روت بر اساس Source IP در سیسکو (Connection Base Routing)
سلام
چطوری میشه توی سیکو بر اساس Connetion روت رو انجام داد؟
سناریو زیر رو در نظر بگیرید:
برای دسترسی به سرور هم از اینترنت و هم اینترانت تنظیمات روی هر دو آدرس 180.10.1.1 و 10.1.1.1 Destination Nat انجام شده. وقتی در خواست از سمت اینترنت باشه که خوب مشکلی وجود نداره. ولی زمانی که درخواست از سمت اینترانت ایجاد میشه با توجه به اینکه Default Route به سمت اینترنت هست درخواست به دست client نمیرسه. آی پی کلاینت هایی که از اینترانت میان الزاما توی رنج 10.0.0.0/8 نیست و نمیشه بر این اساس روت نوشت.
مسئله این هست که وقتی از سمت اینترانت در خواستی میاد پاسخ هم از سمت اینترانت و با آی پی اینترانتی برگرداننده بشه و وقتی در خواست از سمت اینترنت میاد پاسخ از سمت اینترنت برگردانده بشه.
روتر سناریو سیسکو هست. تنظیمات DS NAT:
ip nat inside source static tcp 192.168.1.2 80 180.1.1.1 80
ip nat inside source static tcp 192.168.1.2 80 10.1.1.1 80
ممنون میشم راهنمایی کنید یا اسم مبحثی که باید مطالعه کنم رو بفرمایید. مثلا بفرمایید مبحث QoS بخش Connetion Marking.
بسیار ممنون.
6 پاسخ
بله متاسفانه مشخص نیست به هر حال ممنون از لطفی که دارید و وقتی که گذاشتین.
باز هم ممنون از توضیح شما.
ولی نه متاسفانه مشکل حل نشد. بذارید مسئله رو این طوری عرض کنم. شما از داخل ایران میتونید بسته به نوع ISP میتونید به اینترانت دسترسی داشته باشید مثلا با آپی 5.10.9.8 میتونید ای پی 10.8.7.6 رو پینگ کنید.
حالا فرض کنید توی یه سازمان هستید و هم اینترانت دارید و هم اینترنت و روی هر دوی اینها مثل شکل بالا یک وب سایت رو پابلیش یا به اصطلاح DS Nat کردین.
خوب با توضیحی که اول دادم ممکن یه نفر از طریق اینترنت بخواد آی پی اینترانت رو باز کنه، بسته به دست روتر میرسه روتر بسته رو بدون اینکه آدرس مبدا رو تغییر بده (چون داره DST nat میکنه) فوروارد میکنه به سرور، سرور جواب رو میفرسته به gateway و روتر با توجه به روتینگ تیبل تصمیم میگیره کجا بفرسته. که اینجا از بعد از Src NAT از طریق اینترنت میفرسته بیرون حتی اگه روت برای 10.0.0.0 موجود باشه. بسته میرسه به دست فایروال سر راه کلاینت و دراپ میشه چون مبدا و مقصد با پکتی که کلاینت فرستاده هم خوانی ندارن.
اگر توی میکروتیک بود با Mangle و Mark Connection و یا dynamic access list میشد این مشکل رو حل کرد. ولی توی سیسکو متاسفانه نمی دونم چطوری باید این کار رو انجام بدم.
باز هم تشکر میکنم از جوابتون ولی مشکل با روت نویسی حل نمیشه با PBR هم نیمشه چون معلوم نیست چه آدرسی از اینترانت میاد. با Packet Marking هم به طبع نمیشه. و خوب سناریو هم نمیشه عوض کرد.
گرفتم.
پس شما اصلا نمی دونید که چه ای پی به سمت شما میاد؟ بله یک سری کارها که در میگروتیک به راحتی میشه در سیسکو شاید نشه و به سختی انجام بشه. سواد من در این حد بود و در خدمت بودم.ولی اگر یکی توضیح بده منم یاد بگیرم.
شما یک default route تعریف می کنید
برای مسیرهای خاص هم می گویید که : برای مقصد 10.x.x.x از اینترفیس z استفاده کن. وقتی از مبدا 10.x.x.x اطلاعات ارسال میشه تو header آدرس مبدا و مقصد قید شده و روتر کارش مسیردهی هست. پس به مقصد می رسد.
حالا مقصد وقتی می خواد جواب مبدا رو بده جای ادرس ها رو عوض می کنه و جواب رو ارسال می کنه. وقتی هم که شما route نوشته باشید روتر به همون اینترفیس که امده به همان اینترفیس هم تحویل میده.
در کل روتر بدون بیان جزئیات کارش این شکلیه. حالا دقیقا مشکل شما کجاست؟با این توضیح مشکل حل نشده؟
سلام
ممنون از وقتی که گذاشتین و جوابی که دادین، متاسفانه متوجه منظور شما نشدم.
امکانش هست دقیقتر توضیح بفرمایید.
ip route 10.x.x.0 255.255.255.0 Serial0/0/0 name intranet-10 ip route 192.168.10.0 255.255.255.0 Serial0/0/0 name intranet-192.10 ip route 192.168.20.0 255.255.255.0 Serial0/0/0 name intranet-192.20
منظور از Serial000 همون اینترفیس مربوط به intranet هست