dkuehlborn
Goto Top

Cisco Router 2 Gateways für verschiedene Clients

Hallo Cisco-Spezialisten,

ich habe ein Problem bei einem Kunden. Dort sind zwei verschiedene Internezugänge vorhanden.

1. T-DSL-Business 16000
2. T-Interconnect

Ich habe die folgende Interfaces auf dem Router 1811:

VLAN1: 192.168.10.x/24 (Lokales Netzwerk)
FastEthernet1: 192.168.12.x (Netzwerk zum Router für T-DSL-Business)
FastEthernet2: 192.168.13.x (Netzwerk zum Router von T-Interconnect; in der realen Konfig ist dies natürlich keine lokale IP)

Die lokalen PC und Server nutzen zurzeit die folgende Konfiguration und haben über T-DSL-Business eine Verbindung zum Internet:

IP-Adresse: 192.168.10.x
Gateway: 192.168.10.250 (Der Cisco 1811)

Über den T-Interconnect werden Mails versendet und empfangen. Der Mailserver und der Server für Virenprüfung hängt zurzeit an einem anderen Router

Die Server die über T-Interconnect Mails senden und Empfangen haben zur zeit die folgenden Konfiguration:

IP-Adresse: 192.168.10.x
Gateway: 192.168.10.240 (alter Router der abgelöst werden soll)

Ich hoffe, dass dieses bis dahin soweit verständlich ist.

Mein Ziel ist es die beiden Server für Mail ebenfalls über den Cisco 1811 an das Internet zu binden. Für diese Server sollte die Route im Cisco jedoch über das Interface Fastethernet2 laufen z.B.:
IP Route 0.0.0.0 0.0.0.0 192.168.12.250 (Default-Route für allgemeine PC über Interface FastEthernet1)
IP Route 0.0.0.0 0.0.0.0 192.168.13.250 (Default-Route für Mail-PC über Interface FastEthernet2)

Kann man so etwas Einrichten oder muss ich mir hier etwas anderes einfallen lassen? Die aktuelle Konfiguration läßt zurzeit nicht zu, dass die Mail-Server in einer DMZ ausgelagert werden, d.h. die Mailserver bleiben im Netzwerk 192.168.10.x.

So nun hoffe ich, dass Ihr mir vielleicht ein paar Gedanken für einen Lösungsansatz geben könnt.

Viele Grüße und Dank im Voraus

Dieter

Content-Key: 103423

Url: https://administrator.de/contentid/103423

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 06.12.2008 um 21:38:50 Uhr
Goto Top
Ja, natürlich ist deine Konfiguration einfach und problemlos möglich !

Bevor wir hier ins Eingemachte gehen solltest du aber erstmal verifizieren ob dein Netzwerk so aussieht:

69bd14bade4ae327c480ef0b28703a73-cisconetz

Das ist wichtig fürs Verständnis und die richtige Konfig.

Der Schlüssel zur Lösung deiner Anforderung ist ein Policy based Routing auf dem Cisco 1811.
Die default Route auf dem 1811 wird ja vermutlich derzeit auf den T-DSL Business Router zeigen, so das in einer Standard Konfig alles erstmal über diesen Router geht.
Du musst nun den Verkehr der beiden Mailserver ausfiltern und sie an eine andere Gatway IP Adresse senden nämlich an den T-Interconnect Router.
Eben genau das mach PBR !! Und so gehts:
(Beispiel Mailserver haben die 192.168.10.200 und .201 )
Filterliste auf dem Cisco 1811 anlegen:

access-list 110 permit ip host 192.168.10.200 any
access-list 110 permit ip host 192.168.10.201 any

Und nun die PBR Liste die diesen Verkehr der Server auf den T-Interconnect Router bringt:

route-map t-inter permit 10
match ip address 110
set ip next-hop 192.168.13.254
(IP Addresse T-Interconnect Router !)

Dann PBR Policy auf dem Interface aktivieren:

interface vlan 1
ip address 192.168.10.x 255.255.255.0
ip policy route-map t-inter


Das wars ! Das reroutet den gesamten Verkehr der beiden Server über T-Interconnect und der Rest geht über T-DSL Business.
Solltest du ausnahmslos nur Mail Traffic der Server (und keinen Web, FTP oder anderen Traffic) rerouten kannst du die ACL auch noch entsprechend enger ziehen mit den TCP Ports der Email Applikationen...
Mitglied: Dkuehlborn
Dkuehlborn 07.12.2008 um 13:32:26 Uhr
Goto Top
Hallo Aqui,

du hast es genau auf den Punkt gebracht. Ich habe zwar über policy based routing gelesen aber ich konnte mir nicht vorstellen, wie ich es in diesem Fall umsetze. Deine Vorstellung vom Aufbau des Netzwerkes ist absolut korrekt.

Danke für Deine Mühe

Viele Grüße

Dieter
Mitglied: aqui
aqui 08.12.2008 um 09:36:50 Uhr
Goto Top
Wenns das war und es funktioniert bitte
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen !!
Mitglied: Dkuehlborn
Dkuehlborn 08.12.2008 um 15:18:41 Uhr
Goto Top
Hallo Aqui,

ich habe mal Deinen Lösungsansatz versucht umzusetzen. Es funktioniett jedoch noch nicht. Hier ist meine Config:

Building configuration...

Current configuration : 11434 bytes
!
! Last configuration change at 13:58:22 UTC Mon Dec 8 2008 by admin
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rt1
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 warnings
logging console critical
enable secret 5 xxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
no ip source-route
!
!
ip cef
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name firma.local
ip name-server 217.237.148.102
ip inspect log drop-pkt
ip inspect name SDM_MEDIUM appfw SDM_MEDIUM
ip inspect name SDM_MEDIUM cuseeme
ip inspect name SDM_MEDIUM dns
ip inspect name SDM_MEDIUM ftp
ip inspect name SDM_MEDIUM h323
ip inspect name SDM_MEDIUM https
ip inspect name SDM_MEDIUM icmp
ip inspect name SDM_MEDIUM imap reset
ip inspect name SDM_MEDIUM pop3 reset
ip inspect name SDM_MEDIUM netshowip inspect name SDM_MEDIUM rcmd
ip inspect name SDM_MEDIUM realaudio
ip inspect name SDM_MEDIUM rtsp
ip inspect name SDM_MEDIUM esmtp
ip inspect name SDM_MEDIUM sqlnet
ip inspect name SDM_MEDIUM streamworks
ip inspect name SDM_MEDIUM tftp
ip inspect name SDM_MEDIUM tcp
ip inspect name SDM_MEDIUM udp
ip inspect name SDM_MEDIUM vdolive
ip ips sdf location flash://128MB.sdf autosave
ip ips notify SDEE
ip ips name sdm_ips_rule
!
appfw policy-name SDM_MEDIUM
  application im aol
    service default action allow alarm
    service text-chat action allow alarm
    server permit name login.oscar.aol.com
    server permit name toc.oscar.aol.com
    server permit name oam-d09a.blue.aol.com
    audit-trail on
  application im msn
    service default action allow alarm
    service text-chat action allow alarm
    server permit name messenger.hotmail.com
    server permit name gateway.messenger.hotmail.com
    server permit name webmessenger.msn.com
    audit-trail on
  application http
    strict-http action allow
    port-misuse im action reset alarm
    port-misuse tunneling action allow alarm
  application im yahoo
    service default action allow alarm
    service text-chat action allow alarm
    server permit name scs.msg.yahoo.com
    server permit name scsa.msg.yahoo.com
    server permit name scsb.msg.yahoo.com
    server permit name scsc.msg.yahoo.com
    server permit name scsd.msg.yahoo.com
    server permit name cs16.msg.dcn.yahoo.com
    server permit name cs19.msg.dcn.yahoo.com
    server permit name cs42.msg.dcn.yahoo.com
    server permit name cs53.msg.dcn.yahoo.com
    server permit name cs54.msg.dcn.yahoo.com
    server permit name ads1.vip.scd.yahoo.com
    server permit name radio1.launch.vip.dal.yahoo.com
    server permit name in1.msg.vip.re2.yahoo.com
    server permit name data1.my.vip.sc5.yahoo.com
    server permit name address1.pim.vip.mud.yahoo.com
    server permit name edit.messenger.yahoo.com
    server permit name messenger.yahoo.com
    server permit name http.pager.yahoo.com
    server permit name privacy.yahoo.com
    server permit name csa.yahoo.com
    server permit name csb.yahoo.com
    server permit name csc.yahoo.com
    audit-trail on
!
interface FastEthernet0
 description $ES_WAN$$ETH-WAN$$FW_OUTSIDE$
 ip address 192.168.12.10 255.255.255.0
 ip access-group 102 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip inspect SDM_MEDIUM out
 ip ips sdm_ips_rule in
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
!
interface FastEthernet1
 ip address 192.168.13.10 255.255.255.0
 ip access-group 103 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
!
interface Vlan1
 ip address 192.168.10.250 255.255.255.0
 ip access-group 100 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
 ip policy route-map t-inter
!
ip route 0.0.0.0 0.0.0.0 192.168.12.250
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0 overload
!
logging trap warnings
logging 192.168.10.1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 23 permit 192.168.10.0 0.0.0.255
access-list 100 remark auto generated by SDM firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip 192.168.12.0 0.0.0.255 any
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 102 remark auto generated by SDM firewall configuration
access-list 102 remark SDM_ACL Category=1
access-list 102 permit udp host 217.237.148.102 eq domain host 192.168.12.10
access-list 102 remark Auto generated by SDM for NTP (123) 78.46.194.189
access-list 102 permit udp host 78.46.194.189 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 213.133.111.196
access-list 102 permit udp host 213.133.111.196 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 85.214.29.92
access-list 102 permit udp host 85.214.29.92 eq ntp host 192.168.12.10 eq ntp
access-list 102 remark Auto generated by SDM for NTP (123) 194.97.156.5
access-list 102 permit udp host 194.97.156.5 eq ntp host 192.168.12.10 eq ntp
access-list 102 deny   ip 192.168.101.0 0.0.0.255 any
access-list 102 permit icmp any host 192.168.12.10 echo-reply
access-list 102 permit icmp any host 192.168.12.10 time-exceeded
access-list 102 permit icmp any host 192.168.12.10 unreachable
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 deny   ip any any log
access-list 103 permit ip any any
access-list 103 permit icmp any any
access-list 103 permit tcp any any
access-list 103 permit udp any any
access-list 110 permit ip host 192.168.10.200 any log
access-list 110 permit icmp host 192.168.10.200 any log
access-list 110 permit tcp host 192.168.10.200 any log
access-list 110 permit udp host 192.168.10.200 any log
no cdp run
!
route-map t-inter permit 10
 match ip address 110
 set interface FastEthernet1
 set ip next-hop 192.168.13.250

Sobald ich die Zeile

ip policy route-map t-inter

rausnehme, kann ich wieder vom PC ins Internet.
Ich habe das NAT in Verdacht gehabt und habe die folgende Zeile eingebaut:

ip nat inside source route-map t-inter interface fastethernet1 overload

Leider ihne Erfolg.

Ich hoffe Du hast noch irgend eine Idee.

Viele Dank und Grüße

Dieter
Mitglied: Dkuehlborn
Dkuehlborn 09.12.2008 um 01:19:15 Uhr
Goto Top
Hallo Aqui,

ich habe mein Problem mit dem folgenden Code lösen können:

ip route 0.0.0.0 0.0.0.0 192.168.102.254
!
ip nat inside source route-map t-dsl interface FastEthernet0 overload
ip nat inside source route-map t-inter interface FastEthernet1 overload
!
access-list 10 deny   192.168.10.200
access-list 10 deny   192.168.10.201
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.10.200
access-list 20 permit 192.168.10.201


route-map t-dsl permit 10
 match ip address 10
 set interface FastEthernet0
 set ip next-hop 192.168.12.254
!
route-map t-inter permit 10
 match ip address 20
 set interface FastEthernet1
 set ip next-hop 192.168.13.254

Im Interface FastEthernet1 muss die folgende Anweisung gelöscht werden.
ip verify unicast reverse-path 

Diese wird bei der Erstellung von der Firewall mittels SDM automatisch eingetragen. So ist es mir ergangen.

Vielen Dank und Grüße

Dieter
Mitglied: aqui
aqui 09.12.2008 um 17:39:42 Uhr
Goto Top
Gut wenns jetzt klappt. Mit debug policy map kannst du auf dem Router verifizieren, das die Packete auch ans richtige Interface bzw. Router gehen.

Du könntest zusätzlich noch eine Sicherung einbauen: Wenn du jeweils den anderen Router in die next Hop Definition konfigurierst würde die Policy Map den DSL Router nehmen falls der Interconnect Router als erste Next Hop Definition einmal ausfällt.
So hast du für deine Mailserver noch ne Redundanz face-wink
Mitglied: Markus1234B
Markus1234B 10.12.2008 um 08:48:51 Uhr
Goto Top
Hallo Zusammen,
ich habe genau die selbe Anwendung mit einem Cisco 1812 und zwei DSL Routern dahinter. Wollte das Testweise mal nachstellen aber da ich in Sachen Cisco absoluter Anfänger bin, bekomme ich das nicht ans laufen.
Zur momentanen Konfig:
Vlan1: 10.130.10.5/24 Port 2-9
ETH0: 192.168.0.2 --->daran ist DSL Router 1 angeschlossen (IP 192.168.0.1)
ETH1: 192.168.1.2---> daran soll DSL Router 2 angeschlossen werden (ist aber noch nicht)
Die Firewall ist noch inaktiv,und als Standard route habe ich 0.0.0.0 0.0.0.0 192.168.0.1 Distance 1, Permanente Route No eingegeben. Also wenn ich vom Cisco Router einen Ping auf den DSL-Router mache funktioniert das. Wenn ich aber als Source IP für den Ping das Vlan von Port 2-9 angebe habe ich timeouts.
Muss die Firewall denn konfiguriert werden damit ich das Netz hinter dem Cisco erreiche??

Gruss

M.
Mitglied: Dkuehlborn
Dkuehlborn 10.12.2008 um 11:16:39 Uhr
Goto Top
Hallo Markus,

wir sieht den Deine gesamte Konfig aus? Welche ACL hast Du programmiert?

Du kannst dieses nur dann zum Laufen bringen, wenn am ETH1 auch eine Router angeschlossen ist, der eine Verbindung zum Internet hat.

Eine Beispielkonfig könnte wie folgt aussehen. Ich gehe davon, das die Hosts 10.130.10.200 und 10.130.10.201 über ETH1 ins Internet sollen. Diese sollte aber im Bereich der Zugriffsberechtigungen (ACL) und Firewall noch bearbeitet werden. Für einen Funktionstest ist es jedoch in Ordnung:

Interface Vlan1
ip address 10.130.10.5 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2

interface Eth0
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in

interface Eth1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in

!Diese Funktione wird von SDM gerne bei Firewall-Konfiguration aktiviert. 
!Hier wird diese deaktiviert. Sonst geht das Policy Based Routing nicht.
no ip verify unicast reverse-path 

ip route 0.0.0.0 0.0.0.0 192.168.0.1

ip nat inside source route-map dsl1 interface Eth0 overload
ip nat inside source route-map dsl2 interface Eth1 overload

!access-list 10 verbietet .200 und .201 über dsl1
access-list 10 deny   10.130.10.200
access-list 10 deny   10.130.10.201
access-list 10 permit 10.130.10.0 0.0.0.255

!access-list 20 erlaubt .200 und .201 über dsl2
access-list 20 permit 10.130.10.200
access-list 20 permit 10.130.10.201

!access-list 100 101 102 lassen alles durch und müssen unbedingt geändert werden. 
!Sind nur für das Beispiel so aufgebaut
access-list 100 permit ip any any
access-list 101 permit ip any any 
access-list 102 permit ip any any

!Route für alle PC außer .200 und .201
route-map dsl1 permit 10
match ip address 10
set interface Eth0
set ip next-hop 192.168.0.1

!Route für PC .200 und .201
route-map dsl2 permit 10
match ip address 20
set interface Eth1
set ip next-hop 192.168.1.1

Ich hoffe, dass ich in meiner Beispielkonfig nicht irgend einen Fehler habe. Nach meinem Kentnissstand sollte es aber so funktionieren. Sollten Probleme auftreten, so können wir gerne über Deine Konfig schauen.

Viele grüße

Dieter
Mitglied: Markus1234B
Markus1234B 10.12.2008 um 11:35:47 Uhr
Goto Top
Hallo Dieter,

erstmal vielen Dank. Der ganze Aufbau dient erstmal zum testen und spielen, deswegen habe ich nur einen DSL Router an ETH0. Sollte aber rein vom Verständins doch funktionieren oder nicht? Werd die Beispielkonfig mal "einbauen"..face-wink

Gruss

Markus
Mitglied: Markus1234B
Markus1234B 10.12.2008 um 12:05:08 Uhr
Goto Top
Hallo Dieter,

geht irgendwie nicht..face-sad

Was ich eigentlich im moment erreichen möchte, ist das aus VLAN1 alle Adressen ins Internet über ETH0 gehen bis auf die zwei (.200 und 201).

Gruss

M.


interface FastEthernet0
description $ETH-WAN$
ip address 192.168.0.2 255.255.255.0
ip access-group 101 in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
shutdown
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 130.130.244.88 255.255.255.0
ip access-group 100 in
ip policy route-map dsl2
!
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
!
ip http server
no ip http secure-server
ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overload
!
access-list 10 deny 130.130.244.200
access-list 10 deny 130.130.244.201
access-list 10 permit 130.130.244.0 0.0.0.255
access-list 20 permit 130.130.244.200
access-list 20 permit 130.130.244.201
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 102 permit ip any any
!
!
!
route-map dsl2 permit 10
match ip address 10
set interface FastEthernet0
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet1
set ip next-hop 192.168.1.1
Mitglied: Dkuehlborn
Dkuehlborn 10.12.2008 um 12:53:08 Uhr
Goto Top
Hallo Markus,

schau die mal die Anweisungen für das NAT an. Dort sind die Interfaces vertauscht.

Es müsste lauten:

ip nat inside source route-map dsl1 interface FastEthernet1 overload
ip nat inside source route-map dsl2 interface FastEthernet0 overload

In den Anweisungen route-map sind ebenfalls die Interfaces vertauscht.

Es müsste lauten:

route-map dsl2 permit 10
match ip address 10
set interface FastEthernet1
set ip next-hop 192.168.0.1
!
route-map dsl1 permit 10
match ip address 20
set interface FastEthernet0
set ip next-hop 192.168.1.1

Viele Grüße

Dieter
Mitglied: Markus1234B
Markus1234B 10.12.2008 um 13:06:14 Uhr
Goto Top
Hallo Dieter,

die habe ich getauscht, weil ich wollte das Vlan 1 auf ETh 0 routet( bis auf die 200 und 201) und eth0
hat ja die IP 192.168.0.2 mit dem angeschlossenen Router 192.168.0.1.
Hab ich jetzt zweimal gedreht und doch alles verkehrt??...face-wink

Gruss

Markus
Mitglied: net-walker
net-walker 22.04.2009 um 09:30:41 Uhr
Goto Top
hi aqui,

mit welchen prog. hast du den schönen Übersichts-Netzwerkplan erstellt. Würde mich brennend interessieren!

wars an addon von Visio ? (wenn ja, welche Version ist das)

danke
Mitglied: aqui
aqui 09.07.2009, aktualisiert am 14.02.2024 um 12:59:17 Uhr
Goto Top
Das ist Visio, dia oder Libre Office Draw mit ein paar Cisco Topology Icons geschmückt face-wink
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...