
application im msn
service default action allow alarm
service text-chat action allow alarm
server permit name messenger.hotmail.com
server permit name gateway.messenger.hotmail.com
server permit name webmessenger.msn.com
audit-trail on
application http
strict-http action allow
port-misuse im action reset alarm
port-misuse tunneling action allow alarm
application im yahoo
service default action allow alarm
service text-chat action allow alarm
server permit name scs.msg.yahoo.com
server permit name scsa.msg.yahoo.com
server permit name scsb.msg.yahoo.com
server permit name scsc.msg.yahoo.com
server permit name scsd.msg.yahoo.com
server permit name cs16.msg.dcn.yahoo.com
server permit name cs19.msg.dcn.yahoo.com
server permit name cs42.msg.dcn.yahoo.com
server permit name cs53.msg.dcn.yahoo.com
server permit name cs54.msg.dcn.yahoo.com
server permit name ads1.vip.scd.yahoo.com
server permit name radio1.launch.vip.dal.yahoo.com
server permit name in1.msg.vip.re2.yahoo.com
server permit name data1.my.vip.sc5.yahoo.com
server permit name address1.pim.vip.mud.yahoo.com
server permit name edit.messenger.yahoo.com
server permit name messenger.yahoo.com
server permit name http.pager.yahoo.com
server permit name privacy.yahoo.com
server permit name csa.yahoo.com
server permit name csb.yahoo.com
server permit name csc.yahoo.com
audit-trail on
!
interface FastEthernet0
description $ES_WAN$$ETH-WAN$$FW_OUTSIDE$
ip address 192.168.12.10 255.255.255.0
ip access-group 102 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect SDM_MEDIUM out
ip ips sdm_ips_rule in
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.13.10 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.10.250 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
ip policy route-map t-inter
!
ip route 0.0.0.0 0.0.0.0 192.168.12.250
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0 overload
!
logging trap warnings
logging 192.168.10.1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 23 permit 192.168.10.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip 192.168.12.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 permit udp host 217.237.148.102 eq domain host 192.168.12.10
access-list 102 remark Auto generated by SDM for NTP (123) 78.46.194.189
access-list 102 permit udp host 78.46.194.189 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 213.133.111.196
access-list 102 permit udp host 213.133.111.196 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 85.214.29.92
access-list 102 permit udp host 85.214.29.92 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 194.97.156.5
access-list 102 permit udp host 194.97.156.5 eq ntp host 192.168.12.10 eq ntp
access-list 102 deny ip 192.168.101.0 0.0.0.255 any
access-list 102 permit icmp any host 192.168.12.10 echo-reply
access-list 102 permit icmp any host 192.168.12.10 time-exceeded
access-list 102 permit icmp any host 192.168.12.10 unreachable
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip host 0.0.0.0 any
access-list 102 deny ip any any log
access-list 103 permit ip any any
access-list 103 permit icmp any any
access-list 103 permit tcp any any
access-list 103 permit udp any any
access-list 110 permit ip host 192.168.10.200 any log
access-list 110 permit icmp host 192.168.10.200 any log
access-list 110 permit tcp host 192.168.10.200 any log
access-list 110 permit udp host 192.168.10.200 any log
no cdp run
!
route-map t-inter permit 10
match ip address 110
set interface FastEthernet1
set ip next-hop 192.168.13.250Sobald ich die Zeile
ip policy route-map t-inter
rausnehme, kann ich wieder vom PC ins Internet.
Ich habe das NAT in Verdacht gehabt und habe die folgende Zeile eingebaut:
ip nat inside source route-map t-inter interface fastethernet1 overload
Leider ihne Erfolg.
Ich hoffe Du hast noch irgend eine Idee.
Viele Dank und Grüße
Dieter
Hallo Aqui,
ich habe mein Problem mit dem folgenden Code lösen können:
Im Interface FastEthernet1 muss die folgende Anweisung gelöscht werden.
Diese wird bei der Erstellung von der Firewall mittels SDM automatisch eingetragen. So ist es mir ergangen.
Vielen Dank und Grüße
Dieter
ich habe mein Problem mit dem folgenden Code lösen können:
ip route 0.0.0.0 0.0.0.0 192.168.102.254
!
ip nat inside source route-map t-dsl interface FastEthernet0 overload
ip nat inside source route-map t-inter interface FastEthernet1 overload
!
access-list 10 deny 192.168.10.200
access-list 10 deny 192.168.10.201
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.10.200
access-list 20 permit 192.168.10.201
route-map t-dsl permit 10
match ip address 10
set interface FastEthernet0
set ip next-hop 192.168.12.254
!
route-map t-inter permit 10
match ip address 20
set interface FastEthernet1
set ip next-hop 192.168.13.254Im Interface FastEthernet1 muss die folgende Anweisung gelöscht werden.
ip verify unicast reverse-path Diese wird bei der Erstellung von der Firewall mittels SDM automatisch eingetragen. So ist es mir ergangen.
Vielen Dank und Grüße
Dieter
Gut wenns jetzt klappt. Mit debug policy map kannst du auf dem Router verifizieren, das die Packete auch ans richtige Interface bzw. Router gehen.
Du könntest zusätzlich noch eine Sicherung einbauen: Wenn du jeweils den anderen Router in die next Hop Definition konfigurierst würde die Policy Map den DSL Router nehmen falls der Interconnect Router als erste Next Hop Definition einmal ausfällt.
So hast du für deine Mailserver noch ne Redundanz
Du könntest zusätzlich noch eine Sicherung einbauen: Wenn du jeweils den anderen Router in die next Hop Definition konfigurierst würde die Policy Map den DSL Router nehmen falls der Interconnect Router als erste Next Hop Definition einmal ausfällt.
So hast du für deine Mailserver noch ne Redundanz
Hallo Zusammen,
ich habe genau die selbe Anwendung mit einem Cisco 1812 und zwei DSL Routern dahinter. Wollte das Testweise mal nachstellen aber da ich in Sachen Cisco absoluter Anfänger bin, bekomme ich das nicht ans laufen.
Zur momentanen Konfig:
Vlan1: 10.130.10.5/24 Port 2-9
ETH0: 192.168.0.2 --->daran ist DSL Router 1 angeschlossen (IP 192.168.0.1)
ETH1: 192.168.1.2---> daran soll DSL Router 2 angeschlossen werden (ist aber noch nicht)
Die Firewall ist noch inaktiv,und als Standard route habe ich 0.0.0.0 0.0.0.0 192.168.0.1 Distance 1, Permanente Route No eingegeben. Also wenn ich vom Cisco Router einen Ping auf den DSL-Router mache funktioniert das. Wenn ich aber als Source IP für den Ping das Vlan von Port 2-9 angebe habe ich timeouts.
Muss die Firewall denn konfiguriert werden damit ich das Netz hinter dem Cisco erreiche??
Gruss
M.
ich habe genau die selbe Anwendung mit einem Cisco 1812 und zwei DSL Routern dahinter. Wollte das Testweise mal nachstellen aber da ich in Sachen Cisco absoluter Anfänger bin, bekomme ich das nicht ans laufen.
Zur momentanen Konfig:
Vlan1: 10.130.10.5/24 Port 2-9
ETH0: 192.168.0.2 --->daran ist DSL Router 1 angeschlossen (IP 192.168.0.1)
ETH1: 192.168.1.2---> daran soll DSL Router 2 angeschlossen werden (ist aber noch nicht)
Die Firewall ist noch inaktiv,und als Standard route habe ich 0.0.0.0 0.0.0.0 192.168.0.1 Distance 1, Permanente Route No eingegeben. Also wenn ich vom Cisco Router einen Ping auf den DSL-Router mache funktioniert das. Wenn ich aber als Source IP für den Ping das Vlan von Port 2-9 angebe habe ich timeouts.
Muss die Firewall denn konfiguriert werden damit ich das Netz hinter dem Cisco erreiche??
Gruss
M.
Hallo Markus,
wir sieht den Deine gesamte Konfig aus? Welche ACL hast Du programmiert?
Du kannst dieses nur dann zum Laufen bringen, wenn am ETH1 auch eine Router angeschlossen ist, der eine Verbindung zum Internet hat.
Eine Beispielkonfig könnte wie folgt aussehen. Ich gehe davon, das die Hosts 10.130.10.200 und 10.130.10.201 über ETH1 ins Internet sollen. Diese sollte aber im Bereich der Zugriffsberechtigungen (ACL) und Firewall noch bearbeitet werden. Für einen Funktionstest ist es jedoch in Ordnung:
Ich hoffe, dass ich in meiner Beispielkonfig nicht irgend einen Fehler habe. Nach meinem Kentnissstand sollte es aber so funktionieren. Sollten Probleme auftreten, so können wir gerne über Deine Konfig schauen.
Viele grüße
Dieter
wir sieht den Deine gesamte Konfig aus? Welche ACL hast Du programmiert?
Du kannst dieses nur dann zum Laufen bringen, wenn am ETH1 auch eine Router angeschlossen ist, der eine Verbindung zum Internet hat.
Eine Beispielkonfig könnte wie folgt aussehen. Ich gehe davon, das die Hosts 10.130.10.200 und 10.130.10.201 über ETH1 ins Internet sollen. Diese sollte aber im Bereich der Zugriffsberechtigungen (ACL) und Firewall noch bearbeitet werden. Für einen Funktionstest ist es jedoch in Ordnung:
Interface Vlan1
ip address 10.130.10.5 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2
interface Eth0
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in
interface Eth1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
!Diese Funktione wird von SDM gerne bei Firewall-Konfiguration aktiviert.
!Hier wird diese deaktiviert. Sonst geht das Policy Based Routing nicht.
no ip verify unicast reverse-path
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip nat inside source route-map dsl1 interface Eth0 overload
ip nat inside source route-map dsl2 interface Eth1 overload
!access-list 10 verbietet .200 und .201 über dsl1
access-list 10 deny 10.130.10.200
access-list 10 deny 10.130.10.201
access-list 10 permit 10.130.10.0 0.0.0.255
!access-list 20 erlaubt .200 und .201 über dsl2
access-list 20 permit 10.130.10.200
access-list 20 permit 10.130.10.201
!access-list 100 101 102 lassen alles durch und müssen unbedingt geändert werden.
!Sind nur für das Beispiel so aufgebaut
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
!Route für alle PC außer .200 und .201
route-map dsl1 permit 10
match ip address 10
set interface Eth0
set ip next-hop 192.168.0.1
!Route für PC .200 und .201
route-map dsl2 permit 10
match ip address 20
set interface Eth1
set ip next-hop 192.168.1.1Ich hoffe, dass ich in meiner Beispielkonfig nicht irgend einen Fehler habe. Nach meinem Kentnissstand sollte es aber so funktionieren. Sollten Probleme auftreten, so können wir gerne über Deine Konfig schauen.
Viele grüße
Dieter
Hallo Dieter,
erstmal vielen Dank. Der ganze Aufbau dient erstmal zum testen und spielen, deswegen habe ich nur einen DSL Router an ETH0. Sollte aber rein vom Verständins doch funktionieren oder nicht? Werd die Beispielkonfig mal "einbauen"..
Gruss
Markus
erstmal vielen Dank. Der ganze Aufbau dient erstmal zum testen und spielen, deswegen habe ich nur einen DSL Router an ETH0. Sollte aber rein vom Verständins doch funktionieren oder nicht? Werd die Beispielkonfig mal "einbauen"..
Gruss
Markus
Hallo Dieter,
geht irgendwie nicht..
Was ich eigentlich im moment erreichen möchte, ist das aus VLAN1 alle Adressen ins Internet über ETH0 gehen bis auf die zwei (.200 und 201).
Gruss
M.
interface FastEthernet0
description $ETH-WAN$
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 130.130.244.88 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
!
ip http server
no ip http secure-server
ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overload
!
access-list 10 deny 130.130.244.200
access-list 10 deny 130.130.244.201
access-list 10 permit 130.130.244.0 0.0.0.255
access-list 20 permit 130.130.244.200
access-list 20 permit 130.130.244.201
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
!
!
!
route-map dsl2 permit 10
match ip address 10
set interface FastEthernet0
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet1
set ip next-hop 192.168.1.1
geht irgendwie nicht..
Was ich eigentlich im moment erreichen möchte, ist das aus VLAN1 alle Adressen ins Internet über ETH0 gehen bis auf die zwei (.200 und 201).
Gruss
M.
interface FastEthernet0
description $ETH-WAN$
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 130.130.244.88 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
!
ip http server
no ip http secure-server
ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overload
!
access-list 10 deny 130.130.244.200
access-list 10 deny 130.130.244.201
access-list 10 permit 130.130.244.0 0.0.0.255
access-list 20 permit 130.130.244.200
access-list 20 permit 130.130.244.201
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
!
!
!
route-map dsl2 permit 10
match ip address 10
set interface FastEthernet0
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet1
set ip next-hop 192.168.1.1
Hallo Markus,
schau die mal die Anweisungen für das NAT an. Dort sind die Interfaces vertauscht.
Es müsste lauten:
In den Anweisungen route-map sind ebenfalls die Interfaces vertauscht.
Es müsste lauten:
Viele Grüße
Dieter
schau die mal die Anweisungen für das NAT an. Dort sind die Interfaces vertauscht.
Es müsste lauten:
ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overloadIn den Anweisungen route-map sind ebenfalls die Interfaces vertauscht.
Es müsste lauten:
route-map dsl2 permit 10
match ip address 10
set interface FastEthernet1
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet0
set ip next-hop 192.168.1.1Viele Grüße
Dieter
Hallo Dieter,
die habe ich getauscht, weil ich wollte das Vlan 1 auf ETh 0 routet( bis auf die 200 und 201) und eth0
hat ja die IP 192.168.0.2 mit dem angeschlossenen Router 192.168.0.1.
Hab ich jetzt zweimal gedreht und doch alles verkehrt??...
Gruss
Markus
die habe ich getauscht, weil ich wollte das Vlan 1 auf ETh 0 routet( bis auf die 200 und 201) und eth0
hat ja die IP 192.168.0.2 mit dem angeschlossenen Router 192.168.0.1.
Hab ich jetzt zweimal gedreht und doch alles verkehrt??...
Gruss
Markus
hi aqui,
mit welchen prog. hast du den schönen Übersichts-Netzwerkplan erstellt. Würde mich brennend interessieren!
wars an addon von Visio ? (wenn ja, welche Version ist das)
danke
mit welchen prog. hast du den schönen Übersichts-Netzwerkplan erstellt. Würde mich brennend interessieren!
wars an addon von Visio ? (wenn ja, welche Version ist das)
danke
Das ist Visio, dia oder Libre Office Draw mit ein paar Cisco Topology Icons geschmückt
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
