Поднимаем простую маршрутизацию на Cisco

Настроить любой маршрутизатор Cisco не представляет труда, особенно если нужна простая маршрутизация.
В качестве примера разберу наиболее типичный случай, когда у нас есть маршрутизатор с тремя интерфейсами и нужно построить связку локальная сеть-дмз-интернет:

Итак, в первую очередь объявляем интерфейсы.
Интерфейс локальной сети (возьмем случай, когда у нас например в локалке две подсети класса C, нуждающиеся в пробросе наружу). Дадим интерфейсу IP адреса из обоих подсетей, чтобы к нему могли обращаться компьютеры из обоих подсетей:
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100

Правилом хорошего тона, будет сразу обозначить входящий и исходящий фильтры с помощью именованных access-листов, назовем их lanin и lanout. Изначально разрешим ходить всем пакетам, а так же включим логирование событий. Я пользуюсь extended access-листами, их легко редактировать и оперировать мнемоническими названиями легче чем номерами.
ip access-list extended lanin
permit ip any any log
ip access-list extended lanout
permit ip any any log

В итоге получаем такую конфигурацию интерфейса:
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
ip access-group lanin in
ip access-group lanout out
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100

Обозначим интерфейс демилитаризованной зоны, которую потом нужно выставить в интернет по реальным IP, арендованым у провайдера (допустим это будет пул из 15 адресов 88.222.222.0/28) с соответствующими пустыми access-листами:
ip access-list extended dmzin
permit ip any any log
ip access-list extended dmzout
permit ip any any log

interface FastEthernet0/1
description DMZ
ip address 88.222.222.1 255.255.255.240
ip access-group dmzin in
ip access-group dmzin out
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100

Обозначим интерфейс провайдера, прописав ему выданный нам IP, а так же обозначив access-листы. Еще рекомендуется прописать простейшую проверку входящих пакетов на спуфинг командой ip verify unicast reverse-path:
ip access-list extended inenin
permit ip any any log
ip access-list extended inetout
permit ip any any log

interface FastEthernet2/0
description MYPROVIDER
ip address 88.88.88.2 255.255.255.252
ip access-group inetin in
ip access-group inetout out
ip verify unicast reverse-path
duplex auto
speed auto

Поднимаем NAT для нашей локальной сети.
Для начала обозначим route-map на нашего провайдера, и разрешим ходить по этому route-map через access-лист с именем permitinternet:
Тут возможны варианты. Если в локалке есть вторичный маршрутизатор например на базе ISA или *nix со SQUID то в аксесслисте нужно разрешить ходить в интернет только IP такой машины, а клиентам прописать шлюз не Cisco а другой интерфейс этой машины:
ip access-list extended permitinternet
permit ip host 192.168.1.1 any

Если мы напрямую пускаем клиентов через Cisco, то access-лист можно прописать так:
ip access-list extended permitinternet
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any

route-map myprovider-map permit 20
match ip address permitinternet
match interface FastEthernet2/0
set default interface FastEthernet2/0

Теперь собственно сам NAT в режиме overload:
ip nat log translations syslog
ip nat pool myprovider-space 88.88.88.1 88.88.88.2 netmask 255.255.255.252
ip nat inside source route-map myprovider-map pool myprovider-space overload

Теперь дело за таблицей маршрутизации.
Прописываем маршрут по умолчанию. Тут есть два варианта, объявить бесклассовую маршрутизацию и зациклить все на интерфейс идущий к провайдеру, или прописать явный маршрут на IP маршрутизатора со стороны провайдера:

Первый вариант:
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet2/0

Второй вариант:
ip route 0.0.0.0 0.0.0.0 88.88.88.1

Далее прописываем маршрут для пакетов демлилтаризованной зоны:
ip route 88.222.222.0 255.255.255.240 FastEthernet0/1

Обозначаем направление маршрутизации в конфигурации интерфейсов (внутренние командой ip nat inside, внешние командой ip nat outside) и привяжем внутренние интерфейсы к объявленному route-map. В итоге получаем следующие конфигурации интерфейсов:
interface FastEthernet0/0
description LAN
ip address 192.168.1.1 255.255.255.0
ip address 192.168.2.1 255.255.255.0 secondary
ip access-group lanin in
ip access-group lanout out
ip accounting output-packets
ip nat inside
ip policy route-map myprovider-map
no ip mroute-cache
duplex auto
speed 100

interface FastEthernet0/1
description DMZ
ip address 88.222.222.1 255.255.255.240
ip access-group dmzin in
ip access-group dmzin out
ip accounting output-packets
ip nat inside
ip policy route-map myprovider-map
no ip mroute-cache
duplex auto
speed 100

interface FastEthernet2/0
description MYPROVIDER
ip address 88.88.88.2 255.255.255.252
ip access-group inetin in
ip access-group inetout out
ip verify unicast reverse-path
ip nat outside
duplex auto
speed auto

Собственно всё. Можно прописывать default router у компьютеров в соответствующих сетях соответствующие айпишники интерфейсов нашей Cisco и работать. При этом адреса локальной сети будут подмениваться на внешний Cisco а адреса DMZ будут как есть транслироваться наружу.

Поделиться

Опубликовать в Facebook
Опубликовать в LiveJournal

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>