Издигаме просто маршрутизиране на Cisco, Ежедневието на администратора
Всеки рутер на Cisco е лесен за настройка, особено ако имате нужда от просто маршрутизиране. Като пример ще анализирам най-типичния случай, когато имаме рутер с три интерфейса и трябва да изградим локална мрежа-dmz-интернет връзка:
Добро правило би било незабавно да посочите входящите и изходящите филтри, като използвате наименувани списъци за достъп, нека ги наречем lanin и lanout. Първоначално нека разрешим преминаването на всички пакети и също така да активираме регистрирането на събития. Използвам разширени листове за достъп, те са лесни за редактиране и е по-лесно да се работи с мнемонични имена, отколкото с числа. ip достъп-списък разширен lanin разреши ip всеки произволен журнал ip достъп-списък разширен lanout разреши ip всеки произволен журнал
В резултат на това получаваме следната конфигурация на интерфейса: интерфейс FastEthernet0/0 описание LAN ip адрес 192.168.1.1 255.255.255.0 ip адрес 192.168.2.1 255.255.255.0 вторичен ip access-group lanin in ip access-group lanout out ip отчитане на изходни пакети без ip mroute-cache дуплекс автоматично скорост 100
интерфейс FastEthernet0/1 описание DMZ ip адрес 88.222.222.1 255.255.255.240 ip access-group dmzin in ip access-group dmzin out ip accounting output-packets no ip mroute-cache duplex auto speed 100
Нека обозначим интерфейса на доставчика, като му присвоим дадения ни IP, както и обозначим списъци за достъп. Също така се препоръчва да регистрирате най-простата проверка на входящите пакети за подправяне с командата ip verify unicast reverse-path: ip access-list extended inenin permit ip any any log ip access-list extended inetout permit ip any any log
интерфейс FastEthernet2/0 описание MYPROVIDER ip адрес 88.88.88.2 255.255.255.252 ip група за достъп inetin в ip access-group inetout out ip verify unicast reverse-path duplex auto speed auto
Ние повишаваме NAT за нашата локална мрежа. Първо, нека посочим маршрутна карта на нашия доставчик и нека разрешим преминаването по тази маршрутна карта през списък за достъп, наречен permitinternet: Тук има опции. Ако има вторичен рутер в локалната зона, например, базиран на ISA или *nix със SQUID, тогава в списъка за достъп трябва да разрешите само IP на такава машина да отиде в интернет, а клиентите трябва да регистрират шлюз не Cisco, а друг интерфейс на тази машина: ip access-list extended permitinternet permit ip host 192.168.1.1 any
Ако директно пуснем клиенти през Cisco, тогава списъкът за достъп може да бъде написан по следния начин:
route-map myprovider-map permit 20 съвпадение на ip адрес permitinternet съвпадение на интерфейс FastEthernet2/0 задаване на интерфейс по подразбиране FastEthernet2/0
Сега самият NAT е в режим на претоварване: ip nat log translations syslog ip nat pool myprovider-space 88.88.88.1 88.88.88.2 netmask 255.255.255.252 ip nat inside source route-map myprovider-map pool myprovider-space overload
Сега зависи от таблицата за маршрутизиране. Задайте маршрута по подразбиране. Тук има две опции, деклариране на безкласово маршрутизиране и завъртане на всичко в интерфейса към доставчика или регистриране на явен маршрут към IP на рутера от доставчика:
Първа опция: ip classless ip route 0.0.0.0 0.0.0.0 FastEthernet2/0
Втора опция: ip route 0.0.0.0 0.0.0.0 88.88.88.1
След това задаваме маршрута за пакетите от демилитаризираната зона: ip route 88.222.222.0 255.255.255.240 FastEthernet0/1
Определете посоката на маршрутав конфигурацията на интерфейса (вътрешен с командата ip nat inside, външен с командата ip nat external) и обвържете вътрешните интерфейси с декларираната карта на маршрута. В резултат на това получаваме следните конфигурации на интерфейса: интерфейс FastEthernet0/0 описание LAN ip адрес 192.168.1.1 255.255.255.0 ip адрес 192.168.2.1 255.255.255.0 вторичен ip access-group lanin in ip access-group lanout out ip accounting output-packets ip nat inside ip policy route-map myprovider-map no ip mroute-cache duplex auto speed 100
интерфейс FastEthernet0/1 описание DMZ ip адрес 88.222.222.1 255.255.255.240 ip access-group dmzin in ip access-group dmzin out ip accounting output-packets ip nat inside ip policy route-map myprovider-map no ip mroute-cache du plex auto скорост 100
интерфейс FastEthernet2/0 описание MYPROVIDER ip адрес 88.88.88.2 255.255.255.252 ip access-group inetin in ip access-group inetout out ip verify unicast reverse-path ip nat outside duplex auto speed auto