Policy based routing: Пример настройки пересекающихся сетей

Main

Оценка: 96.06% - 15 Голосов

Общая

В данной статье рассматривается пример настройки Policy based routing для доступа к идентичным подсетям.

Задача:

На маршрутизатор Cisco 2901 приходит две частные сети, физически расположенные в разных местах, но имеющие одинаковый адрес - 10.0.0.0/8 (Network 1 и Network 2). Необходимо описать карту маршрутизации так, чтобы локальные сети VLNA2 и VLAN3 попадали только в Network 1, а VLAN 4 только в Network 2

nteworkmap1 

Описание сети:

Сеть Network 1 доступна на прямую через GigabitEthernet0/0.6, сеть Network 2 доступна через стыковочную сетку 10.10.0.252/30

2 коммутатора Cisco Catalyst 4948 (sw-01 и sw-02) и 1 маршрутизатор Cisco 2901 (R-01).

 

Настроены VLAN-сети:

Vlan2: пользовательская сеть с адресом 192.168.2.0/24

Vlan3: пользовательская сеть с адресом 192.168.3.0/24

Vlan4: пользовательская сеть с адресом 192.168.4.0/24

Vlan5: сеть для сетевого оборудования с адресом 192.168.5.0/24

 

Коммутаторы и маршрутизатор объеденные в одну сеть VLAN5.

Приходящая на коммутатор sw-02 сеть 10.0.0.0/8 заворачивается в VLAN6 и пробрасывается данным VLAN-ом до R-01 на субинтерфейс ge0/0.6

 

Адреса оборудования и интерфейсов:

SW-01:

192.168.5.254

SW-02:

192.168.5.252

R-01:
GigabitEthernet0/0.5: 192.168.5.253/24
GigabitEthernet0/0.6: 10.0.0.254/8
GigabitEthernet0/1: 10.10.0.253/30

 

Настройка Cisco 2901.

Конфигурация портов:


interface GigabitEthernet0/0.5
description VLAN5-NETWORK
encapsulation dot1Q 129
ip address 192.168.5.253 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map ROUTING
no cdp enable


interface GigabitEthernet0/0.6
description NETWORK_1
encapsulation dot1Q 236
ip address 10.0.0.254 255.0.0.0
ip nat outside
ip virtual-reassembly in
no cdp enable


interface GigabitEthernet0/1
description NETWORK_2
encapsulation dot1Q 3
ip address 10.10.0.253 255.255.255.252
ip nat outside
ip virtual-reassembly in
no cdp enable

 

Создаем access-list для нужных VLAN-ов


ip access-list extended VLAN2-3
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any

 


ip access-list extended VLAN4
permit ip 192.168.4.0 0.0.0.255 any

 

Создаем Route-Map


route-map ROUTING permit 10
match ip address VLAN2-3
set ip default next-hop 10.0.0.254


route-map ROUTING permit 15
match ip address VLAN4
set ip default next-hop 10.10.0.254

 

Прописываем NAT


ip nat inside source list VLAN2-3 interface GigabitEthernet0/0.6 overload
ip nat inside source list VLAN4 interface GigabitEthernet0/1 overload

 

После чего остается настроить только firewall для определения какому сервису и куда разрешено ходить

 

 

Добавить комментарий


Logo