Router con 4 WIC ADSL.

Unanswered Question
Oct 28th, 2011

Buenas tardes

Dispongo de un router Cisco 2811 con dos Bocas FE y 4 bocas WIC para ADSL

Mi idea es tener dos subredes independientes

  • RED WIFI, pinchada a la Boca FE 0/1. El router asigna por DHCP direcciones a los dispositivos conectados a esa red.
  • RED LAN. Pichada a la boca FE 0/0, tiene IP fijas.

Además las 4 WIC tienen salida a Internet con IP públicas fijas en cada boca

Se debe de cumplir los siguientes requisitos:

  • Los dispositivos de la red Wifi no pueden ver los dispositivos de las red conectada
  • Los dispositivos de la red LAN si pueden ver a la red Wifi, aunque no es imprescindible
  • Se deberá asignar una salida a Internet por cada WIC de esta forma:
    • Salida a Internet predeterminada y entrada VPN remota. ATM 0/0/0.1 Dialer 0
    • Dispositivos cámaras. Deberán salir a Internet y tener mapeados puertos desde la WIC 1. ATM 0/1/0.1.
    • Salida a Internet de la red WIFI conectada al FE 0/1, por ATM 0/3/0.1 Dialer 3
    • El ATM 0/2/0.1 Dialer 2 queda sin uso de momento.

Mi idea es discriminar el tráfico a Internet desde la red LAN en función de la IP de cada dispositivo. Para ello he creado listas de acceso, route-map, y los asigno a la Interface FE 0/0

Esto no lo puedo probar por que el router es para sustituir a 4 router en producción que hace esta función, y la idea era quitarlos e instalar solo este.

Adjunto la configuración, no se si se podrá hacer loq eu yo quiero y si se puede, esta mas o menos bien configurado

Agradeciera vuestra inestimable ayuda

Muchas gracias

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (2 ratings)
jorgfigu Mon, 10/31/2011 - 15:41

Hola,

Muchas gracias por escribirnos tus dudas.

Es correcto tu comentario sobre el control de flujos a partir de listas de acceso y route-maps. Cabe mencionar que cada una de ellas tiene una funcion distinta.

Listas de acceso: tienen dos principales funciones: Filtrar ( mas comun), Clasificar. Y tienen dos acciones: Permitir o Denegar.

Los Route-maps tienen dos acciones: Permitir o Denegar mas tienen dos funciones que permiten tener una manipoulacion mas granular de lo que deseas hacer que son: MATCH y SET

Revisando tu configuracion, te recomiendo que revises las listas de acceso donde las aplicas en un ROUTE-MAP. Esto es debido a que cuando aplicas unas ACL dentro de un ROUTE-MAP, dicha ACL tiene un funcionamiento de clasificar. Quien realmente hace la accion de denegar o permitir es el Route-map.

Te pongo un ejemplo:

ip access-list extended ACL_VPN_NAVEGAR

deny   ip host 192.168.X.X any

deny   ip host 192.168.Y.Y any

deny   ip host 192.168.Z.Z any

permit ip 192.168.W.0 0.0.0.C any

Esta lista de acceso con funcion de Filtro, es decir aplicado en una interffaz con el comando ip access-group, haria que el flujo con Source Addres (SA) que tuviera las IP's de los host 192.168.X.X, 192.168.Y.Y, 192.168.Z.Z fueran denegadas, mas cualquier otro flujo con IP del SA del segmento 192.168.W.0 seria permitdo.

Si aplico esta misma lista de acceso a un route-map de la siguiente forma:

route-map EMP permit 100

match ip address ACL_VPN_NAVEGAR

set interface Y

Lo que resulta es que la ACL funciona como clasificacion y se veria que si cumple con trafico de cualquier otra IP del segmento 192.168.W.0 entonces cumple con la ACL, por lo tanto cumple con la sentencia match del route-map y se le asigna el trafico hacia la interfaz Y.

Las sentencias deny host 192.168.X.X, 192.168.Y.Y, 192.168.Z.Z en la lista de acceso significaria que ese trafico no le es interesante, mas como la ACL esta aplicada a un route-map este trafico no hace match por lo tanto no entra en esta sentencia del route-map

Dicho esto, la idea que tienes es correcta y el concepto esta bien definido en tu diseno, solo revisa la configuracion de tu route map con las listas de acceso: ACL_VPN_NAVEGAR, ACL_NAT_TS, ACL_Dialer3.

Si no tienes equipo para realizar pruebas, te recomiendo que busques algun simulador que te permita verificar lo que estas tratando de usar.

Saludos!

ignaciobajo Wed, 11/02/2011 - 04:43

Hola Jorge,

Me queda alguna duda, te agradecería que me la aclarases

Indicas que con route-map, es el route-map que quien permite y deniega, no la ACL que solo actúa como clasificación, entonces en la sentencia route-map EMP permit 100, ¿la ACL solo puede tener permits y no denys? Si no es asi, ¿Cómo habría que configurar los denys en la ACL?

Otra pregunta es, una vez confgiruado el SET al interface en el route map, ¿es necesario asignar con ip policy route-map dentro del Interface en concreto o no es necesario?

Muchas gracias y un saludo

jorgfigu Wed, 11/02/2011 - 08:26

Hola Ignacio,

Respondiendo tus preguntas:

  1. ¿La ACL solo puede tener permits y no denys? Si no es asi, ¿Cómo habría que configurar los denys en la ACL?

Asi es, cuando utilizas una ACL dentro de route-map, o en general cuando la aplicas como clasificacion, entonces tiene sentido que la ACL solo contenga snetencias de permit.

Si deseas que ese trafico sea bloqueado entonces podrias crear una sentencia en el route-map de la seguiente forma:

!

route-map EMP permit 100

     match ip address X

     set interface X

!

route-map EMP deny 101

     match not ip address X

!

Asi la primera parte haria match con lo que cumple la ACL y si no cumple, seguiria la revision a la siguiente sentencia del route-map, en la segunda sentencia lo aplicas con un deny y hace match con todo lo que no cumpla con la sentencia de la ACL.

Otra solucion podria ser que crearas dos ACL, la primera que tenga sentencias de permit de todo trafico que deseas identificar y que se le manipule la interfaz de salida.  La segunda ACL la declaras con sentencias de permit del trafico que deseas identificar para que el route-map lo bloque.

2.    ¿Es necesario asignar con ip policy route-map dentro del Interface en concreto o no es necesario?

Es correcto, tienes que aplicar el route-map sobre la intefaz donde manipularias el trafico. Esto se conoce como Policy Base Route (PBR).

Siempre despues de declarar ya sea un ACL o un Route-map estos los debes de aplicar. Sino solo quedan declarados en forma global pero no realizarian ninguna accion.

Saludos!

ignaciobajo Sat, 11/05/2011 - 02:15

OK,

entiendo lo que indicas, ahora la pregunta es si yo puedo ternet dos route-map distiintos en la configuracion, es decir

route-map EMP_1 permit 100

.......................

..........................!

route-map EMP_2 deny 100

...........................

Y aplicarlos a distintos inteface de entrada, el primero para FE0/0 y el swfgundo par fe0/

Muchas gracias

jorgfigu Tue, 11/08/2011 - 08:10

Hola Ignacio,

Si se puede. Puedes crear N route-maps ( dependiendo de la memoria disponible que tengas) y aplicarlos sobre las interfaces. Solo ten en cuenta lo siguiente:

a) Un route-map por interfaz.

b) El route-map aplicado en la interfaz solo manipula el trafico de salida, no el de entrada.

Como sugerencia extra, es cierto que puede crear N route-maps mas ten en consideracion que es mejor tener una configuracion entendible y lo mas simple posible. Asi en el momento que tengas que realizar un Troubleshooting te sea sencillo.

Saludos!

Jorge Figueroa

ignaciobajo Wed, 11/09/2011 - 01:41

Muchas gracias Jorge,

he revisado toda la configuracion y creo qeu ya lo tengo bien, al final prefiero hacer varias route-map.

He estado mirando documentacion de cisco para casos similares, veo que hay un par de forma de aplicar lo route-map, o bien el la interface LAN de entrada de trafico con "ip policy route-map........" , o bien aplicandolo en la interface ATM de salida como "ip nat insice source route-map............". O aplican una u otra

Entiendo que el resultado sea el mismo pero configurado de diferentes formas.

¿Es correcto?

Muchas gracias por tu ayuda

Ignacio

Actions

Login or Register to take actions

This Discussion

Posted October 28, 2011 at 10:24 AM
Stats:
Replies:6 Avg. Rating:
Views:1054 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard