Dopo anni di lavoro (a livello base) con i router cisco, mi ripropongo una configurazione che ho adottato nel mio router aziendale ma di cui non sono mai stato convinto (comunque funziona) :
Router Cisco 877
La linea e' una ADSL alice business con una Punto-Punto statica sulla atm0.1 e una classe di 8 ip pubblici statici ( aaa.bbb.ccc.0 - aaa.bbb.ccc.7 utilizzabili dall 1 al 6 ovviamente)
La classe di LAN e' connessa alla FE0 come Vlan1 ed e' nattata utilizzando in uscita UNO SOLO (il .2) degli indirizzi ip pubblici in questo modo :
ip nat pool POOL aaa.bbb.ccc.2 aaa.bbb.ccc.2 netmask 255.255.255.252
ip nat inside source list 101 pool POOL overload
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip access-group 103 in
(l'access list 103 controlla qualche protocollo da vietare ai p.c. in uscita, smtp ecc.)
C'e' poi qualche nat statico per aprire le porte dall'esterno verso macchine della LAN :
ip nat inside source static tcp <indirizzo ip macchina lan e sua porta> <indirizzo ip pubblico e sua porta (stesso del nat aaa.bbb.ccc.2) > extendable
Alle FE1 2 e 3 e' stata associata la Vlan2 avente ip pubblico aaa.bbb.ccc.1 e a queste tre porte ethernet verranno collegate macchine della stessa classe di ip pubblici che quindi non saranno nattate e saranno connesse e raggiungibili direttamente dal mondo esterno (con i rimanenti ip aaa.bbb.ccc.3-6) :
interface Vlan2
ip address aaa.bbb.ccc.1 255.255.255.248
interface FastEthernet1
switchport access vlan 2
interface FastEthernet2
switchport access vlan 2
interface FastEthernet3
switchport access vlan 2
La punto-punto e' associata all'interfaccia ATM0.1 dichiarata come nat-outside :
interface ATM0.1 point-to-point
ip address http://www.xxx.yyy.zzz 255.255.255.0
ip nat outside
ip virtual-reassembly
pvc 8/35
encapsulation aal5snap
Chiedo ai piu' esperti se tale configurazione e' corretta e/o comporta delle problematiche
Inoltre volevo sapere se il binding delle tre fastethernet alla Vlan2 isola automaticamente la rete lan collegata alla FE0 dalle macchine pubbliche collegate sulle FE1-3 oppure devo inserire una riga tipo
interface FastEthernet0
switchport access vlan1
per isolare effettivamente la FE0 dalla Vlan2 ?
O ancora dovrei aggiungere delle access-list tra le due vlan ??
E' poi corretto utilizzare un nat pool contenente UN SOLO indirizzo ip pubblico in modalita' overload ??
All'indirizzo pubblico aaa.bbb.ccc.2 (che e' quello del nat e altresi' quello dichiarato nei cname dns appartenente al mio dominio web) puntano anche dei tunnel gre e ipsec per connettivita' vpn esterne , ma quello lo si puo' vedere in dettaglio se serve....
Grazie per qualsiasi risposta e/o suggerimento.
Ciao
