Cisco 877 - Config. ip pubblico e routing su singola eth

[samuelier]

Il router e' un Cisco 877-K9: mantenendo questa configurazione (funzionante), dovrei configurare una sola eth con uno degli ip pubblici assegnati (che per ora nella configurazione non compaiono), mantenendo le altre sulla rete privata, e indirizzare correttamente tutto il traffico da e per questo ip pubblico su questa porta. Tutto questo per connetterla direttamente ad un centralino VoIp
Non mi e' molto chiaro dov'e' dichiarato quali eth vengono associate alla VLan esistente: prende automaticamente quelle per cui non viene specificata nessuna configurazione sotto alla riga (ad esempio) "interface FastEthernet3"?
Potete darmi qualche dritta sulle righe di configurazione della interfaccia, e sul routing?

Questa e' la parte centrale della configurazione, ho tagliato solo le cose completamente irrilevanti in testa e in coda:

------------------------------------------------------------

ip subnet-zero
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.5.1 192.168.5.24
ip dhcp excluded-address 192.168.5.36 192.168.5.254
!
ip dhcp pool pool1
import all
network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name ***********
ip name-server 208.67.222.222
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-***********
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-***********
revocation-check none
rsakeypair TP-self-signed-***********
!
!
crypto pki certificate chain TP-self-signed-***********
certificate self-signed 01
***********
quit
username *********** privilege 15 secret 5 ***********
!
!
!
!
!
interface ATM0
description Adsl ***********
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description Wind
ip address X.X.X.90 255.255.255.192
ip nat outside
no ip route-cache
no ip mroute-cache
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description Private Lan
ip address 192.168.5.1 255.255.255.0
no ip redirects
ip nat inside
ip pim sparse-dense-mode
no ip route-cache cef
no ip route-cache
no ip mroute-cache
!
ip route 0.0.0.0 0.0.0.0 X.X.X.65
!
no ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 101 interface ATM0.1 overload
!
logging trap debugging
access-list 3 permit 161.27.15.0 0.0.0.255
access-list 101 permit ip 192.168.5.0 0.0.0.255 any
!

--
Samuele

[daniele103]

Ciao per fare quello che ti serve devi prima configurare un'altra interface vlan alla quale associare la tua subnet pubblica:

router#conf t
router(config)#interface vlan 2
router(config-if)#ip address x.x.x.x x.x.x.x

poi devi associare la nuova int vlan all'interfaccia fisica che ti interessa:

router(config)#int fastEthernet 1
router(config-if)#switchport mode access
router(config-if)#switchport access vlan 2
router(config-if)#no shut

A questo punto quando colleghi l'HOST all'interfaccia fast 1 (in questo caso) vedrai andare up l' int vlan 2, il routing va da sé perché la rete viene vista come direttamente connessa. (Le rimanenti 3 fast rimarranno associate alla VLAN nativa che é la 1 per default.)

Ciao fammi sapere se va.
P.S.: Ho dato per scontato che il centraliono Voip non gestisce i tag delle VLAN.

[samuelier]

Grazie infinite per la spiegazione, oggi pomeriggio posso provarla. Ho un solo timore: mi sembra troppo semplice per essere vero

[samuelier]

Problema: l'877 con AdvSecurity non supporta piu' di una Vlan, dovrei mettere l'IOS con AdvIpServices.. Esiste una soluzione per aggirare il problema senza cambiare IOS? Non posso gestire la singola interfaccia eth su cui devo mettere l'ip pubblico senza creare una Vlan? O in alternativa, anche gestire la singola interfaccia eth su cui ho l'ip locale (che si connette ad uno switch) senza Vlan..

[Wizard]

Sinceramente, io, nn ho ben capito cosa ti serve...
Il centralino deve stare in una rete diversa dalla 192.168.5.0/24?
Se è così chiaramente il top sarebbe gestire una altra vlan ma ti serve la ios plus! Puoi cmq risolvere dando un ip secondario alla vlan 1

[samuelier]

Esatto, il centralino deve essere in una rete differente.. Domanda idiota: ma sull'877 non posso fare a meno delle Vlan e gestire ogni eth in maniera indipendente? Le funzioni di switch del Cisco non mi servono, devo solo avere una porta con un ip assegnato 192.168.5.0/24 per andare in uno switch esterno ed una con un ip pubblico per andare al PBX.

Ho vaghi ricordi del fatto che usare gli ip secondari non sia cosa buona e giusta, quando sia possibile evitarlo

[Wizard]

Domanda idiota: ma sull'877 non posso fare a meno delle Vlan e gestire ogni eth in maniera indipendente?

No, nn puoi farne a meno!

Se nn hai la possibilità di installare la ios plus l'unica è un ip secodario di classe 192.168.5.0/24 sulla attuale vlan 1...

[samuelier]

Mi parli di IOS PLus, che se non sbaglio dovrei acquistare a parte.. Pero' frugando un po' in giro credo di aver capito che sarebbe sufficiente la Advanced Ip Services per gestire 4 Vlan sull'877. Quello che non capisco e' se cambiando l'attuale Advanced Security perderei alcune funzionalita': non trovo una tabella comparativa.

[daniele103]

Non prende i comandi che ti ho scritto? perché li ho provati su un 877-k9 prima di postare e se non sbaglio montava su una advsecurity... prima di martedì non posso verificarlo ma direi di si...

[samuelier]

Confermo che non e' possibile creare piu' di una Vlan (ho guardato in qualche altro forum) con l'AdvSecurity..
Accedendo al Vlan database il mio 877 riporta "Maximum VLANs supported: 1", ed ovviamente non e' possibile creare una Vlan 2. Oddio.. in realta' la si puo' creare e rimane in config, ma poi non le si puo' associare nessuna interfaccia perche' la Vlan 2 risulta non esistente nel database

[Wizard]

Non prende i comandi che ti ho scritto? perché li ho provati su un 877-k9 prima di postare e se non sbaglio montava su una advsecurity... prima di martedì non posso verificarlo ma direi di si...

Facciamo un po' di chiarezza...
Per l'877 ad oggi esistono solo 2 IOS, la advanced security e la Advanced Ip Services (chiamata volgarmente la plus...).
La Advanced Ip Services è assolutamente superiore della advanced security quindi tutto quello che hai ora non lo perdi assolutamente!

Io consiglio sempre, x un 877 di prendere il bundle al momento del acquisto così hai 877 e ios plus!

[daniele103]

Chiarimento esatto (manco a dirlo ) la feature é superiore quindi di sicuro non perdi nulla. Martedì riguardo l'IOS (ma mi sà che, a sto punto, si tratti di una adv ip serv, sa va sans dire)

[daniele103]

Ok ho fatto la verifiche del caso, confermo che il router che ho provato monta una ADV IP SERVICE. Confermo anche che la conf é funzionante, tuttavia nel post precedente mi sono scordato di scrivere i comandi relativi al VLAN database (che é necessario implementere se non non va una mazza):

Dall'EXEC MODE (non dal configuration terminal!) si entra nel VLAN database, si setta il vtp transparent mode (non si sa mai) e poi si aggiunge la VLAN desiderata (nel nostro esempio la 2).

Router#vlan database
Router(vlan)#vtp transparent
Router(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
Router(vlan)#exit

L'IOS che ho usato é per la precisione la c870-advipservicesk9-mz.124-6.T3.bin attenzione perché richiede come caratteristica minima del router 128M di Ram e 28M di Flash.
buona fortuna