https://www.opennet.me/openforum/vsluhforumID6/1526.html Добрый день форумчане, недавно появилась необходимость настроить cisco 2911, а я в этом деле профан, помогите разрешить такую ситуацию:<br>есть две сети, в одной ip адреса 192.168.2.х в другой 10.6.10.х, сейчас они соединены между собой на прямую.<br>В сети 192.168.2.х есть один сервер БД которому временно прописан второстепенный ip адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х). <br>Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность доступа к серверу 192.168.2.238 из сети 10.6.10.х. <br>В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в сети 10.6.10.х.<br>Можно ли это сделать в принципе, или на компы всеравно придется вносить какието изменения?<br>Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.<br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#11 Wed, 12 Nov 2014 16:10:05 GMT &gt;&gt;&gt; Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не <br>&gt;&gt;&gt; прописаны. Как это будет работать?<br>&gt;&gt; Что мешает сделать двойной NAT?<br>&gt;&gt; А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо <br>&gt;&gt; на каждый destination будет производиться arp resolve. Лучше прописать next-hop.<br>&gt; Спасибо за совет, а можно подробнее описать как сделать двойной нат и <br>&gt; прописать next-hop?<br><br>ip route 0.0.0.0 0.0.0.0 x.x.x.x<br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#10 Wed, 12 Nov 2014 13:14:59 GMT &gt;&gt; Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не <br>&gt;&gt; прописаны. Как это будет работать?<br>&gt; Что мешает сделать двойной NAT?<br>&gt; А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо <br>&gt; на каждый destination будет производиться arp resolve. Лучше прописать next-hop.<br><br>Спасибо за совет, а можно подробнее описать как сделать двойной нат и прописать next-hop?<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#9 Wed, 12 Nov 2014 11:18:37 GMT &gt; Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не <br>&gt; прописаны. Как это будет работать?<br><br>Что мешает сделать двойной NAT? <br><br>А вот так: ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1, делать не советую, ибо на каждый destination будет производиться arp resolve. Лучше прописать next-hop.<br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#8 Wed, 12 Nov 2014 07:14:45 GMT &gt; ip nat outside source static 192.168.2.238 10.6.10.15<br><br>Почитайте вы теорию, ну сразу же станет все понятно и сразу сделаете как надо. В интернетах куча всяких разных мануалов и инструкций.<br><br>Вот например, доступно и по существу: http://habrahabr.ru/post/108931/<br><br>По существу: Вы статически адрес 192.168.2.238 транслируете в 10.6.10.15. Т.е. представьте, пакет, идущий с некоего хоста через шлюз 192.168.2.238 в другую сеть (у вас 10.6.10.0/24), при прохождении роутера, изменяет свой адрес источника на 10.6.10.15. Хост, который получил этот пакет, ответ шлет на адрес 10.6.10.15, который должен попасть на роутер и согласно таблице преобразований транслироваться уже в адрес первоначального источника...<br>Соответственно делайте выводы, ни 192.168.2.238, ни 10.6.10.15 у вас на роутере не прописаны. Как это будет работать?<br><br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#7 Tue, 11 Nov 2014 09:11:00 GMT &gt;&gt;&gt;[оверквотинг удален] <br>&gt;&gt; Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный <br>&gt;&gt; сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический <br>&gt;&gt; канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, <br>&gt;&gt; но в то же время не хотелось бы мне, чтобы с <br>&gt;&gt; того сервера можно было просматривать мою сеть.<br>&gt; Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами <br>&gt; можно различными способами. NAT не является панацеей и достаточно дорогостоящий <br>&gt; в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом <br>&gt; между вашей сетью и сервером будет будет более гуманным подходом.<br><br>Спасибо за помощь, вроде бы настроил циску, пинги есть из сети 10.6.10.* к хосту 10.6.10.15, но зайти на него не могу :( что-то наверное не так, помогите пожалуйста разобраться. Приведу рабочую конфигурацию:<br><br><br>Building configuration...<br><br>Current configuration : 3615 bytes<br>!<br>! Last configuration change at 12: https://www.opennet.me/openforum/vsluhforumID6/1526.html#6 Thu, 06 Nov 2014 17:51:52 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный <br>&gt; сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический <br>&gt; канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, <br>&gt; но в то же время не хотелось бы мне, чтобы с <br>&gt; того сервера можно было просматривать мою сеть.<br><br>Мало исходных данных. Ограничить доступ к между удаленной сетью и вашими клиентами можно различными способами. NAT не является панацеей и достаточно дорогостоящий в отношении процессорных мощностей. Возможно элементарная маршрутизация с жестким файрволом между вашей сетью и сервером будет будет более гуманным подходом.<br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#5 Thu, 06 Nov 2014 12:00:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt; какието изменения?<br>&gt;&gt; Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.<br>&gt; Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во <br>&gt; вторую сеть воткнуть или перевести клиентов на работу по DNS, а <br>&gt; не по IP адресам, чтобы потом не иметь проблем с их <br>&gt; перенастройкой. NAT в этом решении даст вам головной боли и в <br>&gt; дальнейшем испортит не одни выходные и карму.<br>&gt; Если было-бы две сети с пересекающимися адресациями и разными сервисами на одинаковых <br>&gt; IP - да, NAT был бы уместен. Здесь NAT чисто логически <br>&gt; дополнительная точка отказа.<br><br>Соглашусь с вариантом второй сетевой карты, но ка быть с доступом, удаленный сервер 192.168.2.238 находиться в сети другой организации между нами прямой оптический канал, компы из моей сети 10.6.10.х должны иметь к нему доступ, но в то же время не хотелось бы мне, чтобы с того сервера можно было просматривать мою сеть.<br> https://www.opennet.me/openforum/vsluhforumID6/1526.html#4 Wed, 05 Nov 2014 17:22:43 GMT &gt;[оверквотинг удален]<br>&gt; адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) <br>&gt; основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х).<br>&gt; Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность <br>&gt; доступа к серверу 192.168.2.238 из сети 10.6.10.х.<br>&gt; В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в <br>&gt; сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в <br>&gt; сети 10.6.10.х.<br>&gt; Можно ли это сделать в принципе, или на компы всеравно придется вносить <br>&gt; какието изменения?<br>&gt; Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.<br><br>Поддерживаю предыдущих ответивших. Тут оптимальный вариант второй интерфейс сервера во вторую сеть воткнуть или перевести клиентов на работу по DNS, а не по IP адресам, чтобы потом не иметь проблем с их перенастройкой. NAT в этом решении даст вам головной боли и в дальнейшем испортит не одни выходные и карму.<br>Если было-бы две сети с пересекающимися адресациями и разны https://www.opennet.me/openforum/vsluhforumID6/1526.html#3 Wed, 05 Nov 2014 12:38:44 GMT &gt;[оверквотинг удален]<br>&gt; адрес 10.6.10.15 (что бы компы из сети 10.6.10.х могли его видеть) <br>&gt; основной ip у него 192.168.2.238 (для компов из сети 192.168.2.х).<br>&gt; Нужно с помощью cisco 2911 разделить эти сети NATом, но оставить возможность <br>&gt; доступа к серверу 192.168.2.238 из сети 10.6.10.х.<br>&gt; В идеале хотелось бы сделать так, что бы ip 192.168.2.238 транслировался в <br>&gt; сеть 10.6.10.х под адресом 10.6.10.15, что бы не перенастраивать компы в <br>&gt; сети 10.6.10.х.<br>&gt; Можно ли это сделать в принципе, или на компы всеравно придется вносить <br>&gt; какието изменения?<br>&gt; Заранее спасибо за помощь, любую уточняющую информацию готов предоставить.<br><br>Merridius прав, потом при решении тривиальной задачи вам потребуется опять делать костыли или еще хуже городить костыли уже на существующие. <br>Делайте правильно сразу, "натить" маршрутизатор вам будет 100 мигабит от силы, а у вас судя по всему локальный трафик будет и следующий пост вы напишите: "Почему-то маршрутизатор загружен на 100% при небольшом трафике"<br>