CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

2 Router e instradamento traffico a seconda della destinaz..

https://www.ciscoforums.it/viewtopic.php?f=10&t=9347

Pagina 1 di 2

2 Router e instradamento traffico a seconda della destinaz..

Inviato: mar 19 ago , 2008 5:42 pm
da mazzuand
Salve a tutti.

Premetto che non sono un esperto di questo campo...

Ho il seguente problema:

Un router 2811 collegato ad internet e un altro 877 blindato con una connessione ad internet fornita dalla regione

ho la necessità di far passare il traffico verso alcuni siti/servizi per il router blindato

Codice: Seleziona tutto

INTERNET 1   INTERNET 2
|                       |
|                       |
|                       | 
2811----------------877
|
|
LAN
la mia conf per sommi capi è:


interface FastEthernet0/0
description ************** LAN *******************
ip address 172.18.1.254 255.255.255.0
ip access-group 100 in
ip nat inside
duplex full
speed 100
no keepalive
!

[..]

interface FastEthernet0/2/3
description ************** LAN SERVICE 4 (VLAN4)*********
switchport access vlan 4
no ip address
duplex full
speed 100
no keepalive
!
[..]

!
interface ATM0/3/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/3/0.1 point-to-point
description ******** TGU: 0578-13340485 *********
ip address 88.39.X.X 255.255.255.252
ip access-group FROM-INTERNET in
ip nat outside
pvc 8/35
encapsulation aal5snap
!
!

[..]

interface Vlan4
ip address 159.213.X.X 255.255.255.240
ip access-group FROM-RTRT in
ip nat outside
!

[..]

ip classless
ip route 0.0.0.0 0.0.0.0 ATM0/3/0.1
ip route 80.82.0.0 255.255.254.0 159.213.X.Y
ip route 80.82.3.0 255.255.255.0 159.213.X.Y
ip route 80.82.4.0 255.255.252.0 159.213.X.Y
ip route 80.82.8.0 255.255.248.0 159.213.X.Y
ip route 80.253.32.0 255.255.240.0 159.213.X.Y <-- ip pubblico del 877

[..]

ip nat pool INTERNET 88.39.X.X 88.39.X. netmask 255.255.255.248
ip nat pool RTRT 159.213.X.X 159.213.X.X netmask 255.255.255.240
ip nat inside source list TO-INTERNET pool INTERNET overload
ip nat inside source list TO-RTRT pool RTRT overload

[..]

ip access-list extended FROM-INTERNET
permit ip any host 88.39.X.X
[..]
ip access-list extended FROM-RTRT
permit ip any host 159.213.X.X <-- ip pubblico assegnato alla Vlan4
[..]
ip access-list extended TO-INTERNET
permit ip 172.18.1.0 0.0.0.255 any
[..]
ip access-list extended TO-RTRT
permit ip 172.18.1.0 0.0.0.255 any
!


Solo che se collego un pc al router 877 e gli do un ip pubblico navigo tranquillamente sui siti che mi interessano (per cui il router 877 è configurato bene)

Con la configurazione di cui sopra con un qualsiasi pc della lan riesco a pingare il 877 ma non mi permette di navigare sui siti che mi interessano


dove sbaglio?

Inviato: mar 19 ago , 2008 10:24 pm
da Wizard
159.213.X.Y è l'IP della vlan 1 del 877?

Inviato: mer 20 ago , 2008 7:41 am
da mazzuand
Wizard ha scritto:159.213.X.Y è l'IP della vlan 1 del 877?
esatto!

Inviato: mer 20 ago , 2008 9:08 am
da Wizard
Il problema non è nella acl FROM-RTRT?
Prova a levare l'access group e riprovare...

Il resto (rotta e nat) direi che sono a posto...

Inviato: mer 20 ago , 2008 9:28 am
da mazzuand
Wizard ha scritto:Il problema non è nella acl FROM-RTRT?
Prova a levare l'access group e riprovare...

Il resto (rotta e nat) direi che sono a posto...
ho provato ma non cambia nulla...

ho provato a fare un traceroute su uno dei siti che mi interessano e mi risponde correttamente.
L' instradamento avviene ma non riesco comunque a navigare...

Credo proprio che mi manchi una riga che dica in Cischese :

"Bas...do di un router, fai passare TUTTO il traffico che va verso X e ritorna da X per quella strada!"

Inviato: mer 20 ago , 2008 9:38 am
da Wizard
Se il trace è tutto corretto (cioè, arriva a destinazione) vuole dire che il routing è corretto...

Inviato: mer 20 ago , 2008 10:11 am
da mazzuand
Si, ma che cosa è che non mi fa navigare?

Inviato: mer 20 ago , 2008 10:17 am
da Wizard
Bella domanda...
In sostanza, se provi un trace o un ping ad un sito funziona ma se provi a navigare no?

Correzioni

Inviato: mer 20 ago , 2008 10:48 am
da mazzuand
******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2



*****Correzione/Precisazione 2...

Ho provato a fare una rotta per passare dal router 2 quando vado su un mio server (diverso da quello della regione)

ip route 69.4.237.36 255.255.255.255 159.213.X.Y

e questo non mi risponde ne a ping ne a trace

la prova del trace di prima probabilmente non era attendibile perchè la destinazione era su un sito della regione e aveva un ip della stessa classe del mio ip pubblico sul router 2

ricapitolando:
trace su sito regionale dirottato --->ok
navigazione su sito regionale dirottato --->no

trace su sito mio dirottato --->no
navigazione su sito mio dirottato --->no

Inviato: mer 20 ago , 2008 9:47 pm
da Wizard
******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2
Già questa cosa non ha senso!
Se levi l access-gr levi tutte le acl da quella vlan e quindi è tutto permesso...

Re: Correzioni

Inviato: gio 21 ago , 2008 8:05 am
da Mocuisla82
mazzuand ha scritto:******Correzione 1...

se tolgo
ip access-group FROM-RTRT in
dalla vlan4

non raggiungo piu il router 2



*****Correzione/Precisazione 2...

Ho provato a fare una rotta per passare dal router 2 quando vado su un mio server (diverso da quello della regione)

ip route 69.4.237.36 255.255.255.255 159.213.X.Y

e questo non mi risponde ne a ping ne a trace

la prova del trace di prima probabilmente non era attendibile perchè la destinazione era su un sito della regione e aveva un ip della stessa classe del mio ip pubblico sul router 2

ricapitolando:
trace su sito regionale dirottato --->ok
navigazione su sito regionale dirottato --->no

trace su sito mio dirottato --->no
navigazione su sito mio dirottato --->no
Ciao
Forse sto per dire una minchiata mah cmq
hai provato a fare una telnet sul sito uscendo sia come LAN che come WAN ? Magari specificando la porta ?

aggiornamento...

Inviato: gio 21 ago , 2008 10:58 am
da mazzuand
nuove info:

sh ip nat translation | include 172.18.1.180
mentre faccio un ping verso un sito di quelli interessati...

vedo che mi natta con l' ip pubblico sbagliato
quello che mi assegna con la connessione primaria (INTERNET)
e non quello che mi dovrebbe assegnare con lla connessione (RTRT)
nonostante la rotta assegnata sia giusta (tracert)

Inviato: gio 21 ago , 2008 11:03 am
da Wizard
ip nat inside source list TO-INTERNET pool INTERNET overload
ip nat inside source list TO-RTRT pool RTRT overload

ip access-list extended TO-INTERNET
permit ip 172.18.1.0 0.0.0.255 any

ip access-list extended TO-RTRT
permit ip 172.18.1.0 0.0.0.255 any
Io proverei con una policy map invece che in questo modo!

Inviato: gio 21 ago , 2008 11:05 am
da mazzuand
Ciao
Forse sto per dire una minchiata mah cmq
hai provato a fare una telnet sul sito uscendo sia come LAN che come WAN ? Magari specificando la porta ?
niente da fare dalla lan...

se mi do un ip pubblico e mi collego direttamente al router blindato funziona tutto

Inviato: gio 21 ago , 2008 11:32 am
da Wizard
Io proverei una policy map fatta così:

Codice: Seleziona tutto

access-list 101 permit ip 172.18.1.0 0.0.0.255 80.82.0.0 0.0.1.255
access-list 101 permit ip 172.18.1.0 0.0.0.255 ....

route-map 877 permit 10
 match ip address 101
 set ip precedence priority
 set ip next-hop 159.213.X.Y

interface xxx
ip policy route-map 877
Chiaramente devi pulire la config dalle rotte statiche di troppo
Tutti gli orari sono UTC+01:00
Pagina 1 di 2

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it