Настройка сети в организации. Часть 3
В данной статье мы рассмотрим подключение к ISP провайдеру и динамическую маршрутизацию.
Итак, добавим отдельную сеть ISP провайдера.
добавим 4-е маршрутизатора и соединим их вместе.
Будем использовать следующие адреса:
| 172.16.1.0/24 |
| 172.16.2.0/24 |
| 172.16.3.0/24 |
| 172.16.4.0/24 |
| 172.16.5.0/24 |
| 172.16.5.0/24 |
| 172.16.7.0/24 |
| 172.16.8.0/24 |
| 172.16.9.0/24 |
| 172.16.10.0/24 |
| 172.16.11.0/24 |
Перейдем к настройке назначим адреса первому роутеру.
|
1 |
ISP-R1(config)#interface serial 2/0 |
|
1 |
ISP-R1(config-if)#ip address 172.16.1.55 255.255.255.0 |
|
1 |
ISP-R1(config-if)#no sh |
Настраиваем 2-й интерфейс.
|
1 |
ISP-R1(config)#interface serial 2/1 |
|
1 |
ISP-R1(config-if)#ip address 172.16.2.55 255.255.255.0 |
|
1 |
ISP-R1(config-if)#no sh |
Далее настраиваем интерфейсы на всех маршрутизаторах чтобы получилось как на рисунке:
С роутера ISP-R1 должны идти пинги на 172.16.2.56 и 172.16.1.56.
На другие сети 172.16.3.0 и 172.16.4.0 пинг идти не будет.
Исправим эту ситуацию с помощью динамической маршрутизации, поможет нам протокол OSPF.
Первое, что нам нужно сделать — запустить процесс OSPF маршрутизаторе.
|
1 |
ISP-R1(config)#router ospf 1 |
Далее указываем сети которые наш роутер будет анонсировать.
|
1 |
ISP-R1(config-router)#network 172.16.2.0 0.0.0.255 area 0 |
|
1 |
ISP-R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 |
|
1 |
ISP-R1(config-router)# |
Проводим аналогичные настройки на всех маршрутизаторах.
Обратите внимание что для каждого роутера указываются свои сети. Также обратите внимание что в сети мы указываем обратную маску.
В процессе настройки вы будете видеть следующую надпись:
|
1 |
*Jan 23 13:11:33.959: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.2.55 on Serial2/1 from LOADING to FULL, Loading Done |
Это означает что роутер загрузил настройки (информацию о маршрутизируемых сетях) с роутера соседа.
Теперь когда вы настроили OSPF на всех роутерах запустите пинг с ISP-R3 на адрес 172.16.2.56.
|
1 2 3 4 5 6 |
ISP-R3#ping 172.16.2.56 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.2.56, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 128/187/272 ms ISP-R3# |
Как видите пинг идет.
Просмотреть все маршруты можно командой:
|
1 |
ISP-R1#sh ip route |
Теперь маршрутизаторы анонсируют друг другу известные им сети.
На основе динамических маршрутов роутеры строят пути прохождения пакетов.
Также роутеры проверяют доступность друг друга, если кто-то из них умрет маршрут уже пойдет по другому пути, через доступный роутер.
Теперь добавим в нашу схему еще один сегмент ISP сети.
Добавим еще 4 роутера и настроим сеть как показано на рисунке.
Теперь мы настроим протокол динамической маршрутизации EIGRP.
Настройка практически идентична OSPF
|
1 |
ISP-R5(config)#router eigrp 1 |
|
1 |
ISP-R5(config-router)#no auto-summary |
|
1 |
ISP-R5(config-router)#network 172.16.6.0 0.0.0.255 |
|
1 |
ISP-R5(config-router)#network 172.16.7.0 0.0.0.255 |
Такую настройку нужно произвести на каждом роутере.
Соответственно анонсированные сети на роутерах будут разные.
В процессе настройки будут появляться сообщения:
|
1 |
*Jan 23 14:00:05.743: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.7.55 (Serial2/1) is up: new adjacency |
Теперь можно проверить пинг.
|
1 2 3 4 5 6 |
ISP-R7(config-router)#do ping 172.16.8.55 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.8.55, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/64 ms ISP-R7(config-router)# |
Все работает корректно.
Теперь рассмотрим как соединить 2-е наши сети.
Рассмотрим как соединить OSPF и EIGRP.
Соединяем сети и настраиваем интерфейсы как на рисунке.
|
1 |
ISP-R7(config)#interface serial 2/2 |
|
1 |
ISP-R7(config-if)#ip address 172.16.10.55 255.255.255.0 |
|
1 |
ISP-R7(config-if)#no sh |
|
1 |
ISP-R2(config)#interface serial 2/2 |
|
1 |
ISP-R2(config-if)#ip address 172.16.10.56 255.255.255.0 |
|
1 |
ISP-R2(config-if)#no sh |
Настроим маршрутизацию со стороны EIGRP на роутере ISP-R7.
|
1 |
ISP-R7(config)#router ospf 1 |
|
1 |
ISP-R7(config-router)#redistribute eigrp 1 subnets |
|
1 |
ISP-R7(config-router)# |
|
1 |
ISP-R7(config-router)#router ospf 1 |
|
1 |
ISP-R7(config-router)#network 172.16.10.0 0.0.0.255 area 0 |
|
1 |
*Jan 23 14:49:03.635: %OSPF-5-ADJCHG: Process 1, Nbr 172.16.3.55 on Serial2/2 from LOADING to FULL, Loading Done |
|
1 |
ISP-R7(config-router)#network 172.16.9.0 0.0.0.255 area 0 |
|
1 |
ISP-R7(config-router)#network 172.16.6.0 0.0.0.255 area 0 |
|
1 |
ISP-R7(config-router)# |
Теперь из OSPF в EIGRP на роутере ISP-R2.
|
1 |
ISP-R2(config)#router eigrp 1 |
|
1 |
ISP-R2(config-router)#redistribute ospf 1 metric 100000 20 255 1 1500 |
|
1 |
ISP-R2(config-router)# |
|
1 |
ISP-R2(config)#router eigrp 1 |
|
1 |
ISP-R2(config-router)#no auto-summary |
|
1 |
ISP-R2(config-router)#network 172.16.10.0 |
|
1 |
*Jan 23 14:47:16.731: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 172.16.10.55 (Serial2/2) is up: new adjacency |
|
1 |
ISP-R2(config-router)#network 172.16.2.0 |
|
1 |
ISP-R2(config-router)#network 172.16.3.0 |
|
1 |
ISP-R2(config-router)# |
Теперь проверим пинг с ISP-R3 на ISP-R6.
|
1 2 3 4 5 6 |
ISP-R3#ping 172.16.8.55 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.8.55, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 308/381/472 ms ISP-R3# |
Как видите все работает. Теперь у нас работает динамическая маршрутизация между OSPF и EIRGP.
Теперь самое время добавить нашей компании интернет.
Добавим нашей компании маршрутизатор.
Настроим следующую схему подключений:
Подключим его к ядру.
Настроим адрес на ядре.
|
1 |
coremsk(config)#interface fastEthernet 1/3 |
|
1 |
coremsk(config-if)#no switchport |
|
1 |
*Mar 1 00:03:04.111: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to up |
|
1 |
coremsk(config-if)#ip address 10.10.19.72 255.255.255.0 |
|
1 |
coremsk(config-if)#no sh |
|
1 |
coremsk(config-if)# |
Настроим адрес на маршрутизаторе.
|
1 |
gw-msk01(config)#interface ethernet 1/1 |
|
1 |
gw-msk01(config-if)#ip address 10.10.19.71 255.255.255.0 |
|
1 |
gw-msk01(config-if)#no sh |
|
1 2 |
*Jan 23 15:20:13.699: %LINK-3-UPDOWN: Interface Ethernet1/1, changed state to up *Jan 23 15:20:14.699: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/1, changed state to up |
|
1 |
gw-msk01(config-if)# |
Настроим внешний ip адрес.
|
1 |
gw-msk01(config)#interface ethernet 1/0 |
|
1 |
gw-msk01(config-if)#ip address 172.16.11.55 255.255.255.0 |
|
1 |
gw-msk01(config-if)#no sh |
|
1 |
*Jan 23 15:21:33.079: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up |
|
1 |
*Jan 23 15:21:34.079: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up |
|
1 |
gw-msk01(config-if)# |
Теперь настроим адрес на стороне ISP и добавим сеть в анонс.
|
1 |
ISP-R1(config)#interface ethernet 1/0 |
|
1 |
ISP-R1(config-if)#ip address 172.16.11.56 255.255.255.0 |
|
1 |
ISP-R1(config-if)#exit |
|
1 |
ISP-R1(config)#router ospf 1 |
|
1 |
ISP-R1(config-router)#network 172.16.11.0 0.0.0.255 area 0 |
|
1 |
ISP-R1(config-router)# |
Готово. Теперь настроим NAT для нашей сети.
Переходим на gw-msk01.
Настраиваем ACL лист с внутренней сетью.
|
1 |
gw-msk01(config)#ip access-list standard internet |
|
1 |
gw-msk01(config-std-nacl)#permit 10.10.1.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#permit 10.10.2.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#permit 10.10.3.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#permit 10.10.4.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#permit 10.10.9.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#permit 192.168.12.0 0.0.0.255 |
|
1 |
gw-msk01(config-std-nacl)#exit |
Теперь назначим NAT интерфейс внутрь сети.
|
1 |
gw-msk01(config)#interface ethernet 1/1 |
|
1 |
gw-msk01(config-if)#ip nat inside |
|
1 |
gw-msk01(config-if)# |
|
1 |
*Jan 23 15:32:28.027: %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up |
|
1 |
gw-msk01(config-if)#exit |
|
1 |
gw-msk01(config)# |
И наружу.
|
1 |
gw-msk01(config)#interface ethernet 1/0 |
|
1 |
gw-msk01(config-if)#ip nat outside |
|
1 |
gw-msk01(config-if)#exit |
|
1 |
gw-msk01(config)# |
Теперь включаем PAT и склеиваем его с нашим созданным ACL.
|
1 |
gw-msk01(config)#$ip nat inside source list inetdc interface ethernet 1/0 overload |
Опция overload включает PAT, позволяя выпускать в интернет более чем 1 ip адрес.
Теперь настраиваем default route на ядре и роутере.
|
1 |
coremsk(config)#ip route 0.0.0.0 0.0.0.0 10.10.19.71 |
|
1 |
coremsk(config)# |
|
1 |
gw-msk01(config)#ip route 0.0.0.0 0.0.0.0 172.16.11.56 |
|
1 |
gw-msk01(config)# |
Теперь настроим маршруты с gw-msk01 во внутреннюю сеть.
|
1 |
gw-msk01(config)#ip route 10.10.1.0 255.255.255.0 10.10.19.72 |
|
1 |
gw-msk01(config)#ip route 10.10.2.0 255.255.255.0 10.10.19.72 |
|
1 |
gw-msk01(config)#ip route 10.10.3.0 255.255.255.0 10.10.19.72 |
|
1 |
gw-msk01(config)#ip route 10.10.4.0 255.255.255.0 10.10.19.72 |
|
1 |
gw-msk01(config)#ip route 10.10.9.0 255.255.255.0 10.10.19.72 |
|
1 |
gw-msk01(config)# |
Теперь запустим пинг с клиентского компьютера «наружу»
|
1 2 3 4 5 6 |
VPCS> ping 172.16.1.56 84 bytes from 172.16.1.56 icmp_seq=1 ttl=252 time=112.007 ms 84 bytes from 172.16.1.56 icmp_seq=2 ttl=252 time=89.005 ms 84 bytes from 172.16.1.56 icmp_seq=3 ttl=252 time=99.006 ms 84 bytes from 172.16.1.56 icmp_seq=4 ttl=252 time=101.006 ms 84 bytes from 172.16.1.56 icmp_seq=5 ttl=252 time=79.005 ms |
Все работает.
Для проверки запустим пинг с ISP-R3 на клиентский компьютер.
|
1 2 3 4 5 6 |
ISP-R3#ping 10.10.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.1.2, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) ISP-R3# |
Как видите, все настроено правильно, пинг не идет.
Теперь в нашей сети появился интернет.
В следующей статье мы добавим нашей компании дата центр, построим GRE туннель, перенесем vtp сервер, добавим DMZ сеть, и рассмотрим статические маршруты.
Добавить комментарий