Pré-requisitos. Requisitos. Componentes Utilizados

Documentos relacionados
Função de balanceamento de carga IO NAT com roteamento de extremidade aperfeiçoado para duas conexões com o Internet

Função de balanceamento de carga IO NAT para duas conexões ISP

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Configurações iniciais para o OSPF em um enlace ponto a ponto

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configurando um Gateway de Último Recurso Usando Comandos IP

Utilização de Números de Porta FTP Não- Padrão com NAT

Especifique um endereço IP de Um ou Mais Servidores Cisco ICM NT do salto seguinte para rotas estáticas

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Como configurar um roteador Cisco atrás de um Cable Modem de terceiros

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

A informação neste documento é baseada na versão do Cisco IOS 15.0(1)S e na versão do Cisco IOS XR.

Exemplo de configuração do refletor da rota de BGP do IPv6

Vazamento de rota em redes MPLS/VPN

Configuração de exemplo para o BGP com dois provedores de serviço diferentes (multilocal)

Exemplo de configuração para autenticação em RIPv2

Configurar um server público com Cisco ASDM

Configurar o desaparecimento do IPv6 com o null0 da relação

Utilizando NAT em redes sobrepostas

EEM usados para controlar o NAT desviam o comportamento duas vezes do NAT quando a Redundância ISP é exemplo de configuração usado

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Compreendendo o endereço local de link do IPv6

Mobilidade DHCP interno expresso

Acesso à Internet a partir de uma VPN MPLS usando uma tabela de roteamento global

S TP e inspeção de conexões ESMTP com exemplo de configuração do Cisco IOS Firewall

Exemplo de configuração para ibgp e ebgp, com ou sem um endereço de loopback

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Configurando o balanceamento de carga do servidor FTP utilizando IOS SLB

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Configurando uma VPN MPLS Básica

Redistribuindo Protocolos de Roteamento

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Configuração automática CUCM para gateways SCCP

Pesquisar defeitos rotas de BGP do flapping (falha de roteamento recursivo)

Aula 03 Comandos Básicos do IOS Cisco

Redes de Computadores II

Verificando a Operação e Troubleshooting Básico do NAT

Redistribua redes conectadas no OSPF com palavras-chave de subrede

Transferência de arquivo ASA com exemplo de configuração FXP

Configurando um roteador como uma ALMOFADA para o XOT a um host assíncrono

Compreendendo e configurando o comando ip unnumbered

ASA 8.3: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security

Como Evitar Loops de Roteamento ao Usar NAT Dinâmico

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Configurar o roteamento de intervlan em switch de camada 3

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

CST em Redes de Computadores

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Configuração de NAT básica ASA: Servidor de Web no DMZ na versão ASA 8.3 e mais atrasado

Configurar o ASA para os links redundantes ou alternativos ISP

Configurando o hub and spoke do roteador para roteador do IPsec

Configurando uma VPN MPLS básica

Visão geral do TCP/IP

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

ASA 8.3 e mais atrasado: Exemplo de Configuração de Habilitação de Serviços de FTP/TFTP

Especificando um Endereço IP do Próximo Nó para Rotas Estáticas

Como o OSPF propaga as rotas externas em áreas múltiplas

Configurar o buraco negro provocado telecontrole do IPV6 com IPv6 BGP

Tronco entre um Catalyst 2948G-L3 e um exemplo de configuração do Catalyst 6500 Series Switch

Verificando a Operação de NAT e Troubleshooting Básico de NAT

Compartilhamento de carga com o BGP no ambientes únicos e multihomed: Configurações de exemplo

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Laborato rio: Roteamento Esta tico

Protocolo de Hot-Standby Router Protocol (HSRP): Perguntas mais freqüentes

Roteador Wireless de 1800 ISR com exemplo de configuração interno DHCP e de autenticação aberta

Configurar IP de uso geral ACL

ACL no exemplo da configuração de controle do Wireless LAN

Índice. Introdução. Pré-requisitos. Requisitos

Captação VACL para a análise de tráfego granulada com Cisco IOS Software running do Cisco catalyst 6000/6500

Configurando um Cisco 1700/2600/3600 ADSL WIC para Suportar Clientes PPPoE, Terminando em um Cisco 6400 UAC

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

Como funciona o balanceamento de carga em caminhos de custos desiguais (variância) no IGRP e no EIGRP?

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Handson Policy Based Routing

Configurando o Cisco VPN Client 3.5 e o Cisco Integrated Client para tráfego não criptografado seguro ao utilizar o tunelamento por divisão

As informações neste documento são baseadas nestas versões de software e hardware:

As alterações de política do controle de acesso neste documento usam as seguintes plataformas de hardware:

Exemplo de configuração da opção de DHCP 82 do controlador do Wireless LAN

Como Utilizar o HSRP para Fornecer Redundância em uma Rede BGP Multihomed

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Introdução Como eu conecto meu roteador de Linksys a um roteador VoIP de Linksys? Informações Relacionadas

Tradução de endereço de rede em um stick

Voz QoS: Marcação do pacote de TOS-CoS para o uso com LLQ

O que é a distância administrativa?

Configurando a tradução de endereço de rede: Introdução

Redistribuição de Routing Protocols

Transcrição:

Função de balanceamento de carga IO NAT e Firewall Zona-baseado da política com roteamento de extremidade aperfeiçoado para duas conexões com o Internet Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configurar Diagrama de Rede Discussão de política de firewall Verificar Troubleshooting Informações Relacionadas Introdução Este documento descreve uma configuração para que um roteador do do Cisco IOS conecte uma rede ao Internet com o Network Address Translation (NAT) através de duas conexões ISP. O Cisco IOS NAT pode distribuir conexões de TCP e sessões de UDP subsequentes sobre conexões de rede múltipla se as rotas de custo igual a um destino fornecido estão disponíveis. Caso uma das conexões se tornar inusável, o Rastreamento de objetos, um componente do roteamento de extremidade aperfeiçoado (OER), pode ser usado para desativar a rota até que a conexão se torne disponível outra vez, que assegura a disponibilidade da rede apesar da instabilidade ou da insegurança de uma conexão com o Internet.

Este documento descreve configurações adicionais para aplicar o Firewall Zona-baseado Cisco IOS da política para adicionar a capacidade da inspeção stateful de aumentar a proteção da rede básica fornecida pelo NAT. Pré-requisitos Requisitos Este documento supõe que você já tem o LAN e as conexões de WAN que funcionam e não fornece o fundo da configuração ou do Troubleshooting para estabelecer a conectividade inicial. Este documento não descreve uma maneira de diferenciar-se entre as rotas. Consequentemente, não há nenhuma maneira de preferir uma conexão mais desejável sobre uma conexão menosdesejável. Este documento descreve como configurar OER a fim permitir ou desabilitar um ou outro Internet rota-baseado na alcançabilidade dos servidores DNS do ISP. Você precisa de identificar os anfitriões específicos que são alcançáveis através de somente uma das conexões ISP e não puderam estar disponíveis se essa conexão ISP não está disponível. Componentes Utilizados

Esta configuração foi desenvolvida com um Cisco 1811 Router que executasse o software avançado 12.4(15)T2 dos Serviços IP. Se uma versão de software diferente é usada, algumas características não podem estar disponíveis, ou os comandos configuration puderam diferir daqueles mostrados neste documento. As configurações similares devem estar disponíveis em todas as plataformas de roteador do Cisco IOS, embora a configuração da interface varie provavelmente entre Plataformas diferentes. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configurar Você pôde precisar de adicionar para ter certeza o roteamento baseado em política para o tráfego específico que usa sempre uma conexão ISP. Os exemplos do tráfego que puderam exigir este comportamento incluem clientes do IPSec VPN, monofones de VoIP, e todo o outro tráfego que dever sempre usar somente uma das opções de conexão ISP para preferir o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT, uma velocidade mais alta, ou para abaixar a latência na conexão. Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção. Diagrama de Rede Este documento utiliza a seguinte configuração de rede:

Este exemplo de configuração, como ilustrado no diagrama da rede, descreve um roteador de acesso que use uma conexão IP DHCP-configurada a um ISP (como mostrado pelos FastEthernet 0) e uma conexão PPPoE sobre a outra conexão ISP. Os tipos de conexão não têm nenhum impacto particular na configuração, a menos que o Rastreamento de objetos e o roteamento de extremidade aperfeiçoado (OER) e/ou o roteamento baseado em política deverem ser usada com uma conexão com o Internet DHCP-atribuída. Nesses casos, pode ser muito difícil definir um roteador de próximo salto para o roteamento de política ou o OER. Discussão de política de firewall Este exemplo de configuração descreve uma política de firewall que permita conexões simples TCP, UDP, e ICMP da zona de Segurança do interior à zona de Segurança da parte externa e acomode conexões de FTP de partida e o tráfego de dados correspondentes para transferências do active e do FTP passivo. Todo o tráfego do aplicativo complexo (por exemplo, sinalização voip e media) que não é segurado por esta política básica operar-se-á provavelmente com capacidade diminuída, ou pode falhar inteiramente. Esta política de firewall obstrui todas as conexões da zona de Segurança pública à zona privada, que inclui todas as conexões que são acomodadas pela transmissão da porta NAT. Você deve construir configurações adicionais da política de firewall para acomodar o tráfego adicional que não é segurado por esta configuração básica. Se você tem perguntas no projeto e na configuração de política de firewall da política Zona- Basear, refira o projeto do Firewall da política e o guia Zona-baseados do aplicativo. Configuração de CLI Configuração do IOS Cisco CLI

track timer interface 5 track 123 rtr 1 reachability delay down 15 up 10 track 345 rtr 2 reachability delay down 15 up 10 ---Configure timers on route tracking class-map type inspect match-any priv-pub-traffic match protocol ftp match protocol tcp match protocol udp match protocol icmp policy-map type inspect priv-pub-policy class type inspect priv-pub-traffic inspect class classdefault zone security public zone security private zone-pair security priv-pub source private destination public service-policy type inspect priv-pub-policy interface FastEthernet0 ip address dhcp ip dhcp client route track 345 ip nat outside ip virtual-reassembly zone security public ---Use ip dhcp client route track [number] --- to monitor route on DHCP interfaces --- Define ISP-facing interfaces with ip nat outside interface FastEthernet1 no ip address pppoe enable no cdp enable interface FastEthernet2 no cdp enable interface FastEthernet3 no cdp enable interface FastEthernet4 no cdp enable interface FastEthernet5 no cdp enable interface FastEthernet6 no cdp enable interface FastEthernet7 no cdp enable interface FastEthernet8 no cdp enable interface FastEthernet9 no cdp enable interface Vlan1 description LAN Interface ip address 192.168.108.1 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 zone security private --- Define LAN-facing interfaces with ip nat inside Interface Dialer 0 description PPPoX dialer ip address negotiated ip nat outside ip virtualreassembly ip tcp adjust-mss zone security public --- Define ISP-facing interfaces with ip nat outside" ip route 0.0.0.0 0.0.0.0 dialer 0 track 123 ip nat inside source route-map fixed-nat interface Dialer0 overload ip nat inside source route-map dhcp-nat interface FastEthernet0 overload ---Configure NAT overload (PAT) to use route-maps ip sla 1 icmp-echo 172.16.108.1 source-interface Dialer0 timeout 1000 threshold 40 frequency 3 ---Configure an OER tracking entry to monitor the ---first ISP connection ip sla 2 icmp-echo 172.16.106.1 source-interface FastEthernet0 timeout 1000 threshold 40 frequency 3 --- Configure a second OER tracking entry to monitor ---the second ISP connection ip sla schedule 1 life forever start-time now ip sla schedule 2 life forever start-time now ---Set the SLA schedule and duration access-list 110 permit ip 192.168.108.0 0.0.0.255 any --- Define ACLs for traffic that will be --- NATed to the ISP connections route-map fixed-nat permit 10 match ip address 110 match interface Dialer0 route-map dhcp-nat permit 10 match ip address 110 match interface FastEthernet0 --- Route-maps associate NAT ACLs with NAT --- outside on the ISP-facing interfaces Use o seguimento DHCP-atribuído da rota: Configuração do IOS Cisco CLI

interface FastEthernet0 description Internet Intf ip dhcp client route track 123 ip address dhcp ip nat outside ip virtual-reassembly speed 100 full-duplex no cdp enable Verificar Use esta seção para confirmar se a sua configuração funciona corretamente. A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. mostre a IP a tradução nat Atividade dos indicadores NAT entre host internos NAT e host exteriores NAT. Este comando fornece a verificação que os host internos estão sendo traduzidos a ambos os endereços exteriores NAT.Router#show ip nat tra Pro Inside global Inside local Outside local Outside global tcp 172.16.108.44:54486 192.168.108.3:54486 172.16.104.10:22 172.16.104.10:22 tcp 172.16.106.42:49620 192.168.108.3:49620 172.16.102.11:80 172.16.102.11:80 tcp 172.16.108.44:1623 192.168.108.4:1623 172.16.102.11:445 172.16.102.11:445 Router# mostre a rota IP Verifica que as rotas múltiplas ao Internet estão disponíveis.router#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 172.16.108.1 to network 0.0.0.0 C 192.168.108.0/24 is directly connected, Vlan1 172.16.0.0/24 is subnetted, 2 subnets C 172.16.108.0 is directly connected, FastEthernet4 C 172.16.106.0 is directly connected, Vlan106 S* 0.0.0.0/0 [1/0] via 172.16.108.1 [1/0] via 172.16.106.1 o tipo do mapa de política da mostra inspeciona sessões dos zona-pares Atividade da inspeção do Firewall dos indicadores entre anfitriões da privado-zona e anfitriões da públicozona. Este comando fornece a verificação que o tráfego nos host internos está inspecionado enquanto os anfitriões se comunicam com os serviços na zona de segurança externa. Troubleshooting Verifique estes artigos se as conexões não trabalham depois que você configura o roteador do Cisco IOS com NAT: O NAT é aplicado apropriadamente na parte externa e nas interfaces internas. A configuração de NAT está completa, e os ACL refletem o tráfego que deve ser NATed. As rotas múltiplas ao Internet/WAN estão disponíveis. Se você usa a rota que segue, verifique o estado da rota que segue a fim assegurar-se de que as conexões com o Internet estejam disponíveis. A política de firewall reflete exatamente a natureza do tráfego que você deseja permitir através do roteador.

Informações Relacionadas Cisco IOS Firewall Referência de comandos dos Serviços de endereçamento IP do Cisco IOS - Comandos nat Projeto do Firewall da política e guia Zona-baseados do aplicativo Manual de configuração aperfeiçoado Cisco IOS do roteamento de extremidade, liberação 12.4T Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback