Salve a tutti.
Devo configurare un router Cisco 857 con questi parametri che mi sono stati dati da telecom italia solo che ho dei dubbi che vorrei porvi:
RFC 1483 LLC Routed PVC 8/35
IP WAN: 94.52.114.101
SUBNET MASK: 255.255.255.0
GATEWAY: 94.52.114.254
IP LAN: da 94.52.42.110 a 94.52.42.118
SUBNET MASK LAN: 255.255.255.248
GATEWAY LAN: 94.52.42.111
1. Perchè mi hanno dato dei pubblici anke per la lan che da quello che mi ricordo io ha sempre avuto ip privati configurati da me e poi fatti uscire fuori tramite nat?
2. C'è un esempio di configurazione disponibile che prevede appunto indirizzi pubblici per LAN e WAN da cui potrei attingere qualcosa?
3. Posso in ogni caso costruire una rete lan interna fatta di ip privati (192.168.100.100 / 24) ? Se si, in che modo?
NOTA: Non ci sono firewall in mezzo.
Grazie per la disponibilità!
Aldo
Configurazione Cisco Router con parametri Telecom Italia
Moderatore: Federico.Lagni
-
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Ciao,didigno ha scritto:tester77 ha scritto:
1. Perchè mi hanno dato dei pubblici anke per la lan che da quello che mi ricordo io ha sempre avuto ip privati configurati da me e poi fatti uscire fuori tramite nat?
Scusa ma te cosa hia chiesto a telecom, che contratto?
io ho chiesto semplicemente a Telecom 8 ip pubblici statici. Ma da come ricordavo io, gli ip pubblici li usavo via nat per pubblicare determinati servizi.
Per esempio, sulla WAN io mettevo:
ip address 93.55.145.21 255.255.255.248
Sotto lan invece mi facevo la mia bella classe privata con
ip address 192.168.100.100 255.255.255.0
e poi via nat mi pubblicavo i servizi che volevo.
Ma se ora gli 8 ip pubblici me li hanno dati sulla Lan (dicono che ora li danno tutti così), la mia rete privata (192.168.x.x) su che interfaccia la configuro??
Ciao e grazie
-
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
Ciao,
La risposta alla tua domanda é piuttosto semplice in realtà. In Telecom (ma in generale succede lo stesso con tutti gli operatori) i contratti possono essere di due tipi:
A) Contratto con più IP pubblici (generalmente sono affiancati da un indirizzo geografico
B) Contratto con un IP statico solo
La differenza tra i due sta nel fatto che mentre nel caso B tu hai un solo indirizzo che viene pubblicato dal router di centrale al mondo internet, nel caso A ti viene assegnata una vera e propria subnet che allo stesso modo viene "pubblicata" su internet tramite annunci di routing dinamico.
Nel primo caso gli indirizzi su cui si esegue il NAT di una rete privata (10, 192.168, ecc...) sono appunto gli indirizzi cui Telecom si riferisce come IP LAN, viceversa l'indirizzo IP WAN é solo l'indirizzo definito "punto-punto" che identifica il collegamento geografico tra te (CE) ed il router Internet di centrale (PE).
Nel caso A infatti il PE invia un aggiornamento di routing che informa il mondo che tutta la tua subnet LAN (pubblica) é raggiungibile tramite di lui, mentre non invia negli aggiornamenti di routing le subnet relative ai collegmenti punto-punto. Di conseguenza Internet potrà conoscere il tuo CE (e quindi tutta la tua LAN privata sotto NAT) solo tramite i tuoi indirizzi LAN pubblici.
Per fare NAT, puoi seguire due strade:
1) Impostare uno degli indirizzi LAN assegnati ad una Loopback e poi utilizza quella loopback come interfaccia per eseguire il NAT.
2) Crea un NAT pool che utilizzi uno o più indirizzi LAN assegnati che verrano utilizzati a rotazione per eseguire il NAT della LAN
Ovviamente in entrambi i casi, l'utilizzo dell'opzione overload per il NAT consente di eseguire il PAT come strategia di NAT.
Saluti
La risposta alla tua domanda é piuttosto semplice in realtà. In Telecom (ma in generale succede lo stesso con tutti gli operatori) i contratti possono essere di due tipi:
A) Contratto con più IP pubblici (generalmente sono affiancati da un indirizzo geografico
B) Contratto con un IP statico solo
La differenza tra i due sta nel fatto che mentre nel caso B tu hai un solo indirizzo che viene pubblicato dal router di centrale al mondo internet, nel caso A ti viene assegnata una vera e propria subnet che allo stesso modo viene "pubblicata" su internet tramite annunci di routing dinamico.
Nel primo caso gli indirizzi su cui si esegue il NAT di una rete privata (10, 192.168, ecc...) sono appunto gli indirizzi cui Telecom si riferisce come IP LAN, viceversa l'indirizzo IP WAN é solo l'indirizzo definito "punto-punto" che identifica il collegamento geografico tra te (CE) ed il router Internet di centrale (PE).
Nel caso A infatti il PE invia un aggiornamento di routing che informa il mondo che tutta la tua subnet LAN (pubblica) é raggiungibile tramite di lui, mentre non invia negli aggiornamenti di routing le subnet relative ai collegmenti punto-punto. Di conseguenza Internet potrà conoscere il tuo CE (e quindi tutta la tua LAN privata sotto NAT) solo tramite i tuoi indirizzi LAN pubblici.
Per fare NAT, puoi seguire due strade:
1) Impostare uno degli indirizzi LAN assegnati ad una Loopback e poi utilizza quella loopback come interfaccia per eseguire il NAT.
Codice: Seleziona tutto
interface Fastethernet0/0
description LAN privata
ip addess 10.10.10.1 255.255.255.0
ip nat inside
interface Loopback0
description LAN pubblica
ip addess 94.52.42.111 255.255.255.255
ip nat outside
interface atm0/0.1
description punto-punto
ip addess 94.52.114.101 255.255.255.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 atm0/0.1
access-list 1 permit 10.10.10.0 0.0.0.255
ip nat inside source list 1 interface loopback0 overload
Codice: Seleziona tutto
interface Fastethernet0/0
description LAN privata
ip addess 10.10.10.1 255.255.255.0
ip nat inside
interface atm0/0.1
description punto-punto
ip addess 94.52.114.101 255.255.255.0
ip nat outside
ip route 0.0.0.0 0.0.0.0 atm0/0.1
access-list 1 permit 10.10.10.0 0.0.0.255
ip nat pool PUBLICLAN 94.52.42.110 94.52.42.118 netmask 255.255.255.248
ip nat inside pool source list1 pool PUBLICLAN overload
Saluti
Ultima modifica di lorbellu il lun 19 ott , 2009 7:46 am, modificato 1 volta in totale.
Lorbellu
-
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
Ciao lorbellu,lorbellu ha scritto:Ciao,
La risposta alla tua domanda é piuttosto semplice in realtà. In Telecom (ma in generale succede lo stesso con tutti gli operatori) i contratti possono essere di due tipi:
A) Contratto con più IP pubblici (generalmente sono affiancati da un indirizzo geografico
B) Contratto con un IP statico solo
La differenza tra i due sta nel fatto che mentre nel caso B tu hai un solo indirizzo che viene pubblicato dal router di centrale al mondo internet, nel caso A ti viene assegnata una vera e propria subnet che allo stesso modo viene "pubblicata" su internet tramite annunci di routing dinamico.
Nel primo caso gli indirizzi su cui si esegue il NAT di una rete privata (10, 192.168, ecc...) sono appunto gli indirizzi cui Telecom si riferisce come IP LAN, viceversa l'indirizzo IP WAN é solo l'indirizzo definito "punto-punto" che identifica il collegamento geografico tra te (CE) ed il router Internet di centrale (PE).
Nel caso A infatti il PE invia un aggiornamento di routing che informa il mondo che tutta la tua subnet LAN (pubblica) é raggiungibile tramite di lui, mentre non invia negli aggiornamenti di routing le subnet relative ai collegmenti punto-punto. Di conseguenza Internet potrà conoscere il tuo CE (e quindi tutta la tua LAN privata sotto NAT) solo tramite i tuoi indirizzi LAN privati.
Per fare NAT, puoi seguire due strade:
1) Impostare uno degli indirizzi LAN assegnati ad una Loopback e poi utilizza quella loopback come interfaccia per eseguire il NAT.2) Crea un NAT pool che utilizzi uno o più indirizzi LAN assegnati che verrano utilizzati a rotazione per eseguire il NAT della LANCodice: Seleziona tutto
interface Fastethernet0/0 description LAN privata ip addess 10.10.10.1 255.255.255.0 ip nat inside interface Loopback0 description LAN pubblica ip addess 94.52.42.111 255.255.255.255 ip nat outside interface atm0/0.1 description punto-punto ip addess 94.52.114.101 255.255.255.0 ip nat outside ip route 0.0.0.0 0.0.0.0 atm0/0.1 access-list 1 permit 10.10.10.0 0.0.0.255 ip nat inside source list 1 interface loopback0 overload
Ovviamente in entrambi i casi, l'utilizzo dell'opzione overload per il NAT consente di eseguire il PAT come strategia di NAT.Codice: Seleziona tutto
interface Fastethernet0/0 description LAN privata ip addess 10.10.10.1 255.255.255.0 ip nat inside interface atm0/0.1 description punto-punto ip addess 94.52.114.101 255.255.255.0 ip nat outside ip route 0.0.0.0 0.0.0.0 atm0/0.1 access-list 1 permit 10.10.10.0 0.0.0.255 ip nat pool PUBLICLAN 94.52.42.110 94.52.42.118 netmask 255.255.255.248 ip nat inside pool source list1 pool PUBLICLAN overload
Saluti
grazie innanzitutto per la dritta.
Effettivamente non avevo pensato alla loopback per metterci sopra gli ip pubblici della lan.
A questo punto approfitto della tua gentilezza per chiederti un'altra cosa. Nel caso in cui voglia adottare tale soluzione (con loopback), questa sarebbe compatibile con una vpn site-to-site da implementare tra questa stessa macchina ed una gemella situata in un altro posto?
Grazie in anticipo
Aldo
-
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
Ciao,
Assolutamente sì, il bello dei router Cisco é proprio che ci sono più modi per implementare cose diverse, a seconda delle esigenze uno può essere meglio dell'altro.
Per come la vedo io tu dovresti assegnare un IP LAN ad una loopback per il NAT della tua LAN, mentre l'altro IP pubblico lo assegnerai come indirizzo sorgente ad una interfaccia tunnel.
La conf per il tunnel sarebbe del tipo:
Nota alcune cose:
1) L'intefaccia tunnel ha un suo indirizzo "di servizio" per indirizzare il traffico tra le sedi tramite due indirizzi specifici (non pubblici), utilizzare una subnet mask a 30 bit di fatto impedisce di "mischiare" il traffico con altre sedi (qualora tu ne avessi), in quanto tra una sede e l'altra non esistono altri indirizzi possibili
2) Il secondo indirizzo pubblico IP LAN viene utilizzato come indirizzo sorgente per il tunnel, per lo stesso motivo potresti assegnare tale indirizzo ad una seconda loopback e indicarla come tunnel source (tunnel source loopback1). Questa configurazione ti semplificherebbe la vita se volessi ad esempio limitare via ACL il traffico su quell'IP al solo traffico verso l'IP pubblico dell'altro endpoint del tunnel.
3) Nell'esempio riportato l'indirizzo di destinazione del tunnel é l'indirizzo pubblico del router remoto. Se hai comperato due TGU analoghe dovrai dare uno degli IP LAN della sede remota
4) Nell'esempio riportato non é applicata nessuna cifratura del traffico, così si realizza una VPN NON criptata
Saluti
Assolutamente sì, il bello dei router Cisco é proprio che ci sono più modi per implementare cose diverse, a seconda delle esigenze uno può essere meglio dell'altro.
Per come la vedo io tu dovresti assegnare un IP LAN ad una loopback per il NAT della tua LAN, mentre l'altro IP pubblico lo assegnerai come indirizzo sorgente ad una interfaccia tunnel.
La conf per il tunnel sarebbe del tipo:
Codice: Seleziona tutto
interface Tunnel0
description Collegamento verso Sede remota
ip address 1.1.1.1 255.255.255.252
tunnel source 2°IPLAN
tunnel destination IP-REMOTO
ip route LAN REMOTA 1.1.1.2
1) L'intefaccia tunnel ha un suo indirizzo "di servizio" per indirizzare il traffico tra le sedi tramite due indirizzi specifici (non pubblici), utilizzare una subnet mask a 30 bit di fatto impedisce di "mischiare" il traffico con altre sedi (qualora tu ne avessi), in quanto tra una sede e l'altra non esistono altri indirizzi possibili
2) Il secondo indirizzo pubblico IP LAN viene utilizzato come indirizzo sorgente per il tunnel, per lo stesso motivo potresti assegnare tale indirizzo ad una seconda loopback e indicarla come tunnel source (tunnel source loopback1). Questa configurazione ti semplificherebbe la vita se volessi ad esempio limitare via ACL il traffico su quell'IP al solo traffico verso l'IP pubblico dell'altro endpoint del tunnel.
3) Nell'esempio riportato l'indirizzo di destinazione del tunnel é l'indirizzo pubblico del router remoto. Se hai comperato due TGU analoghe dovrai dare uno degli IP LAN della sede remota
4) Nell'esempio riportato non é applicata nessuna cifratura del traffico, così si realizza una VPN NON criptata
Saluti
Lorbellu
-
- n00b
- Messaggi: 24
- Iscritto il: mer 08 apr , 2009 5:43 pm
lorbellu ha scritto:Ciao,
Assolutamente sì, il bello dei router Cisco é proprio che ci sono più modi per implementare cose diverse, a seconda delle esigenze uno può essere meglio dell'altro.
Per come la vedo io tu dovresti assegnare un IP LAN ad una loopback per il NAT della tua LAN, mentre l'altro IP pubblico lo assegnerai come indirizzo sorgente ad una interfaccia tunnel.
La conf per il tunnel sarebbe del tipo:Nota alcune cose:Codice: Seleziona tutto
interface Tunnel0 description Collegamento verso Sede remota ip address 1.1.1.1 255.255.255.252 tunnel source 2°IPLAN tunnel destination IP-REMOTO ip route LAN REMOTA 1.1.1.2
1) L'intefaccia tunnel ha un suo indirizzo "di servizio" per indirizzare il traffico tra le sedi tramite due indirizzi specifici (non pubblici), utilizzare una subnet mask a 30 bit di fatto impedisce di "mischiare" il traffico con altre sedi (qualora tu ne avessi), in quanto tra una sede e l'altra non esistono altri indirizzi possibili
2) Il secondo indirizzo pubblico IP LAN viene utilizzato come indirizzo sorgente per il tunnel, per lo stesso motivo potresti assegnare tale indirizzo ad una seconda loopback e indicarla come tunnel source (tunnel source loopback1). Questa configurazione ti semplificherebbe la vita se volessi ad esempio limitare via ACL il traffico su quell'IP al solo traffico verso l'IP pubblico dell'altro endpoint del tunnel.
3) Nell'esempio riportato l'indirizzo di destinazione del tunnel é l'indirizzo pubblico del router remoto. Se hai comperato due TGU analoghe dovrai dare uno degli IP LAN della sede remota
4) Nell'esempio riportato non é applicata nessuna cifratura del traffico, così si realizza una VPN NON criptata
Saluti
Grazie lorbellu!
In questi giorni provo la configurazione e magari ti faccio sapere postando uno show run della conf.
Grazie ancora!
Aldo