forum.opennet.ru

Составление сообщения

Исходное сообщение

"NAT: route-map"
Отправлено motok, 02-Окт-13 15:41

>> добавляю новый ip route с метрикой ...
>> в основном акцес листе запретить доступ этому аипи.
>> создать дополнительный лист, внести туда этот аипи.
>> создать доп роут мап (для основного канала уже есть)для этого листа.
>> прописываем next-hop .....
>> вешаем мап на интерфейс второго выхода в инет.
>> Этого хватит?
> Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...,
> только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).
Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114
ip flow-cache timeout active 1
ip domain name orto.ru
ip name-server 84.47.177.77
ip name-server 85.91.99.99
ip name-server 192.168.3.5
ip name-server 192.168.6.1
ip inspect name block_url http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .youtube.ru
ip urlfilter audit-trail
ip cef
no ipv6 cef
!
!
policy-map global_policy
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to84.47.
set peer 84.47.
set transform-set ESP-3DES-SHA1
match address 103
!
!
!
!
!
interface FastEthernet0
description int_ROC
switchport access vlan 3
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description second_int
switchport access vlan 2
no ip address
!
interface FastEthernet4
description WAN$ETH-WAN$
ip address 84.47.** 255.255.255.248
ip nat outside
ip inspect block_url out
ip virtual-reassembly in
duplex auto
speed auto
crypto map SDM_CMAP_2
!
interface Vlan1
description local
ip address 192.168.3.3 255.255.255.0
ip access-group 105 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1360
!
interface Vlan2
description second_int
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
shutdown
!
interface Vlan3
description ROC
ip address 192.168.6.2 255.255.255.0
ip nat outside
ip virtual-reassembly in

ip forward-protocol nd
!
ip flow-export version 5
ip flow-export destination 192.168.3.5 9996
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source route-map vlan3 interface Vlan3 overload
ip route 0.0.0.0 0.0.0.0 84.47.156.233
ip route 0.0.0.0 0.0.0.0 192.168.6.1 10
!
access-list 104 remark CCP_ACL Category=18
access-list 104 permit tcp any host 195.34.32.101 eq smtp
access-list 104 remark block_smtp
access-list 104 deny   tcp any any eq smtp
access-list 104 remark test
access-list 104 deny   ip host 192.168.3.114 any
access-list 104 remark block_5.255.225.12
access-list 104 deny   tcp any host 5.255.225.12
access-list 104 remark IPSec Rule
access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 any
access-list 106 permit ip host 192.168.3.114 any
no cdp run
!
route-map vlan3 permit 1
match ip address 106
match interface Vlan3
set ip next-hop 192.168.6.1
!
route-map SDM_RMAP_1 permit 1
match ip address 104
match interface FastEthernet4
set ip next-hop 84.47.156.233

Исходное сообщение
"NAT: route-map" Отправлено motok, 02-Окт-13 15:41
>> добавляю новый ip route с метрикой ... >> в основном акцес листе запретить доступ этому аипи. >> создать дополнительный лист, внести туда этот аипи. >> создать доп роут мап (для основного канала уже есть)для этого листа. >> прописываем next-hop ..... >> вешаем мап на интерфейс второго выхода в инет. >> Этого хватит? > Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа > http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec..., > только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR). Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114 ip flow-cache timeout active 1 ip domain name orto.ru ip name-server 84.47.177.77 ip name-server 85.91.99.99 ip name-server 192.168.3.5 ip name-server 192.168.6.1 ip inspect name block_url http urlfilter alert on ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .youtube.ru ip urlfilter audit-trail ip cef no ipv6 cef ! ! policy-map global_policy ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key ! ! crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac mode tunnel ! ! ! crypto map SDM_CMAP_2 1 ipsec-isakmp description Tunnel to84.47. set peer 84.47. set transform-set ESP-3DES-SHA1 match address 103 ! ! ! ! ! interface FastEthernet0 description int_ROC switchport access vlan 3 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 description second_int switchport access vlan 2 no ip address ! interface FastEthernet4 description WAN$ETH-WAN$ ip address 84.47.** 255.255.255.248 ip nat outside ip inspect block_url out ip virtual-reassembly in duplex auto speed auto crypto map SDM_CMAP_2 ! interface Vlan1 description local ip address 192.168.3.3 255.255.255.0 ip access-group 105 in ip flow ingress ip flow egress ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1360 ! interface Vlan2 description second_int ip address 192.168.1.2 255.255.255.0 ip nat outside ip virtual-reassembly in shutdown ! interface Vlan3 description ROC ip address 192.168.6.2 255.255.255.0 ip nat outside ip virtual-reassembly in ip forward-protocol nd ! ip flow-export version 5 ip flow-export destination 192.168.3.5 9996 ! ip dns server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip nat inside source route-map vlan3 interface Vlan3 overload ip route 0.0.0.0 0.0.0.0 84.47.156.233 ip route 0.0.0.0 0.0.0.0 192.168.6.1 10 ! access-list 104 remark CCP_ACL Category=18 access-list 104 permit tcp any host 195.34.32.101 eq smtp access-list 104 remark block_smtp access-list 104 deny tcp any any eq smtp access-list 104 remark test access-list 104 deny ip host 192.168.3.114 any access-list 104 remark block_5.255.225.12 access-list 104 deny tcp any host 5.255.225.12 access-list 104 remark IPSec Rule access-list 104 deny ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255 access-list 104 permit ip 192.168.3.0 0.0.0.255 any access-list 106 permit ip host 192.168.3.114 any no cdp run ! route-map vlan3 permit 1 match ip address 106 match interface Vlan3 set ip next-hop 192.168.6.1 ! route-map SDM_RMAP_1 permit 1 match ip address 104 match interface FastEthernet4 set ip next-hop 84.47.156.233

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> добавляю новый ip route с метрикой ... >>> в основном акцес листе запретить доступ этому аипи. >>> создать дополнительный лист, внести туда этот аипи. >>> создать доп роут мап (для основного канала уже есть)для этого листа. >>> прописываем next-hop ..... >>> вешаем мап на интерфейс второго выхода в инет. >>> Этого хватит? >> Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа >> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080093fca.shtml, >> только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR). > Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114 > ip flow-cache timeout active 1 > ip domain name orto.ru > ip name-server 84.47.177.77 > ip name-server 85.91.99.99 > ip name-server 192.168.3.5 > ip name-server 192.168.6.1 > ip inspect name block_url http urlfilter alert on > ip urlfilter allow-mode on > ip urlfilter cache 0 > ip urlfilter exclusive-domain deny .youtube.ru > ip urlfilter audit-trail > ip cef > no ipv6 cef > ! > ! > policy-map global_policy > ! > ! > crypto isakmp policy 1 > encr 3des > authentication pre-share > group 2 > crypto isakmp key > ! > ! > crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac > mode tunnel > ! > ! > ! > crypto map SDM_CMAP_2 1 ipsec-isakmp > description Tunnel to84.47. > set peer 84.47. > set transform-set ESP-3DES-SHA1 > match address 103 > ! > ! > ! > ! > ! > interface FastEthernet0 > description int_ROC > switchport access vlan 3 > no ip address > ! > interface FastEthernet1 > no ip address > ! > interface FastEthernet2 > no ip address > ! > interface FastEthernet3 > description second_int > switchport access vlan 2 > no ip address > ! > interface FastEthernet4 > description WAN$ETH-WAN$ > ip address 84.47.** 255.255.255.248 > ip nat outside > ip inspect block_url out > ip virtual-reassembly in > duplex auto > speed auto > crypto map SDM_CMAP_2 > ! > interface Vlan1 > description local > ip address 192.168.3.3 255.255.255.0 > ip access-group 105 in > ip flow ingress > ip flow egress > ip nat inside > ip virtual-reassembly in > ip tcp adjust-mss 1360 > ! > interface Vlan2 > description second_int > ip address 192.168.1.2 255.255.255.0 > ip nat outside > ip virtual-reassembly in > shutdown > ! > interface Vlan3 > description ROC > ip address 192.168.6.2 255.255.255.0 > ip nat outside > ip virtual-reassembly in > ip forward-protocol nd > ! > ip flow-export version 5 > ip flow-export destination 192.168.3.5 9996 > ! > ip dns server > ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload > ip nat inside source route-map vlan3 interface Vlan3 overload > ip route 0.0.0.0 0.0.0.0 84.47.156.233 > ip route 0.0.0.0 0.0.0.0 192.168.6.1 10 > ! > access-list 104 remark CCP_ACL Category=18 > access-list 104 permit tcp any host 195.34.32.101 eq smtp > access-list 104 remark block_smtp > access-list 104 deny tcp any any eq smtp > access-list 104 remark test > access-list 104 deny ip host 192.168.3.114 any > access-list 104 remark block_5.255.225.12 > access-list 104 deny tcp any host 5.255.225.12 > access-list 104 remark IPSec Rule > access-list 104 deny ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255 > access-list 104 permit ip 192.168.3.0 0.0.0.255 any > access-list 106 permit ip host 192.168.3.114 any > no cdp run > ! > route-map vlan3 permit 1 > match ip address 106 > match interface Vlan3 > set ip next-hop 192.168.6.1 > ! > route-map SDM_RMAP_1 permit 1 > match ip address 104 > match interface FastEthernet4 > set ip next-hop 84.47.156.233
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру