Доброго времени суток.
Помогите разобраться..
Есть Cisco 2921.
g0/2 - Интернет
g0/1 - Вн. сеть. (192.168.1.254)
g0/0 - Филиалы (10.0.0.2)Задача сеть 10.0.0.0 должна видеть 192.168.1.0 и наоборот.
Пардон, если глупый вопрос, только начал разбираться с ios.Вот конфиг:
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
no ipv6 cef
ip source-route
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-736382338
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-736382338
revocation-check none
!
!
crypto pki certificate chain TP-self-signed-736382338
certificate self-signed 01 nvram:IOS-Self-Sig#2.cer
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ15047043
hw-module pvdm 0/0
!
!
redundancy
!
!
ip ssh time-out 60
ip ssh version 2
!
class-map match-any SQL
match access-group name SQL
!
!
policy-map SQL-INET_CH
class SQL
priority 2000
policy-map SQL-INET_P
class class-default
shape average 5000000
service-policy SQL-INET_CH
!
!
!
!
!
interface GigabitEthernet0/0
description == Tascom VPNL3 ==
ip address 10.0.0.2 255.255.255.252
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description == LAN ==
ip address 192.168.1.254 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
description == WAN ==
ip address 178.xxx.xxx.10 255.255.255.252
ip access-group FIREWALL in
no ip redirects
no ip proxy-arp
ip verify unicast reverse-path
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
service-policy output SQL-INET_P
!
no ip classless
ip forward-protocol nd
!
no ip http server
ip http authentication local
ip http secure-server
!
ip dns server
ip nat translation tcp-timeout 500
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation icmp-timeout 30
ip nat inside source list NAT interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 178.xxx.xxx.9 110 permanent
ip route 10.0.0.0 255.255.0.0 10.0.0.1 permanent
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended SQL
permit ip host 192.168.1.7 any
ip access-list extended VPNL3
permit ip 192.168.1.0 0.0.0.255 any
!
!
snmp-server community public RO
!
!
control-plane
!
!
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
end
>[оверквотинг удален]
> !
> !
> line con 0
> line aux 0
> line vty 0 4
> privilege level 15
> transport input telnet ssh
> !
> scheduler allocate 20000 1000
> endпоправьте access-list NAT
первой строчкой deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Из вн. сети. GW 10.0.0.1 не пигнуется. Интерфейс 10.0.0.2 пингуется.
> Из вн. сети. GW 10.0.0.1 не пигнуется. Интерфейс 10.0.0.2 пингуется.похоже 10.0.0.1 не знает о существовании сети 192.168
>[оверквотинг удален]
> !
> !
> line con 0
> line aux 0
> line vty 0 4
> privilege level 15
> transport input telnet ssh
> !
> scheduler allocate 20000 1000
> endС какого перепугу L3 IPVPN должны видеть внутреннюю сеть? Оператор ничего не должен знать про ваши внутренние сети.
Начинайте строить туннели через L3 каналы чтобы связаться с другими филиалами.
>[оверквотинг удален]
>> line aux 0
>> line vty 0 4
>> privilege level 15
>> transport input telnet ssh
>> !
>> scheduler allocate 20000 1000
>> end
> С какого перепугу L3 IPVPN должны видеть внутреннюю сеть? Оператор ничего не
> должен знать про ваши внутренние сети.
> Начинайте строить туннели через L3 каналы чтобы связаться с другими филиалами.у оператора в врфе может быть написан дефолт