yoghourt 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Tach Zusammen, ich hab schon ne menge zu dem Thema recherchiert aber keine Lösung für folgendes Problem gefunden. Ich habe 10 Kunden denen ich Opennet-Access über eine SDSL-Leitung verkaufen möchte. Jeder Kunde soll über Ethernet angeschlossen werden und eine feste offizielle IP bekommen. Diese soll jedem einzelnen über NAT zu verfügung stehen. Ich möchte aber nicht jedem Kunden einen eigenen Router hinstellen müssen. Ich habe einen 2651 mit zwei FE. Auf dem einen FE0/0 soll die Verbindung zu der SDSL hergestellt werden auf dem anderen (FE0/1) sollen die Kunden dran hängen. Problem 1: Die Kunden dürfen sich nich gegenseitig in ihre Netze gucken können. Lösung?: Jeder Switchport stellt ein separtes VLAN dar und kann sich nur auf den Port wo FE0/1 dran hängt konnektieren. Das Routing zwischen den Netzen liesse sich ja per Accesslisten ausschalten. Oder? Problem 2: Das IOS akzeptiert nicht das zwei oder mehr Subinterface eine IP aus dem selben Subnet haben. Ich hatte gehofft, dass ich je ein Subinterface ins selbe VLAN packen kann, und somit mehrere IPs aus dem selben Subnet verteilen kann...ging aba nich!! Was schlagt ihr vor? 1000Dank im Voraus Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 18. August 2006 Melden Teilen Geschrieben 18. August 2006 Bitte... Also du hast mehrere Externe IPs die du per NAT nach Intern bringen möchtest. Also ich nehme mal an alle Externen-IPs sind im selben subnetz. Dann konfigurierst du intern private ips aus verschiedenen subnetzen auf deine vlan-interface, und extern das offizielle subnetz. schreibst für die externen ips je ein static nat und fertig. Das Routing läßt sich relativ einfach über access-listen regeln. Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 19. August 2006 Autor Melden Teilen Geschrieben 19. August 2006 das funktioniert doch so nur, wenn ich ein komplettes subnetz auf den router lege, oder? das würde ich gern vermeiden und nur einige ips aus einem größeren subnetz nehmen. das mit den privaten ips: mit verschiedenen subnetzen is klar...aber was is, wenn kunde-a und kunde-b beide die selbe private ip-range verwenden? Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 19. August 2006 Melden Teilen Geschrieben 19. August 2006 das funktioniert doch so nur, wenn ich ein komplettes subnetz auf den router lege, oder? das würde ich gern vermeiden und nur einige ips aus einem größeren subnetz nehmen. das mit den privaten ips: mit verschiedenen subnetzen is klar...aber was is, wenn kunde-a und kunde-b beide die selbe private ip-range verwenden? Hi, also den Bereich zum Provider wirst du mit Sicherheit subnetten. Wenn du 10 Addressen brauchst, dann hast brauchst du mindestens eine /28'er Subnetz, das hat dann 14 Adressen z.B. bei 192.168.1.0/28 wären das 192.168.1.1-14. verstehe ich nicht. Du hast doch gesagt, die sollen sich nicht sehen und sind daher in verschiedenen Vlan's. Dann können sie ja auch nicht im selben Subnetz sein. Fu Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 19. August 2006 Melden Teilen Geschrieben 19. August 2006 ... das hört sich nach einem Fall für "private VLANs" an. Dort wären alle Interface im selben Subnetz, und mann könnte die Switchports trotzdem voneinander isolieren. Du wolltest dieselbe IP auf verschiedenen Subinterfaces vergeben? das hab ich richtig verstanden? Es sollte also mehrfach dieselbe IP auf verschiedenen Interfaces des Routers auftauchen Gruss Robert Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 19. August 2006 Melden Teilen Geschrieben 19. August 2006 Hola, mit vrf klappt das Ciao Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 19. August 2006 Autor Melden Teilen Geschrieben 19. August 2006 Hi, also den Bereich zum Provider wirst du mit Sicherheit subnetten. Wenn du 10 Addressen brauchst, dann hast brauchst du mindestens eine /28'er Subnetz, das hat dann 14 Adressen z.B. bei 192.168.1.0/28 wären das 192.168.1.1-14. verstehe ich nicht. Du hast doch gesagt, die sollen sich nicht sehen und sind daher in verschiedenen Vlan's. Dann können sie ja auch nicht im selben Subnetz sein. Fu Okay, ohne neues Subnet vom Provider gehts also nich. Klar sollen die sich nich sehen. Es könnte ja aber sein das Kunde-A in seinem bereits bestehenden Netz die IP-Range 192.168.1.0/24 verwendet und es bei Kunde-B genauso aussieht. Vschdehsde? :) Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 19. August 2006 Melden Teilen Geschrieben 19. August 2006 Hi, also Setup sieht so aus: inet - nat - subinterfaces - trunk - switch Hört was kommt von draußen rein, geht über static NAT und landet dann auf einem Trunksubinterface. Auf dem Switch sind die Server in verschiedenen Vlans. Wenn die auch noch in gleichen Subnetzen seien sollen, dann geht das vielleicht über eine policy. Jetzt so mal eben auf die Schnelle kann ich dir das nicht sagen. Frag noch mal in ein paar Monaten. :) Fu Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 19. August 2006 Autor Melden Teilen Geschrieben 19. August 2006 Hola, mit vrf klappt das Ciao könntest du dazu noch ein paar mehr worte verlieren? 1000dank Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 vrf war das Stichwort...damit klappts. Allerdings hab ich jetzt das Problem, dass ich nur eine Verbindung bekomme auf dem Subinterface welches in dot1q native läuft. Auf dem Switchport, wo die verschiedenen VLANs aus dem Router rauskommen kann ich ja nur ein VLAN untagged zuweisen. Alle weiteren nur tagged. Und es funktioniert immer nur das ungetaggde. Gibts denn ne möglichkeit das die Pakete bereits aus dem Router ohne VLAN-Tags rauskommen? Mit nem Loopback-IF oder so?!? Oder brauch ich nen Transfernetz? Zur Info: Das Switch ist ein 3Com 3226 (Layer 3). Danke Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hola, wie hast du vrfs auf den Subinterfaces konfiguriert? brgds Thomas Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 Hola, wie hast du vrfs auf den Subinterfaces konfiguriert? brgds Thomas ich sachma strg-v ip subnet-zero ip cef ! ! ! ip vrf kunde-a rd 1000:2 route-target export 1000:2 route-target import 1000:2 ! ip vrf kunde-b rd 1000:3 route-target export 1000:3 route-target import 1000:3 ! ! ! ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 no ip address speed auto full-duplex ! interface FastEthernet0/0.1 description kunde-a outside encapsulation dot1Q 2 ip vrf forwarding kunde-a ip address 62.206.118.243 255.255.255.192 ip nat outside ! interface FastEthernet0/0.2 description kunde-b outside bandwidth 64 encapsulation dot1Q 3 native ip vrf forwarding kunde-b ip address 62.206.118.244 255.255.255.192 ip nat outside ! interface FastEthernet0/0.3 ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.1 description kunde-a inside encapsulation dot1Q 2 ip vrf forwarding kunde-a ip address 10.0.10.1 255.255.255.0 ip nat inside ! interface FastEthernet0/1.2 description kunde-b inside encapsulation dot1Q 3 ip vrf forwarding kunde-b ip address 10.0.20.1 255.255.255.0 ip nat inside ! ip nat inside source list 101 interface FastEthernet0/0.2 vrf kunde-b overload ip nat inside source list 100 interface FastEthernet0/0.1 vrf kunde-a overload ip classless ip route vrf kunde-a 0.0.0.0 0.0.0.0 62.206.118.193 ip route vrf kunde-b 0.0.0.0 0.0.0.0 62.206.118.193 no ip http server ! ! access-list 100 permit ip 10.0.10.0 0.0.0.255 any access-list 101 permit ip 10.0.20.0 0.0.0.255 any Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Hallo, die Konstellation kapier ich nicht ganz. wo gehen die dot1Q Interfaces mit den öffentlichen Addressen hin, wozu benötigst du die ? Kannst doch dann ohne Probleme die Interfaces via Trunk zum router und dann in einen pool Naten via source ohne Trunk richtung INternet (?? wo ist der angeschlossen?). So bleiben auch die öffentlichen IPs immer einem Kunden zugewiesen. Zwischen den Kunden mit ACLs einfach absichern und finito. Denke du benötigst hier kein VRF, da du keine Kunden mit gleichen IP Ranges hast oder irgendwelche anderen überschneidungen. Ciao Thomas Zitieren Link zu diesem Kommentar
yoghourt 10 Geschrieben 22. August 2006 Autor Melden Teilen Geschrieben 22. August 2006 Hallo, die Konstellation kapier ich nicht ganz. wo gehen die dot1Q Interfaces mit den öffentlichen Addressen hin, wozu benötigst du die ? die .1q´s mit den öffentlichen IPs hängen (bzw. sollen) in meinem öffentlichen Subnet hängen. Damit jeder Kunde seine eigene feste IP hat. Kannst doch dann ohne Probleme die Interfaces via Trunk zum router und dann in einen pool Naten via source ohne Trunk richtung INternet das versteh ich nich, wie du das meinst. was meinst du mit via trunk? und in welchen pool soll ich was natn? meinste nen transfernetzt? könnteste mal n kleines beispiel postn? (?? wo ist der angeschlossen?). So bleiben auch die öffentlichen IPs immer einem Kunden zugewiesen. Zwischen den Kunden mit ACLs einfach absichern und finito. Denke du benötigst hier kein VRF, da du keine Kunden mit gleichen IP Ranges hast oder irgendwelche anderen überschneidungen. Thomas Doch, da sind Kunden mit gleichen IP-Ranges. Hab der einfachhalt halber mit zwei verschieden Netzen angefangen zu probieren. Letztlich sollen da 15-20 Kunden drauf konnektiert werden. BTW: Ob für diese Aufgabe mein 2651 mit 96MB Ram ausreichend ist? Danke Anton Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 23. August 2006 Melden Teilen Geschrieben 23. August 2006 Hola, fallst du doch mit VRF machen willst (was du jedoch nicht benötigst) hier die funktionierende Config.. ! ip dhcp use vrf connected ! ip dhcp pool Customer_A import all vrf Customer_A network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custA.de ! ip dhcp pool Customer_B vrf Customer_B network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custB.de ! ip dhcp pool Customer_C vrf Customer_C network 10.1.100.0 255.255.255.0 default-router 10.1.100.1 domain-name custC.de ! ! ip vrf Customer_A rd 10.1.100.0:1 ! ip vrf Customer_B rd 10.1.100.0:2 ! ip vrf Customer_C rd 10.1.100.0:3 ! nterface FastEthernet0/0 description -->to World ip address 192.168.99.100 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet0/1.100 description Customer_A encapsulation dot1Q 100 ip vrf forwarding Customer_A ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! interface FastEthernet0/1.150 description Customer_C encapsulation dot1Q 150 ip vrf forwarding Customer_B ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! interface FastEthernet0/1.200 description Customer_B encapsulation dot1Q 200 ip vrf forwarding Customer_C ip address 10.1.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly ! ip route vrf Customer_A 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ip route vrf Customer_B 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ip route vrf Customer_C 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1 ! ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0 ip nat pool insideB 192.168.99.111 192.168.99.111 netmask 255.255.255.0 ip nat pool insideC 192.168.99.112 192.168.99.112 netmask 255.255.255.0 ip nat inside source list 1 pool insideA vrf Customer_A overload ip nat inside source list 1 pool insideB vrf Customer_B overload ip nat inside source list 1 pool insideC vrf Customer_C overload ! access-list 1 permit 10.0.0.0 0.255.255.255 ! Gruß Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.