вопрос по маршрутизатору esr

[diakon2]

добрый день!

провайдер выдает нам подсеть /28, на маршрутизаторе есть 12 вланов, можно ли как нибуть пустить трафик из каждого влан по личному ип адресу а не через один? сейчас используется статическая маршрутизация.

и еще такой момент - в сети не исполдьзуется нат, все срые подсети из тех двенадцыати вланов просто маршрутизируются через шлюз по умолчанию выданый оператором.


с уважением Владимир

[leonid_zarkov]

Здравствуйте!

Если я правильно понял вашу схему, то можно организовать SNAT на ESR.

Код: Выделить всё

object-group network lan1
  ip address-range 192.168.0.1-192.168.0.254
exit
object-group network lan2
  ip address-range 192.168.1.1-192.168.1.254
exit

interface gigabitethernet 1/0/4
  security-zone untrusted
  ip address 192.0.2.13/28
exit

nat source
  pool lan1
    ip address-range 192.0.2.1
  exit
  pool lan2
    ip address-range 192.0.2.2
  exit
  ruleset toISP
    to zone untrusted
    rule 1
      match protocol any
      match source-address lan1
      match destination-address any
      action source-nat pool lan1
      enable
    exit
    rule 2
      match protocol any
      match source-address lan2
      match destination-address any
      action source-nat pool lan2
      enable
    exit
  exit
exit

ip route 0.0.0.0/0 192.0.2.14


Где для первого VLAN подсеть 192.168.0.0/24, для воторого 192.168.1.0/24 и т.д.
Соответственно IP будем брать из выданного пула /28 для первой подсети 192.0.2.1/28, для второй 192.0.2.2/28.
И маршрут через шлюз по умолчанию 192.0.2.14/28.
В примере 2 правила, для вашего случая их будет 12.

[diakon2]

Спасибо огромное, попробуем)

[diakon2]

небольшое уточнение, почему вы тут используете именно 13 адрес?

Код: Выделить всё

interface gigabitethernet 1/0/4
  security-zone untrusted
  ip address 192.0.2.13/28
exit

можно ли там использовать адрес кончающийся на .1 а клиентам выдавать с 2 и далее ? и для чего он вообще указывается? можно ли обойтись без него? и достаточно ли его одного или надо указывать там все с 1 по 13?


с уважением Владимир.

[leonid_zarkov]

Все зависит от схемы сети, как вы собираетесь ее организовать на L2 или L3.
В данном примере из выданного пула белых IP: один берем для маршрутизатора и он будет выступать в роли шлюза для всех хостов в нашей сети - 192.0.2.13/28 (можно взять .1 а остальные для клиентов, это при учете что у оператора осталься IP 192.0.2.14/28).
Задача была, трафик из каждого VLAN направлять от собственного IP из пула - значить нужно навешивать необходимый IP на определенный трафик - NAT.
И просто статика: ip route 0.0.0.0/0 192.0.2.14 (исходя из IP адресации примера).

Указать нужно только один IP, остальные будут использовать хосты.

[diakon2]

Спасибо за ответ, именно это и нужно было, сейчас все работает но есть вопрос, на оборудовании оператора видны будут серые подсети клиента или наши внешние ип адреса?

если учесть что натится все у них а от нас только статикой все к ним маршрутизируется. вот в предложеном примере, все что от нас пойдет на вышестоящего, будет выглядить как будто за натом или нет?

сейчас у маршрутизатора на ван интерфейсе висит внешний ип, статический роут default-gw и тот код что вы дали но с нашими ип адресами

[leonid_zarkov]

на оборудовании оператора видны будут серые подсети клиента или наши внешние ип адреса?

На оборудовании оператора будут видны внешние IP выданные из подсети /28.

если учесть что натится все у них а от нас только статикой все к ним маршрутизируется. вот в предложеном примере, все что от нас пойдет на вышестоящего, будет выглядить как будто за натом или нет?

Верно, серые подсети будут за натом. В примере используется nat source.

[diakon2]

а без ната можно сделать чтото подобное? нам нельзя использовать нат, к оператору должны приходить только серые ипы

[leonid_zarkov]

а без ната можно сделать чтото подобное? нам нельзя использовать нат, к оператору должны приходить только серые ипы

Т.е. NAT на стороне вышего оператора? Тогда распределением ваших серых подсетей (различных VLAN) должен заниматься NAT на оборудовании оператора.

У вас как организован аплинк с оператором? Почему вам нужно отдавать ему серые IP, и в тоже время он выдал вам пул белых IP?

[diakon2]

да, нат на стороне оператора, такая схема сормирования. все серые сети заведены у нас.

на маршрутизаторе на одном порту весит аплинк от оператора, на нем настроен внешний ип, на втором интерфейсе создана куча сабинтерфейсов и они все смотрят в серые сети. на маршрутизаторе прописан статический маршрут через шлюз по умолчанию. у нас была сетка/30 а сделали /28 чтобы некоторых пользователей пускать через один ип а остальных через другой.

[leonid_zarkov]

Просьба выслать дополнительную информацию в ЛС.

[leonid_zarkov]

Вам нужно настроить policy base routing: раздел в руководстве пользователя "7.15 Настройка политики маршрутизации PBR"
http://eltex.nsk.ru/upload/iblock/702/e ... _1.0.8.pdf
В качестве next-hop указать определенный IP, находящийся на стороне оператора.