Configurazione Cisco 1750 con policy based routing

[DavideD]

Buonasera, vorrei chiedere il vostro aiuto per configurare un Cisco 1750 allo scopo di ridirigere il traffico in uscita su tre router in base alla porta di destinazione e/o all'IP di origine.

Intanto vorrei capire se sia possibile fare quanto ho scritto sopra con tale router; se fosse così vorrei un consiglio su quali e quante interfaccie ethernet acquistare.
Ho visto che per questo modello sono disponibili l'interfaccia ethernet WIC-1ENET e la WIC-4ESW.


Il router 1750 sarebbe il default gateway della LAN, dovrebbe smistare il traffico su tre linee adsl differenti, in base all'IP di origine (il server di exchange sarebbe pubblicato sull'ADSL1, che sarebbe utilizzata solo per quello, mentre i Terminal Server sarebbero pubblicati sull'ADSL2, con un range di porte che va dalla 3380 alla 3384, da questa linea passa anche il traffico di un nostro server applicativo) o in base alla porta richiesta (ad esempio, tutto il traffico per le porte 80, 443 e 21 dovrebbe essere convogliato verso l'ADSL3)
I router delle linee ADSL 1 e 2 hanno l'interfaccia interna sulla stessa subnet (10.0.0.0 netmask 255.0.0.0), mentre la linea ADSL3 sarà su un'altra subnet.


Ogni risposta é gradita, qualora non sia stato chiaro nella spiegazione sarò disponibile per ogni domanda.

Cordiali saluti

[Wizard]

Buonasera, vorrei chiedere il vostro aiuto per configurare un Cisco 1750 allo scopo di ridirigere il traffico in uscita su tre router in base alla porta di destinazione e/o all'IP di origine.

Se la ios lo permette si può fare.
Devi configurare delle regole per policy routing, tipo:

Codice: Seleziona tutto

access-list 102 remark *************************************************************
access-list 102 remark *** ACL PER ROUTE-MAP ***
access-list 102 remark *************************************************************
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq www
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq pop3
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq smtp
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq ftp-data
access-list 102 permit tcp 192.168.1.0 0.0.0.255 any eq ftp

route-map BIL-WAN permit 10
 match ip address 102
 set ip precedence priority
 set ip next-hop IP_INTERNO_ROUTER_!

interface Vlan1
ip policy route-map BIL-WAN

Chiaramente le tue acl saranno diverse e dovrai creare 3 regole

[DavideD]

Intanto grazie per la celere risposta!

Quello che dovrei fare é acquistare il WIC desiderato, eventualmente aggiornare l'IOS del router, creare le VLAN corrispondenti ai 3 router e applicare le regole similmente a quelle che ha descritto, giusto?
Potrei prendere il WIC-4ESW, assegnare a 3 di queste porte una VLAN e collegare direttamente i 3 router alle porte corrispondenti.

Intanto allora cerco dove acquistare il pezzo, poi vedrò di scornarmi sulla configurazione.

Grazie!

[DavideD]

Buonasera, giusto per conferma, una volta acquistato ed inserito il modulo a 4 porte (WIC-4ESW) posso assegnare ad ognuna un'indirizzo IP differente?
Esempio:

Porta1: 10.0.0.5 (VLAN1 con gateway 10.0.0.1)
Porta2: 10.0.0.9 (VLAN2 con gateway 10.0.0.10)
Porta3: xx.y.z.w (VLAN3 con gateway xx.y.z.ww)

Grazie

[tonzie]

Buonasera, giusto per conferma, una volta acquistato ed inserito il modulo a 4 porte (WIC-4ESW) posso assegnare ad ognuna un'indirizzo IP differente?
Esempio:

Porta1: 10.0.0.5 (VLAN1 con gateway 10.0.0.1)
Porta2: 10.0.0.9 (VLAN2 con gateway 10.0.0.10)
Porta3: xx.y.z.w (VLAN3 con gateway xx.y.z.ww)

Grazie

Interessa anche a me, qualcuno sa se in pratica questa wic è come avere una Enet (ma con fast Ethernet) collegata ad uno switch 5 porte (di pui una occupata dal collegamento con il router) e che tale switch faccia vlan trunk etc

oppure è come avere 4 enet fast ethernet dove si deve assegnare ad ogni interfaccia un ip di rete differente (il che verrebbe decisamente bene...)

[DavideD]

Dopo secoli di attesa, ho potuto installare l'espansione di Ram di memoria Flash e l'IOS 12.3 ipbase.

Adesso sto tentando di configurare il tutto, con più che grosse difficoltà.

Per test ho configurato solo tre reti come segue:

LAN su interfaccia builtin FastEthernet0 con ip 10.0.0.30/24
WAN1 su interfaccia VLAN1 che passa dalla porta FastEthernet4 con IP 192.168.11.58/24, sulla stessa rete é presente un primo router con IP 192.168.11.30
WAN2 su interfaccia VLAN11 che passa dalla porta FastEthernet3 con IP 192.0.0.30 con un altro router con IP 10.0.0.1

Una volta che riuscirò a cavare fuori il ragno dal buco sostituirò gli IP con quelli che dovranno essere utilizzati nell'ambiente reale.

Premettendo di non conoscere nulla di IOS e di router Cisco, al momento sto pasticciando un poco tra access list e route, sono riuscito a fare in modo che il traffico verso internet passi per la WAN1 attraverso la porta ed il gateway corretto.
Sempre per prova vorrei far passare il protocollo RDP sulla WAN2, ma non ci riesco, credo che manchi qualcosa o ci sia qualcosa di sbagliato.

Il comando ip route 0.0.0.0 0.0.0.0 Vlan1 ruota tutto il traffico verso l'interfacca VLAN1, e la cosa mi sembra sbagliata, altrimenti come faccio uscire il protocollo RDP dalla VLAN11? Inoltre mi pare che manchi qualcosa per il flusso dei dati verso l'interno, suppongo di dover creare delle ACL per girare le chiamate dall'esterno verso la LAN, ma forse é meglio chiudere prima il traffico in uscita prima di smazzarsi quello in ingresso...

Sono pressochè certo che il traffico verso internet esca per pura fortuna, dato che non ho fatto altro che cercare gli esempi più simili che ho potuto rintracciare in internet, quindi é meglio se ci date un occhio voi, dato che dovrebbe esserci qualcosa di troppo più varie cose mancanti:

Questo é il show conf in uso

Codice: Seleziona tutto

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot system flash
boot-end-marker
!
enable secret 5 $1$1/0u$qf1RGG1t0ot70vkHXmv9L1
enable password pluto
!
no aaa new-model
!
resource policy
!
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ftp-server write-enable
!
!
!
!
interface FastEthernet0
 description LAN
 ip address 10.0.0.30 255.255.255.0
 ip nat inside
 speed auto
 half-duplex
 no cdp enable
!
interface FastEthernet1
 no ip address
 shutdown
 duplex full
 speed 100
!
interface FastEthernet2
 no ip address
 shutdown
!
interface FastEthernet3
 switchport access vlan 11
 no ip address
!
interface FastEthernet4
 no ip address
!
interface Vlan1
 description WAN1
 ip address 192.168.11.58 255.255.255.0
 ip nat outside
 ip policy route-map WEB
!
interface Vlan11
 description WAN2
 ip address 192.0.0.30 255.255.255.0
 ip nat outside
 ip policy route-map RDP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Vlan1
!
no ip http server
ip nat inside source list 101 interface Vlan11 overload
ip nat inside source list 102 interface Vlan1 overload
!
access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 3389
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq www
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq 443
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq domain
access-list 102 permit udp 10.0.0.0 0.0.0.255 any eq domain
route-map RDP permit 20
 match ip address 101
 set ip next-hop 192.0.0.1
 set default interface Vlan11
!
route-map WEB permit 10
 match ip address 102
 set ip next-hop recursive 192.168.11.30
 set ip next-hop 192.168.11.30
 set default interface Vlan1
 set ip default next-hop 192.168.11.30
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password pippo
 login
!
end

cisco#

Ho una domanda a margine: perchè sulla FastEthernet3 é rimasta questa riga, che sulla FastEthernet4 non c'è?

switchport access vlan 11

Grazia in anticipo per l'aiuto.

Davide

[DavideD]

nessuno? sob...

[Wizard]

switchport access vlan 11

Significa che la porta fisica a cui è applicata corrisponde alla vlan 11
Dai quel comando a tutte le porte che devono essere nella vlan 11
Se non metti il comando la porta sarà automaticamnte nella vlan 1

[DavideD]

switchport access vlan 11

Significa che la porta fisica a cui è applicata corrisponde alla vlan 11
Dai quel comando a tutte le porte che devono essere nella vlan 11
Se non metti il comando la porta sarà automaticamnte nella vlan 1

Grazie per la spiegazione; per tutto il resto qualcuno saprebbe indirizzarmi verso un qualunque tutorial fatto bene, qualcosa che spieghi come redirigere il traffico su più gateway o cose simili... io non ho idea di dove sbattere la testa, ho trovato varie cose sul policy based routing, ma é una cosa che dovrei applicare dopo aver fatto una configurazione di base che consenta ingressi ed uscite da tutte le reti che devo mettere in comunicazione, e già questo non lo so fare...

[Wizard]

Hai detto bene, vai x gradi!
Fatti uno schema (anche a mano) della tua rete ed inizia a configurare sul router la rete "primaria", quando quella va configuri la seconda vlan e il policy routing.

[DavideD]

una configurazione di base che consenta ingressi ed uscite da tutte le reti che devo mettere in comunicazione, e già questo non lo so fare...

Il problema é proprio fare una configurazione di base.

Ho un minimo di conoscenze sui pix più piccoli, come il 506, ma il passaggio all'IOS del 1750 mi ha lasciato basito.

La configurazione della LAN e di una singola WAN é piuttosto facile:

Definisco la prima

interface FastEthernet0
description LAN
ip address 10.0.0.30 255.255.255.0
ip nat inside

e la seconda (quest'ultima tramite VLAN, dato che il WIC mi fornisce delle porte a cui non posso assegnare un indirizzo IP)

interface Vlan1
description WAN1
ip address 192.168.11.58 255.255.255.0
ip nat outside

definisco un gateway

ip default-gateway 192.168.11.30

una route statica

ip route 0.0.0.0 0.0.0.0 Vlan1

e un NAT (l'esempio é quello del mio sh run)

ip nat inside source list 101 interface Vlan11 overload

e, se non sbaglio, il gioco é fatto.

Il problema viene poi, anche a livello concettuale:

Se ho un default gateway che é sulla VLAN1, come definisco il Gateway del trafico che andrà sulla VLAN11? Se ho una route che mi butta tutto il traffico sulla VLAN1, come faccio a dire che una parte di questo va sull'altra?

So di essere un pò un pacco, se devo essere sincero fino in fondo preferirei trovare qualcuno che sistemasse il ruoter, anche a pagamento (é un lavoro che richiede delle conoscenze, e il lavoro va sempre pagato), per poi imparare con calma a programmare l'IOS: a tale proposito mi sto documentando e mi piacerebbe trovare qualche corso o qualche libro per poi iniziare il percorso di certificazione.
Purtroppo devo chiudere con questo router prima possibile, per poter poi fare qualunque altra cosa...
L'aiuto che mi state dando é già qualcosa di importante.

Davide

[Wizard]

Se ho un default gateway che é sulla VLAN1, come definisco il Gateway del trafico che andrà sulla VLAN11? Se ho una route che mi butta tutto il traffico sulla VLAN1, come faccio a dire che una parte di questo va sull'altra?

Giustamente appunto tramite una policy-map (come stavi facendo).
Fammi vedere x favore la tua vlan 11

[DavideD]

Mi devo basare sull'ultima running config, sfortunatamente mi sono rotto un piede e fino a lunedì non ho modo di andare in ufficio a fare delle prove o modifiche...

version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot system flash
boot-end-marker
!
enable secret 5 $1$1/0u$qf1RGG1t0ot70vkHXmv9L1
enable password pluto
!
no aaa new-model
!
resource policy
!
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ftp-server write-enable
!
!
!
!
interface FastEthernet0
description LAN
ip address 10.0.0.30 255.255.255.0
ip nat inside
speed auto
half-duplex
no cdp enable
!
interface FastEthernet1
no ip address
shutdown
duplex full
speed 100
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
switchport access vlan 11
no ip address
!
interface FastEthernet4
no ip address
!
interface Vlan1
description WAN1
ip address 192.168.11.58 255.255.255.0
ip nat outside
ip policy route-map WEB
!
interface Vlan11
description WAN2
ip address 192.0.0.30 255.255.255.0
ip nat outside
ip policy route-map RDP
!
ip classless
ip route 0.0.0.0 0.0.0.0 Vlan1
!
no ip http server
ip nat inside source list 101 interface Vlan11 overload
ip nat inside source list 102 interface Vlan1 overload
!
access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 3389
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq www
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq 443
access-list 102 permit tcp 10.0.0.0 0.0.0.255 any eq domain
access-list 102 permit udp 10.0.0.0 0.0.0.255 any eq domain
route-map RDP permit 20
match ip address 101
set ip next-hop 192.0.0.1
set default interface Vlan11
!
route-map WEB permit 10
match ip address 102
set ip next-hop recursive 192.168.11.30
set ip next-hop 192.168.11.30
set default interface Vlan1
set ip default next-hop 192.168.11.30
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password pippo
login
!
end

Ho evidenziato in rosso le parti relative alla VLAN11
L'Ip é stato applicato correttamente, tanto che riesco a pingarlo da un pc messo nella stessa subnet. Ovviamente non riesco a collegarmi con il client RDP a nulla.

Grazie,
Davide