Подскажите неопытному, в связи с импортозамещением и экономией закупили маршрутизаторы ESR.
И встала задача перевезти конфиг внешнего маршрутизатора, на который заходят BGP от глобального провайдера и линк на местную сеть республиканского провайдера. Столкнулся с некоторыми трудностями по настройке. Самая главная проблема это куча In и Out ACL на интерфейсах. IN в общем и целом понятно как делается, разве за исключением правила ( permit tcp any neq 22 3128 10050 host MyNet.IP1), а вот как правильно сделать правила OUT сложнее, и еще не очень разобрался с NAT, в конфиге у линка к местному провайдеру стоит ip nat outside, а в локалку ip nat inside. В стыке с этим маршрутизатором работает еще один, на котором сделано куча ната с loopback-интерфейсов
Помогите пожалуйста по ACL правилам, мелким настройкам интерфесов и нату.
Код: Выделить всё
interface GigabitEthernet0/0
description *** Выход к местному провайдеру для GRE ***
ip access-group MIn in
ip access-group MOut out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
no keepalive
!
interface GigabitEthernet0/1
description *** Стык с локалкой ***
ip accounting output-packets
ip nat inside
ip virtual-reassembly
ip route-cache flow
no keepalive
!
interface GigabitEthernet0/0/0
description *** Стык с провайдером BGP ***
ip address secondary
ip address
ip access-group RIn in
ip access-group ROut out
no ip redirects
no ip unreachables
no ip proxy-arp
negotiation auto
!
ip nat inside source static IP1 IP2
ip access-list extended MIn
evaluate RMIn
permit gre host IP3 host IP2
permit icmp IP_RANGE1 host IP2
ip access-list extended MOut
evaluate RMOut
permit gre host IP2 host IP3
permit icmp host IP2 IP_RANGE1
ip access-list extended RIn
permit tcp any neq 22 3128 10050 host MyNet.IP1
permit tcp any host MYNet.IP2
deny tcp any any eq 445
evaluate RRIn
permit ip host IP3 host MyNetIP1 reflect RROut
permit ip host #.#.#.# host #.#.#.# reflect RROut
ip access-list extended ROut
permit ip host MyNet.128 any
permit ip host MyNet.234 any reflect RRUIn
evaluate RROut
permit udp MyNet any reflect RRIn
access-list 1 permit MyNetIP.219
access-list 1 permit MyNetIP.240