Cisco1812の設定について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
Artesia
投稿数: 7
投稿数: 7
来月CCNAを取得するにあたり、1812Jを2台購入しました。
検証機とは別に、実運用してみようと思い、下記設定をしましたが、
思うように動きません。設定ミスポイントを教えて下さい。
【状況】
VLAN10のセグメントにPCをつないで、グローバルIPを指定すると、
インターネットにはつながります。
VLAN1のセグメントからインターネットに繋がるようにするにはどうしたらよろしいでしょうか。
【要件】(光ネクストUnnumbered接続/固定IP8個)
・VLANを2つに分ける(DMZとしてグローバルIPを直接指定して利用する為)
・DMZ側(VLAN10)に指定したグローバルIPをプライベート側のIPにOverloadする。
・(できれば)プライベート側のIPをDMZ側のグローバルIPにStaticNATで指定したい。
【コンフィグ】
interface FastEthernet0
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
interface FastEthernet2 ※(F2-F5は同一)
switchport access vlan 10
interface FastEthernet6 ※(F6-F9は同一)
switchport access vlan 1
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
interface Vlan10
ip address AAA.BBB.CCC.DD1 255.255.255.248
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1414
interface Dialer1
ip unnumbered Vlan10
ip mtu 1454
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ***@***
ppp chap password 0 ****
ip nat inside source list 100 interface Vlan10 overload
ip nat inside source static 192.168.0.2 AAA.BBB.CCC.DD2
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
dialer-list 100 protocol ip permit
ip route 0.0.0.0 0.0.0.0 Dialer1
検証機とは別に、実運用してみようと思い、下記設定をしましたが、
思うように動きません。設定ミスポイントを教えて下さい。
【状況】
VLAN10のセグメントにPCをつないで、グローバルIPを指定すると、
インターネットにはつながります。
VLAN1のセグメントからインターネットに繋がるようにするにはどうしたらよろしいでしょうか。
【要件】(光ネクストUnnumbered接続/固定IP8個)
・VLANを2つに分ける(DMZとしてグローバルIPを直接指定して利用する為)
・DMZ側(VLAN10)に指定したグローバルIPをプライベート側のIPにOverloadする。
・(できれば)プライベート側のIPをDMZ側のグローバルIPにStaticNATで指定したい。
【コンフィグ】
interface FastEthernet0
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
interface FastEthernet2 ※(F2-F5は同一)
switchport access vlan 10
interface FastEthernet6 ※(F6-F9は同一)
switchport access vlan 1
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1414
interface Vlan10
ip address AAA.BBB.CCC.DD1 255.255.255.248
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1414
interface Dialer1
ip unnumbered Vlan10
ip mtu 1454
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ***@***
ppp chap password 0 ****
ip nat inside source list 100 interface Vlan10 overload
ip nat inside source static 192.168.0.2 AAA.BBB.CCC.DD2
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
dialer-list 100 protocol ip permit
ip route 0.0.0.0 0.0.0.0 Dialer1
Re: Cisco1812の設定について
msg# 1.1
ゲスト
投稿数: 0
vlan間ルーティングさせる為のコマンドが足りない気がしますけど
Artesia
投稿数: 7
投稿数: 7
jupiter134さん ご回答ありがとうございます。
ip routing を投入してもだめでした。
ip routing を投入してもだめでした。
Re: Cisco1812の設定について
msg# 1.3
ゲスト
投稿数: 0
ああ、すいません。
たしかに違うようでした。
たしかに違うようでした。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
コンフィグだけ見ても判断がつかなかったのですが、
・PCのIPアドレス、サブネットマスク、デフォルトゲートウェイはどういう設定ですか?
・同様に、DNS設定はどうなってますか?
・どこかへping/tracerouteなりをうって確認などされていると思うのですが、その宛先と結果はどうなりましたか?
・PCのIPアドレス、サブネットマスク、デフォルトゲートウェイはどういう設定ですか?
・同様に、DNS設定はどうなってますか?
・どこかへping/tracerouteなりをうって確認などされていると思うのですが、その宛先と結果はどうなりましたか?
Re: Cisco1812の設定について
msg# 1.5
ゲスト
投稿数: 0
回答じゃなくて申し訳ありませんが、vlan1 IFから出ていき、vlan10 IFに入って同じvlan10 IFから出て行くのって出来るんでしょうか、とそもそもの疑問が沸きました。
Artesia
投稿数: 7
投稿数: 7
arashi1977さんありがとうございます
VLAN10のアドレスの次のアドレス/29をPCに指定し、
GWはVLAN10のアドレスを指定しました。
DNSは、8.8.8.8をとりあえず指定しています。
この状態では、つながりました。
逆に、PCのIPを192.168.0.2/24などにして、
GWをVLAN1のアドレス、DNSを8.8.8.8にすると繋がりません。
この時に別のプロバイダからVLAN10のIPにtracerouteをすると、
プロバイダの装置?でループしてしまいます。
VLAN10のアドレスの次のアドレス/29をPCに指定し、
GWはVLAN10のアドレスを指定しました。
DNSは、8.8.8.8をとりあえず指定しています。
この状態では、つながりました。
逆に、PCのIPを192.168.0.2/24などにして、
GWをVLAN1のアドレス、DNSを8.8.8.8にすると繋がりません。
この時に別のプロバイダからVLAN10のIPにtracerouteをすると、
プロバイダの装置?でループしてしまいます。
Artesia
投稿数: 7
投稿数: 7
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
確認ですが、提示されたコンフィグでは
となっていますが、参考にしたとされるサイトでは ip nat inside source static 定義は無いですよね。
これ外したらどうなるんでしょう?
それと
引用:具体的に、どう繋がらないんでしょう?
・NATテーブルの状態は?
・tracerouteうった結果はどこで止まるのか?
とか
ip nat inside source list 100 interface Vlan10 overload
ip nat inside source static 192.168.0.2 AAA.BBB.CCC.DD2
これ外したらどうなるんでしょう?
それと
引用:
逆に、PCのIPを192.168.0.2/24などにして、
GWをVLAN1のアドレス、DNSを8.8.8.8にすると繋がりません。
・NATテーブルの状態は?
・tracerouteうった結果はどこで止まるのか?
とか
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
あ、根本的になんか変な気が。
VLAN10が ip nat outsideってなってますけど、これなんでですか?
VLAN1からNATされて外出て行く時、VLAN10とDialerとどっちから出て行くんでしょ?
光ネクストとの接続はFastEthernet0?それともVLAN10のポート?
VLAN10が ip nat outsideってなってますけど、これなんでですか?
VLAN1からNATされて外出て行く時、VLAN10とDialerとどっちから出て行くんでしょ?
光ネクストとの接続はFastEthernet0?それともVLAN10のポート?
Re: Cisco1812の設定について
msg# 1.5.1.1
ゲスト
投稿数: 0
URLありがとうございます。あとで見てみます。
Artesia
投稿数: 7
投稿数: 7
昨日から、試行錯誤している中で、問題点が見えてきたので、記載します。
【状況1】
多分まともな、ヤマハ(RTX1100)のコンフィグで同じこと
(VLANではなくインタフェース単位ではあるが)をすると、
プライベートのセグメントもグローバル固定のセグメントも問題なく通信可。
→同時にセッションを張っている別のISPからtracerouteすると、ループしないで、
グローバル側のGWまでたどり着く(正常)。
【本題のCisco1812の状況】
当初のVLAN10ではなく、F1のインタフェースに直接GLOBAL-IPを指定。
上記F1のインタフェースに指定したGLOBAL-IPをインタフェースごとOverloadせず、
グローバル側のGWアドレスを一旦プールして、そのIPをOverloadする。
これで、グローバル側、プライベート側の通信は成功したように見え、
ブラウジングも出来るが、別ISPから同様にTraceRouteすると、
グローバル側のGWのアドレスと、1つ手前のISPルータ?でループしている。
この状況は、自分のスキルでは、打破できそうにないので、
Unnumberedを諦め、NAT変換で対応しようかも検討中です。
自宅ラボなんていうカッコいいものではありませんがServerの運用している為、
ServerのIPを変えるのが早いか、Ciscoの問題解決が早いか。。。
こんな状況です。返信が遅れて申し訳ありません。
(今は、とりあえず、Yamahaで通信しています。)
【状況1】
多分まともな、ヤマハ(RTX1100)のコンフィグで同じこと
(VLANではなくインタフェース単位ではあるが)をすると、
プライベートのセグメントもグローバル固定のセグメントも問題なく通信可。
→同時にセッションを張っている別のISPからtracerouteすると、ループしないで、
グローバル側のGWまでたどり着く(正常)。
【本題のCisco1812の状況】
当初のVLAN10ではなく、F1のインタフェースに直接GLOBAL-IPを指定。
上記F1のインタフェースに指定したGLOBAL-IPをインタフェースごとOverloadせず、
グローバル側のGWアドレスを一旦プールして、そのIPをOverloadする。
これで、グローバル側、プライベート側の通信は成功したように見え、
ブラウジングも出来るが、別ISPから同様にTraceRouteすると、
グローバル側のGWのアドレスと、1つ手前のISPルータ?でループしている。
この状況は、自分のスキルでは、打破できそうにないので、
Unnumberedを諦め、NAT変換で対応しようかも検討中です。
自宅ラボなんていうカッコいいものではありませんがServerの運用している為、
ServerのIPを変えるのが早いか、Ciscoの問題解決が早いか。。。
こんな状況です。返信が遅れて申し訳ありません。
(今は、とりあえず、Yamahaで通信しています。)
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
うーん、念のため確認です。
※私は自宅でこういうことやってないのでわかってない部分もあるので間違ってるかもしれません。
・要件には「光ネクストUnnumbered接続/固定IP8個」とあるのですが、これはDialer1にはIPアドレスを割り当てない、という認識でいいのですよね?
・取得したグローバルIPアドレス8個はVLAN10のセグメントに割り当ててるので、プライベートセグメントであるVLAN1から外へ出ていくときは、Dialer1でoverloadするのではなく、VLAN10のアドレスのいずれかでoverloadするのですよね?
・ip nat inside static の定義があるので、実際にはServerはVLAN1配下にあるのですよね?
もし上記の想定があってれば、Dialer1にip nat outsideを設定するのが不要なのではないでしょうか?
実際に動作確認したときの
show ip nat translations
show ip nat statistics
の結果はどうなっているのでしょうか?
あとは…ヤマハのコンフィグも見てみたいかなぁ、とか
※私は自宅でこういうことやってないのでわかってない部分もあるので間違ってるかもしれません。
・要件には「光ネクストUnnumbered接続/固定IP8個」とあるのですが、これはDialer1にはIPアドレスを割り当てない、という認識でいいのですよね?
・取得したグローバルIPアドレス8個はVLAN10のセグメントに割り当ててるので、プライベートセグメントであるVLAN1から外へ出ていくときは、Dialer1でoverloadするのではなく、VLAN10のアドレスのいずれかでoverloadするのですよね?
・ip nat inside static の定義があるので、実際にはServerはVLAN1配下にあるのですよね?
もし上記の想定があってれば、Dialer1にip nat outsideを設定するのが不要なのではないでしょうか?
実際に動作確認したときの
show ip nat translations
show ip nat statistics
の結果はどうなっているのでしょうか?
あとは…ヤマハのコンフィグも見てみたいかなぁ、とか
Artesia
投稿数: 7
投稿数: 7
arashi1977さん。
>・要件には「光ネクストUnnumbered接続/固定IP8個」とあるのですが、
>これはDialer1にはIPアドレスを割り当てない、という認識でいいのですよね?
ip unnumbered Vlan10
→これでVLAN10と設定しています。
ちなみに、Numbered(割り当てる場合)は、
ip address negotiated
→このコマンドで自動割り当てだと思います。
>・取得したグローバルIPアドレス8個はVLAN10のセグメントに割り当ててるので、
>プライベートセグメントであるVLAN1から外へ出ていくときは、Dialer1でoverloadするのではなく、
>VLAN10のアドレスのいずれかでoverloadするのですよね?
いずれかではなく、AAA.BBB.CCC.DD1の認識ですが。。。
>・ip nat inside static の定義があるので、実際にはServerは>VLAN1配下にあるのですよね?
コンフィグ上その記載も入っていますが、DMZセグメントにもサーバーは設置する想定ですので、
VLAN1(一部)、VLAN10、両方に設置する想定です。
>もし上記の想定があってれば、Dialer1にip nat outsideを
>設定するのが不要なのではないでしょうか?
これは、ほかの方のサイトを参考にしたので、実際私ももわかりません
>実際に動作確認したときの
>show ip nat translations
>show ip nat statistics
>の結果はどうなっているのでしょうか?
ごめんなさい、現状プロバイダを変えるため、
ログを取れていませんが、これから、新ISPで同じ構成で組むので、
その時にやってみます。
>あとは…ヤマハのコンフィグも見てみたいかなぁ、とか
長くなったので、別投稿します。
>・要件には「光ネクストUnnumbered接続/固定IP8個」とあるのですが、
>これはDialer1にはIPアドレスを割り当てない、という認識でいいのですよね?
ip unnumbered Vlan10
→これでVLAN10と設定しています。
ちなみに、Numbered(割り当てる場合)は、
ip address negotiated
→このコマンドで自動割り当てだと思います。
>・取得したグローバルIPアドレス8個はVLAN10のセグメントに割り当ててるので、
>プライベートセグメントであるVLAN1から外へ出ていくときは、Dialer1でoverloadするのではなく、
>VLAN10のアドレスのいずれかでoverloadするのですよね?
いずれかではなく、AAA.BBB.CCC.DD1の認識ですが。。。
>・ip nat inside static の定義があるので、実際にはServerは>VLAN1配下にあるのですよね?
コンフィグ上その記載も入っていますが、DMZセグメントにもサーバーは設置する想定ですので、
VLAN1(一部)、VLAN10、両方に設置する想定です。
>もし上記の想定があってれば、Dialer1にip nat outsideを
>設定するのが不要なのではないでしょうか?
これは、ほかの方のサイトを参考にしたので、実際私ももわかりません
>実際に動作確認したときの
>show ip nat translations
>show ip nat statistics
>の結果はどうなっているのでしょうか?
ごめんなさい、現状プロバイダを変えるため、
ログを取れていませんが、これから、新ISPで同じ構成で組むので、
その時にやってみます。
>あとは…ヤマハのコンフィグも見てみたいかなぁ、とか
長くなったので、別投稿します。
Artesia
投稿数: 7
投稿数: 7
arashi1977さん。ヤマハの多分まともなコンフィグです。
# RTX1100 Rev.8.03.92 (Thu Feb 16 20:50:25 2012)
# Reporting Date: Feb 8 19:22:09 2014
#
# IP configuration
#
ip route default gateway pp 1
#
# LAN configuration
#
ip lan1 address 192.168.100.1/24
ip lan2 address AAA.BBB.CCC.DD0/29
ip lan3 nat descriptor 1
#
# PP configuration
#
pp disable all
### PP 1 ###
pp select 1
pp always-on on
pppoe use lan3
pppoe auto disconnect off
pp auth accept chap
pp auth myname User-ID PASSWORD
ppp lcp mru on 1454
ppp ipcp msext on
ip pp nat descriptor 1
pp enable 1
#
# NAT Descriptor configuration
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 AAA.BBB.CCC.DD1
nat descriptor address inner 1 192.168.100.1-192.168.100.254
nat descriptor static 1 1 AAA.BBB.CCC.DD2=192.168.100.2 1
#
# DHCP configuration
#
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.128-192.168.100.254/24
#
# DNS configuration
#
dns server pp 1
# RTX1100 Rev.8.03.92 (Thu Feb 16 20:50:25 2012)
# Reporting Date: Feb 8 19:22:09 2014
#
# IP configuration
#
ip route default gateway pp 1
#
# LAN configuration
#
ip lan1 address 192.168.100.1/24
ip lan2 address AAA.BBB.CCC.DD0/29
ip lan3 nat descriptor 1
#
# PP configuration
#
pp disable all
### PP 1 ###
pp select 1
pp always-on on
pppoe use lan3
pppoe auto disconnect off
pp auth accept chap
pp auth myname User-ID PASSWORD
ppp lcp mru on 1454
ppp ipcp msext on
ip pp nat descriptor 1
pp enable 1
#
# NAT Descriptor configuration
#
nat descriptor type 1 masquerade
nat descriptor address outer 1 AAA.BBB.CCC.DD1
nat descriptor address inner 1 192.168.100.1-192.168.100.254
nat descriptor static 1 1 AAA.BBB.CCC.DD2=192.168.100.2 1
#
# DHCP configuration
#
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.128-192.168.100.254/24
#
# DNS configuration
#
dns server pp 1
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
やってること同じといえば同じですねぇ…
試しにDialerは使わずSerial-Serialでつないだ構成でサンプル的に作ってみましたけど、ちゃんとNATはできましたので想定しているのとは違うところなのかなぁ…
・tracerouteの結果
・show ip nat translationsの結果
・可能ならdebug ip natとかdebug ip packetの結果
とか見ないと判断つかないかもしれません。
試験的に作った環境のコンフィグはこちら。
これで
・R1(192.168.0.2)→200.2.2.2, 100.1.1.1へping可(送信元:200.1.1.2に見える)
・R1(192.168.0.3)→200.2.2.2, 100.1.1.1へping可(送信元:200.1.1.1に見える)
・R2(100.1.1.1, 200.2.2.2)→200.1.1.2へping可(192.168.0.2へ飛んでいる)
・R2(100.1.1.1, 200.2.2.2)→200.1.1.1へping可(当然ですが)
の確認はとれました。
R1:(VLAN定義とかインタフェースへの割り当ては割愛)
R2:
試しにDialerは使わずSerial-Serialでつないだ構成でサンプル的に作ってみましたけど、ちゃんとNATはできましたので想定しているのとは違うところなのかなぁ…
・tracerouteの結果
・show ip nat translationsの結果
・可能ならdebug ip natとかdebug ip packetの結果
とか見ないと判断つかないかもしれません。
試験的に作った環境のコンフィグはこちら。
これで
・R1(192.168.0.2)→200.2.2.2, 100.1.1.1へping可(送信元:200.1.1.2に見える)
・R1(192.168.0.3)→200.2.2.2, 100.1.1.1へping可(送信元:200.1.1.1に見える)
・R2(100.1.1.1, 200.2.2.2)→200.1.1.2へping可(192.168.0.2へ飛んでいる)
・R2(100.1.1.1, 200.2.2.2)→200.1.1.1へping可(当然ですが)
の確認はとれました。
R1:(VLAN定義とかインタフェースへの割り当ては割愛)
hostname R1
!
interface Serial0/0
ip unnumbered Vlan10
ip nat outside
ip virtual-reassembly
encapsulation ppp
!
interface Vlan1
ip address 192.168.0.2 255.255.255.0 secondary
ip address 192.168.0.3 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan10
ip address 200.1.1.1 255.255.255.248
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
ip nat inside source list 100 interface Vlan10 overload
ip nat inside source static 192.168.0.2 200.1.1.2
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
R2:
hostname R2
!
interface FastEthernet0/0
ip address 200.2.2.2 255.255.255.248
duplex auto
speed auto
no keepalive
!
interface Serial0/0
ip unnumbered FastEthernet0/0
encapsulation ppp
!
interface FastEthernet0/1
ip address 100.1.1.1 255.255.255.0
duplex auto
speed auto
no keepalive
!
ip route 0.0.0.0 0.0.0.0 Serial0/0
