chiarimenti su collegamento HDSL T.I.

[Pongo]

Buongiorno a tutti.
mi trovo a dover configurare un 2610 per HDSL 2 Mbit, carrier telecom italia, interfaccia V35.
Il provider mi ha rilasciato i seguenti dati:

- pool di n. 8 IP statici, facciamo siano 1.0.0.1-1.0.0.8/30
- un indirizzo che chiama gateway 1.0.0.2 (il primo utilizzabile, credo lo chiami gateway perche' dovrebbe essere l'eventuale GW di pc dietro il router a cui vengono assegnati IP pubblici; p.e. il 1.0.0.3 attaccato dietro il router prende come GW 1.0.0.2).
- un indirizzo pont-to-point che supponiamo sia 1.1.0.30/32
- n. delivery di rilascio del circuito

Il cliente ha ordinato gli 8 Ip *per sbaglio* in quanto ora ha bisogno un nat perche' con questa connessione deve solo navigare, quindi io pensavo di configurare il router come se la linea avesse assegnato un solo IP statico, procedendo in questo modo:

interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
!
interface Serial0/0
ip address 1.0.0.2 255.255.255.248 (il primo IP pubblico utilizzabile, qui ho dei dubbi sulla maschera, che ora, utilizzando un solo ip potrebbe essere /32)
encapsulation frame-relay IETF
ip nat outside
!
interface Serial0/0.1 point-to-point
ip address 1.0.1.30 255.255.255.0
frame-relay interface-dlci xxx (va bene inserire qui il dlci, o devo metterlo nella serial0/0?)
!
ip classless
ip nat inside source list 101 interface ethernet0 overload
access-list 101 permit ip 192.168.0.1 0.0.0.255 any

come assegnazione IP alle interfacce e' un procedimento corretto?
cosa ne pensate?
aspetto hints!

Ciao,
Pongo

[TheIrish]

attenzione, l'interfaccia fisica non deve avere un indirizzo ip, ma solo quella virtuale.
Diciamo che hai 2 possiblità, una è (se telecom lo permette) assegnare un indirizzo del pool alla serial0/0.1 point-to-point e procedere come hai descritto.
L'altra possiblità, decisamente più elegante, è quella di assegnare il p-t-p alla serial0/0.1 point-to-point e poi fare un nat utilizzando il pool di indirizzi.
La seconda possibilità è un po' più elegantina, se non altro per via del fatto che se un giorno volessi utilizzare uno degli indirizzi del pool, basterebbe una semplice modifica.

[Pongo]

scusa, credo di non avere capito bene:
se assegno alla serial0/0.1 la punto punto, mi rimangono 8 IP + una lan (che deve essere il default GW della rete locale); e se la serial0/0 la lascio senza IP, dove li metto questi altri 2 dati?
tu dicevi di assegnare un indirizzo del pool alla lan? ma poi la lan vera e propria dove la metto?
intanto sto googleando per vedere di capirne di +.

grazie,
Pongo

[Pongo]

ok mi sono informato, con interbusiness dovrebbe funzionare anche la configurazione *poco elegante* ... -))
cmq se mi spieghi meglio quella elegante, la adotto di sicuro. (e quando funge -ovviamente - la posto per intero !) grazie ancora e ciao,
Pongo

[Pongo]

mi chiedevo una cosa: se utilizzo la configurazione in cui assegno IP della p-t-p alla serial0/0.1 e un IP di lan alla ethernet0, non utilizzo nessuno degli IP pubblici forniti, fin qui tutto ok, ma chi naviga si presenta con p'IP della punto-punto?

ciao.

[TheIrish]

la cosa è un po' + complessa.

Un po' di preambolo:
l'indirizzo p-t-p non è utilizzabile per uscire direttamente. Serve solo a fini amministrativi. Si trova su una subnet mask diversa dal pool di indirizzi che ti hanno dato. In questo modo, il pool di indirizzi può essere assegnato alle macchine interne. Se appartenesse alla stessa subnet, la cosa non potrebbe funzionare perché la stessa subnet non può trovarsi su interfacce diverse. Un esempio, se utilizzi 1 ip del pool per l'interfaccia point-to-point e poi assegni a macchine interne altri indirizzi del pool, va tutto a quel paese.

Quindi, assegni l'indirizzo p-t-p all'interfaccia point-to-point. A questo punto, nulla ancora può uscire perché quell'indirizzo viene filtrato in centrale.
Visto che vogliamo usare il NAT, scegliamo un indirizzo del pool di ip dati da telecom e lo utilizziamo per creare un'istruzione di NAT che dica tutti gli indirizzi privati della subnet 192.168.0.0 255.255.255.0 vengono tradotti in <ip_del_pool>.
E qui la cosa già funziona. Se poi noi desiderassimo assegnare degli ip pubblici ad alcune macchine interne (vedi server e affini), basterà assegnare un ip del pool pubblico alla ethernet come IP secondario (senza sovrascrivere quello privato) e dare gli IP pubblici alle macchine.

[Pongo]

ecco! non riesco ad inserire quella istruzione nat per traslare gli indirizzi privati e farli uscire come un indirizzo pubblico del pool!

thanx!
Pongo

p.s. se riesci a rispondermi velocemente, ho il router collegato dal cliente e un tecnico *in loco* -))

[Pongo]

allora, a parte che sono riuscito a far navigare il tutto, ma in maniera lentissima, utilizzando loopback0 con un IP pubblico (soluzione quindi scartata, iniziava a rallentarsi quando mettevo ip route 0.0.0.0 0.0.0.0 Ethernet0/0 e ip route 0.0.0.0 0.0.0.0 loopback0) ho pensato, sintetizzando a una cosa del genere:

interface Ethernet0/0
ip address 10.230.134.1 255.255.255.0
ip nat inside
full-duplex
!
interface Serial0/0
encapsulation frame-relay IETF
!
interface Serial0/0.1 point-to-point
ip address p-t-p 255.255.255.252
frame-relay interface-dlci 192
!
ip classless
ip nat outside source static 10.230.134.0 xxx.xxx.xxx.xxx ! (un indirizzo del pool)
!
access-list 1 permit 10.230.134.0 0.0.0.255

-------------

intendevi qualcosa del genere? perche' cosi' non funziona -)

ciao,
Pongo

[TheIrish]

quasi:

Codice: Seleziona tutto

ip nat pool <nome_pool> <un_ip_pubblico> <stesso_ip_pubblico> netmask <subnet_ip_pubblici>
ip nat inside source list 60 pool <nome_pool> overload

[Pongo]

eccomi ancora; finalmente ho potuto provare la configurazione approntata con IrishMan, ma purtroppo c'e' ancora qualcosa che non funziona. Riassumendo, io pingo un'interfaccia di loopback (che ho inserito per amministrazione) e la punto-punto; entro in telnet, ma il cliente non naviga; pinga la lan del router, la punto punto, NON pinga il loopback (che io da fuori pingo - questo mi fa pensare a problemi di nat) e non pinga fuori.
la configurazione ora e' la seguente:




Using 1393 out of 29688 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname pippo
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
username pippo password 7 xxxxxxxxxxxxxxx
ip subnet-zero
!
interface Loopback0
bandwidth 1536
ip address xxx.45.152.82 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache
no ip mroute-cache
shutdown
!
interface Ethernet0/0
ip address 10.230.134.1 255.255.255.0
ip nat inside
full-duplex
!
interface Serial0/0
no ip address
no ip proxy-arp
encapsulation frame-relay IETF
no ip route-cache
no ip mroute-cache
no fair-queue
!
interface Serial0/0.1 point-to-point
ip address xxx.45.135.70 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache
no ip mroute-cache
no cdp enable
frame-relay interface-dlci 192
!
! (ora il primo IP pubblico utilizzabile)
ip nat pool public xxx.45.152.81 xxx.45.152.81 netmask 255.255.255.248
ip nat inside source list 60 pool public overload
ip nat outside source list 1 interface Ethernet0/0
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0.1
ip route 10.230.134.0 255.255.255.0 Loopback0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 10.230.134.0 0.0.0.255
access list 60 permit any
!
line con 0
password 7 xxxxxxxxxxxxxxxxx
login
line aux 0
line vty 0 4
password 7 xxxxxxxxxxxxxxx
login



gli IP pubblici utilizzabili sono da 80 a 87.
ciao e grazie,
Pongo

[TheIrish]

ip nat inside source list 60 pool public overload
ip nat outside source list 1 interface Ethernet0/0
access-list 1 permit 10.230.134.0 0.0.0.255
access list 60 permit any

Perché? Non capisco.
Butta via le istruzioni di nat e sostituisci con:

Codice: Seleziona tutto

ip nat inside source list 1 pool public overload

[Pongo]

ti ringrazio, avro possibilita' di provare, presumibilmente domani; poi vi faccio sapere, se tutto funzia, posto la conf completa, altrimenti ci sentiamo per help.
grazie,
Pongo

[Pongo]

orbene! sono riuscito a far funzionare la hdsl di cui sopra in 2 modalita', che ora vi descrivo (fonte - telecom italia):

allora la prima configurazione e' quella che viene utilizzata da interbusiness per configurare una hdsl con almeno 8 IP pubblici (quindi il 100% delle hdsl - o cdn rigenerati -PP ). la conf fa nat perche' non e' necessario rendere visibile alcun server con IP pubblico e la rete locale deve navigare.

User Access Verification

Password:
example>enable
Password:
example#sh conf
Using 1378 out of 29688 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname example
!
enable secret 5 blablabla
!
username pippo password 7 xxxxxxxxxxxxxxxx
ip subnet-zero
!
interface Loopback0
bandwidth 1536
ip address xx.45.152.82 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache
no ip mroute-cache
shutdown ! era un Ip di servizio ...
!
interface Ethernet0/0
ip address 10.230.134.1 255.255.255.0 secondary
ip address xx.45.152.81 255.255.255.248
ip nat inside
full-duplex
!
interface Serial0/0
no ip address
no ip proxy-arp
ip nat outside
encapsulation frame-relay IETF
no ip route-cache
no ip mroute-cache
no fair-queue
!
interface Serial0/0.1 point-to-point
ip address xx.45.135.70 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache
no ip mroute-cache
no cdp enable
frame-relay interface-dlci 192
!
ip nat pool public xx.45.152.81 xx.45.152.81 netmask 255.255.255.248
ip nat inside source list 1 pool public overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0.1
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 10.230.134.0 0.0.0.255
!
line con 0
password 7 xxxxxxxxxxxxxx
login
line aux 0
line vty 0 4
password 7 110A1609131B1909103E22
login
!
!
end


*********
e questa era una conf sicuramente funzionante.
*********


altro modo, altro carrier:
con eutelia (che in ogni caso acquista all'ingrosso dal WS di telecom) la cosa e' andata cosi' (sempre pool+nat)


ip subnet-zero
!
process-max-time 200
!
interface Loopback0
bandwidth 1536
ip address xx.94.209.120 255.255.255.255
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
ip nat outside
no ip route-cache
no ip mroute-cache
!
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
no ip directed-broadcast
ip nat inside
full-duplex
!
interface Serial0/0
no ip address
no ip directed-broadcast
no ip proxy-arp
encapsulation frame-relay IETF
no ip route-cache
no ip mroute-cache
no fair-queue
!
interface Serial0/0.1 point-to-point
ip address xx.211.2.82 255.255.255.252
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
ip nat outside
no ip route-cache
no ip mroute-cache
no cdp enable
frame-relay interface-dlci 20
!
interface Serial0/1
no ip address
no ip directed-broadcast
shutdown
!
ip nat inside source list 1 interface Loopback0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0.1
ip route 192.168.0.0 255.255.255.0 Loopback0
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 permit 0.0.0.0
!
line con 0
exec-timeout 120 0
password xxxxxxxxxx
transport input none
transport output pad v120 telnet rlogin udptn
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password xxxxxxxxxxxxxxx
login local
length 0


*****
se a qualcuno servono .... io quando riesco a fare qualcosa, posto sempre il risultato!
ah ovviamente grazie mille a theIrish ... (sopratutto per la seconda conf).

mi piacerebbe aprire un altro thread per discutere sulle diverse performance delle 2 configurazioni e delle risorse che occupano sul router.

a proposito........ se volessi limitare la banda di uno di questi 2600... secondo voi mi basta mettere su s0 un bel *bandwwith 128* ???
no vero?

se qualcuno mi vuole rispondere, please apriamo un nuovo thread che mi sa che questo sta diventando esageratamente lungo e oneroso da consultare.

[geoborders]

Ciao a tutti ,

ho un problema, mi hanno assegnato un pool di indirizzi pubblici, il router (CISCO 837) naviga in internet ma nn riesce a far rendere pubblici gli ip !!
mi date una dritta?

IP PUBBLICI : 82.90.157.xx1-xx6 maschera 255.255.255.248
IP ATM: 82.90.35.x9 maschera 255.255.255.0
GW: 82.90.35.x54

ora,

la configurazione che mi permette di navigare è la seguente:

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ENTERPRISE
!
no logging console
enable secret 5 <removed>
enable password 7 <removed>
!
username CRWS_dheeraj privilege 15 password 7 <removed>
username CRWS_Shashi privilege 15 password 7 <removed>
username CRWS_Santhosh privilege 15 password 7 <removed>
username CRWS_Ritesh privilege 15 password 7 <removed>
username CRWS_Giri privilege 15 password 7 <removed>
username CRWS_Sangeetha privilege 15 password 7 <removed>
username CRWS_Ulags privilege 15 password 7 <removed>
username flavio password 7 <removed>
username CRWS_Jaidil privilege 15 password 7 <removed>
no aaa new-model
ip subnet-zero
ip name-server 151.99.125.2
ip name-server 151.99.0.100
ip dhcp excluded-address 10.39.5.120
ip dhcp excluded-address 10.39.5.122
ip dhcp excluded-address 10.39.5.123
ip dhcp excluded-address 10.39.5.124
ip dhcp excluded-address 10.39.5.125
ip dhcp excluded-address 10.39.5.126
ip dhcp excluded-address 10.39.5.127
ip dhcp excluded-address 10.39.5.128
ip dhcp excluded-address 10.39.5.129
ip dhcp excluded-address 10.39.5.144
ip dhcp excluded-address 10.39.5.166
ip dhcp excluded-address 10.39.5.121
!
!
ip audit notify log
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 10.39.5.144 255.255.255.0
ip nat inside
no ip mroute-cache
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address 82.90.35.x9 255.255.255.0
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap password 7 110E1C0A151D190801
ppp pap sent-username [email protected] password 7 121E001810041E002F
ppp ipcp dns request
!
ip
ip nat inside source list 1 interface ATM0 overload
ip nat inside source list 102 interface ATM0.1 overload

ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
ip http server
no ip http secure-server
!

access-list 23 permit 10.39.5.0 0.0.0.255
access-list 102 permit ip 10.39.5.0 0.0.0.255 any
access-list 133 deny ip any any!
scheduler max-task-time 5000
!
end

ORA COME FACCIO A CONFIGURARE GLI IP PUBBLICI ASSEGNATI ?

[TheIrish]

il router (CISCO 837) naviga in internet ma nn riesce a far rendere pubblici gli ip

con questo intendi che non si riesce a far vedere gli ip pubblici all'esterno?
Immaginando le tue azioni avrai provato ad assegnare ad una macchina interna un ip pubblico. Peccato però che facendo così, posizioni la macchina "pubblica" in una subnet diversa dall'ethernet. Per cominciare, aggiungi un ip pubblico (secondary) all'ethernet0.