Policy based routing: Пример настройки пересекающихся сетей
Общая
В данной статье рассматривается пример настройки Policy based routing для доступа к идентичным подсетям.
Задача:
На маршрутизатор Cisco 2901 приходит две частные сети, физически расположенные в разных местах, но имеющие одинаковый адрес - 10.0.0.0/8 (Network 1 и Network 2). Необходимо описать карту маршрутизации так, чтобы локальные сети VLNA2 и VLAN3 попадали только в Network 1, а VLAN 4 только в Network 2
Описание сети:
Сеть Network 1 доступна на прямую через GigabitEthernet0/0.6, сеть Network 2 доступна через стыковочную сетку 10.10.0.252/30
2 коммутатора Cisco Catalyst 4948 (sw-01 и sw-02) и 1 маршрутизатор Cisco 2901 (R-01).
Настроены VLAN-сети:
Vlan2: пользовательская сеть с адресом 192.168.2.0/24
Vlan3: пользовательская сеть с адресом 192.168.3.0/24
Vlan4: пользовательская сеть с адресом 192.168.4.0/24
Vlan5: сеть для сетевого оборудования с адресом 192.168.5.0/24
Коммутаторы и маршрутизатор объеденные в одну сеть VLAN5.
Приходящая на коммутатор sw-02 сеть 10.0.0.0/8 заворачивается в VLAN6 и пробрасывается данным VLAN-ом до R-01 на субинтерфейс ge0/0.6
Адреса оборудования и интерфейсов:
SW-01:
192.168.5.254
SW-02:
192.168.5.252
R-01:GigabitEthernet0/0.5: 192.168.5.253/24
GigabitEthernet0/0.6: 10.0.0.254/8
GigabitEthernet0/1: 10.10.0.253/30
Настройка Cisco 2901.
Конфигурация портов:
interface GigabitEthernet0/0.5
description VLAN5-NETWORK
encapsulation dot1Q 129
ip address 192.168.5.253 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map ROUTING
no cdp enable
interface GigabitEthernet0/0.6
description NETWORK_1
encapsulation dot1Q 236
ip address 10.0.0.254 255.0.0.0
ip nat outside
ip virtual-reassembly in
no cdp enable
interface GigabitEthernet0/1
description NETWORK_2
encapsulation dot1Q 3
ip address 10.10.0.253 255.255.255.252
ip nat outside
ip virtual-reassembly in
no cdp enable
Создаем access-list для нужных VLAN-ов
ip access-list extended VLAN2-3
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
ip access-list extended VLAN4
permit ip 192.168.4.0 0.0.0.255 any
Создаем Route-Map
route-map ROUTING permit 10
match ip address VLAN2-3
set ip default next-hop 10.0.0.254
route-map ROUTING permit 15
match ip address VLAN4
set ip default next-hop 10.10.0.254
Прописываем NAT
ip nat inside source list VLAN2-3 interface GigabitEthernet0/0.6 overload
ip nat inside source list VLAN4 interface GigabitEthernet0/1 overload
После чего остается настроить только firewall для определения какому сервису и куда разрешено ходить
- Просмотров: 13952