mehrere ips aus selben subnet auf einem interface

[daking]

Hola,

wie hast du vrfs auf den Subinterfaces konfiguriert?

brgds

Thomas

[yoghourt]

Zitat von daking Hola, wie hast du vrfs auf den Subinterfaces konfiguriert? brgds Thomas

ich sachma strg-v

ip subnet-zero
ip cef
!
!
!
ip vrf kunde-a
rd 1000:2
route-target export 1000:2
route-target import 1000:2
!
ip vrf kunde-b
rd 1000:3
route-target export 1000:3
route-target import 1000:3
!
!
!
!
!
!
!
!
!
!
!
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
no ip address
speed auto
full-duplex
!
interface FastEthernet0/0.1
description kunde-a outside
encapsulation dot1Q 2
ip vrf forwarding kunde-a
ip address 62.206.118.243 255.255.255.192
ip nat outside
!
interface FastEthernet0/0.2
description kunde-b outside
bandwidth 64
encapsulation dot1Q 3 native
ip vrf forwarding kunde-b
ip address 62.206.118.244 255.255.255.192
ip nat outside
!
interface FastEthernet0/0.3
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.1
description kunde-a inside
encapsulation dot1Q 2
ip vrf forwarding kunde-a
ip address 10.0.10.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1.2
description kunde-b inside
encapsulation dot1Q 3
ip vrf forwarding kunde-b
ip address 10.0.20.1 255.255.255.0
ip nat inside
!
ip nat inside source list 101 interface FastEthernet0/0.2 vrf kunde-b overload
ip nat inside source list 100 interface FastEthernet0/0.1 vrf kunde-a overload
ip classless
ip route vrf kunde-a 0.0.0.0 0.0.0.0 62.206.118.193
ip route vrf kunde-b 0.0.0.0 0.0.0.0 62.206.118.193
no ip http server
!
!
access-list 100 permit ip 10.0.10.0 0.0.0.255 any
access-list 101 permit ip 10.0.20.0 0.0.0.255 any

[daking]

Hallo,

die Konstellation kapier ich nicht ganz.

wo gehen die dot1Q Interfaces mit den öffentlichen Addressen hin, wozu benötigst du die ?
Kannst doch dann ohne Probleme die Interfaces via Trunk zum router und dann in einen pool Naten via source ohne Trunk richtung INternet (?? wo ist der angeschlossen?). So bleiben auch die öffentlichen IPs immer einem Kunden zugewiesen. Zwischen den Kunden mit ACLs einfach absichern und finito. Denke du benötigst hier kein VRF, da du keine Kunden mit gleichen IP Ranges hast oder irgendwelche anderen überschneidungen.


Ciao

Thomas

[yoghourt]

Zitat von daking Hallo, die Konstellation kapier ich nicht ganz. wo gehen die dot1Q Interfaces mit den öffentlichen Addressen hin, wozu benötigst du die ?

die .1q´s mit den öffentlichen IPs hängen (bzw. sollen) in meinem öffentlichen Subnet hängen. Damit jeder Kunde seine eigene feste IP hat.

Zitat von daking Kannst doch dann ohne Probleme die Interfaces via Trunk zum router und dann in einen pool Naten via source ohne Trunk richtung INternet

das versteh ich nich, wie du das meinst. was meinst du mit via trunk? und in welchen pool soll ich was natn?
meinste nen transfernetzt? könnteste mal n kleines beispiel postn?

Zitat von daking (?? wo ist der angeschlossen?). So bleiben auch die öffentlichen IPs immer einem Kunden zugewiesen. Zwischen den Kunden mit ACLs einfach absichern und finito. Denke du benötigst hier kein VRF, da du keine Kunden mit gleichen IP Ranges hast oder irgendwelche anderen überschneidungen. Thomas

Doch, da sind Kunden mit gleichen IP-Ranges. Hab der einfachhalt halber mit zwei verschieden Netzen angefangen zu probieren. Letztlich sollen da 15-20 Kunden drauf konnektiert werden.

BTW: Ob für diese Aufgabe mein 2651 mit 96MB Ram ausreichend ist?

Danke
Anton

[daking]

Hola,
fallst du doch mit VRF machen willst (was du jedoch nicht benötigst) hier die funktionierende Config..
!
ip dhcp use vrf connected
!
ip dhcp pool Customer_A
import all
vrf Customer_A
network 10.1.100.0 255.255.255.0
default-router 10.1.100.1
domain-name custA.de
!
ip dhcp pool Customer_B
vrf Customer_B
network 10.1.100.0 255.255.255.0
default-router 10.1.100.1
domain-name custB.de
!
ip dhcp pool Customer_C
vrf Customer_C
network 10.1.100.0 255.255.255.0
default-router 10.1.100.1
domain-name custC.de
!
!
ip vrf Customer_A
rd 10.1.100.0:1
!
ip vrf Customer_B
rd 10.1.100.0:2
!
ip vrf Customer_C
rd 10.1.100.0:3
!
nterface FastEthernet0/0
description -->to World
ip address 192.168.99.100 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1.100
description Customer_A
encapsulation dot1Q 100
ip vrf forwarding Customer_A
ip address 10.1.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1.150
description Customer_C
encapsulation dot1Q 150
ip vrf forwarding Customer_B
ip address 10.1.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/1.200
description Customer_B
encapsulation dot1Q 200
ip vrf forwarding Customer_C
ip address 10.1.100.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
!
ip route vrf Customer_A 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1
ip route vrf Customer_B 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1
ip route vrf Customer_C 0.0.0.0 0.0.0.0 FastEthernet0/0 192.168.99.1
!
ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0
ip nat pool insideB 192.168.99.111 192.168.99.111 netmask 255.255.255.0
ip nat pool insideC 192.168.99.112 192.168.99.112 netmask 255.255.255.0
ip nat inside source list 1 pool insideA vrf Customer_A overload
ip nat inside source list 1 pool insideB vrf Customer_B overload
ip nat inside source list 1 pool insideC vrf Customer_C overload
!
access-list 1 permit 10.0.0.0 0.255.255.255

!

Gruß

Thomas

[daking]

Hola,

sorry. hab das mit den gleichen IPs übersehen. Wenn du nun die IPs anpasst sollte das klappen...

Kurze Erklärung:

fa0/0 => Internet
fa0/1 => Trunk zum Switch

beachte die IP Range im Nat pool => nur eine => ist die externe des Kunden...

vrf is cool!

Ciao

[yoghourt]

Erstma vielen Dank für deine Mühe.

Allerdings versteh ich nich so ganz, an welcher stelle jeder einzelne Kunde seine feste IP bekommt. Hast du das bedacht?

Gruß
Anton

[daking]

Hola,

logo

ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0
ip nat pool insideB 192.168.99.111 192.168.99.111 netmask 255.255.255.0
ip nat pool insideC 192.168.99.112 192.168.99.112 netmask 255.255.255.0

==> 192.168.99.110 in 62.206.118.243 usw..

P.S.

ist dir klar, warum deine Config nur über das native VLAN gefunzt hat??


Ciao

[yoghourt]

Zitat von daking Hola, logo ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0 ip nat pool insideB 192.168.99.111 192.168.99.111 netmask 255.255.255.0 ip nat pool insideC 192.168.99.112 192.168.99.112 netmask 255.255.255.0 ==> 192.168.99.110 in 62.206.118.243 usw.. P.S. ist dir klar, warum deine Config nur über das native VLAN gefunzt hat?? Ciao

....auf die Gefahr hin, **** dazustehen: An welcher Stelle konfiguriere ich die öffentlichen IPs? Oder brauch ich dafür nen weiteren Router?
Ich hätte nämlich gern ne Lösung, bei der ich nich an den Router des öffentlichen Netzes ran muss, da der vom Provider gemanaged wird und dieser jedes mal Geld für jede kleine Änderung haben will.

Wegen dem native VLAN: Weil es in dem 62er Netz keine VLANs gab und somit nur die nativen, quasi ungetaggten Pakete akzeptiert wurden...?

[daking]

Hola,

sorry for the delay...

==>

ip nat pool insideA 192.168.99.110 192.168.99.110 netmask 255.255.255.0

==>

ip nat pool <KundeA> <öffentliche IP> <öffentliche IP> netmask <mask>

==>
die Gegenseite wird keine 802.1Q Frames akzeptieren. Nur das vom alten Standart "flache" native VLAN.

P.S. keiner steht ****e dar, jedoch muss man ab und zu ****e da stehen um zu lernen. Habe ich oft genug hinter mir...

Ciao