Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

41% установленного в мире софта является пиратским.

Сегодня наткнулся на забавную статью

Потери индустрии ПО от пиратства составляют 53 миллиарда долларов, причем 41 процент установленных в мире программ установлен незаконно, — об этом говорится в отчете Internet Piracy Report, подготовленном Business Software Alliance (BSA), организацией, объединяющей крупнейших производителей ПО, — сообщает Lenta.ru.

В BSA отмечают, что на каждый доллар, потерянный из-за пиратства разработчиками, приходится 3-4 доллара недополученной прибыли компаний, занимающихся поддержкой программ и их распространением.

Кроме того, в BSA полагают, что в странах, где высок уровень компьютерного пиратства, более активно распространяются вредоносные программы. Из 98 различных пиратских сайтов восемь процентов предлагали вредоносный софт, а семнадцать процентов — несколько подобных программ.

Авторы отчета в числе главных источников пиратских копий программ называют сайты онлайн-аукционов, файлообменные сети, ресурсы, обслуживающие корпоративных клиентов со скидкой на большие объемы заказов, а также социальные сети.

В Internet Piracy Report уточняется, что борьба с нелегальным ПО становится жестче. Если в первой половине 2008 года по инициативе BSA было закрыто 18314 онлайн-аукционов, то в тот же период 2009 года — 19 тысяч. За первые шесть месяцев 2009 года организация также потребовала убрать 103 тысячи торрент-файлов с популярных трекеров.

Из всего выше написанного могу предположить, что 40% из 41% пиратского софта установлено в России. Ибо цены на софт непомерны по российским меркам.

Всем удачи!

15.10.2009 Posted by | заметки | Комментарии к записи 41% установленного в мире софта является пиратским. отключены

RFC 1918 — Распределение адресов в частных IP-сетях.

Статус документа

Этот документ относится к числу обобщений реального опыта (Best Current Practices) сообщества Internet и приглашает к дополнительному обсуждению вопроса с целью дальнейшего развития. Документ может распространяться свободно.

1. Введение

В контексте данного документа предприятие рассматривается как автономная сеть на базе стека протоколов TCP/IP. В таком случае распределение адресов является внутренним делом предприятия. Документ рассматривает вопросы распределения адресов в частных IP-сетях. Корректное распределение адресов обеспечивает полную связность на сетевом уровне между всеми хостами предприятия, а также между публичными (общедоступными) хостами разных предприятий. Использование в сети предприятия частных (private) адресов может привести к необходимости смены адресов хостов и сетей, если сеть станет публичной.

2. Мотивация

По мере распространения технологий TCP/IP (включая и сети, не входящие в Internet), все большее число предприятий начинает использовать эту технологию и связанную с ней адресацию в корпоративных сетях, которые зачастую даже не связаны с другими сетями или Internet.

Скорость роста сети Internet превосходит все ожидания. Экспоненциальное увеличение числа хостов в сети порождает новые потребности и связанные с ними проблемы. Одной из таких проблем является нехватка адресов для обеспечения уникальности адреса каждому хосту, подключенному к Internet. Другой, связанной с этим проблемой, является усложнение маршрутизации. Ведутся работы по поиску решения этих проблем на длительный срок. Одним из способов решения этой проблемы является пересмотр процедуры распределения адресов и ее влияния на сложность маршрутизации в Internet.

Для упрощения маршрутизации провайдерам Internet выделяются блоки адресов, из которых они потом выделяют адреса своим заказчикам. В результате такого распределения адресов маршруты к множеству заказчиков можно агрегировать (объединять) и для других (внешних) провайдеров такие маршруты будут выглядеть как единый маршрут [RFC1518], [RFC1519]. Для того, чтобы объединение маршрутов было достаточно эффективным, провайдеры Internet стимулируют своих заказчиков к переходу на адреса из выделенных провайдеру блоков (с таким переходом связана смена адресов в компьютерах заказчиков). Смена адресов может потребоваться множеству пользователей Internet.

Текущие размеры сети Internet и темпы ее роста не позволяют надеяться, что организациям, использующим в частных (изолированных) сетях адреса, не полученные официально от уполномоченного регистратора, могут быть сохранены при подключении корпоративной сети к Internet. Напротив, можно с уверенностью говорит, что при подключении такой организации к сети Internet в этой сети придется менять адреса IP для всех хостов, связанных с Internet.

Обычно уникальный адрес присваивается каждому хосту, который использует TCP/IP. Для того чтобы продлить срок существования IPv4, процедуры выделения адресов существенно ужесточены и сейчас не каждая организация может получить в свое распоряжение дополнительные адреса [RFC1466].

Хосты в сетях, использующих IP можно разделить на три категории:

  1. Хосты, которым не требуется доступ в Internet или связь с другими сетями; хосты этой категории могут использовать IP-адреса, которые являются уникальными в масштабах данной сети, но могут совпадать с адресами хостов в других сетях.
  2. Хосты, которым требуется доступ к ограниченному числу внешних служб (например, электронная почта, FTP, новости, удаленный доступ), который может быть организован с использованием промежуточных шлюзов (например, шлюзов прикладного уровня). Для многих хостов этой категории неограниченный внешний доступ (на базе IP) может оказаться ненужным и даже нежелательным по соображениям безопасности. Подобно хостам первой категории такие хосты могут использовать IP-адреса, которые уникальны в масштабе предприятия, но могут совпадать с адресами хостов в других сетях.
  3. Хосты, которым требуется на сетевом уровне доступ за пределы сети предприятия (обеспечивается по протоколу IP); адреса таких хостов должны быть уникальными в глобальном масштабе.

Будем говорить об адресах хостов первых двух категорий как о частных (private), а адреса третьей категории будем называть публичными (public).

Многим приложениям не требуется доступ во внешние сети (за пределы сети предприятия) для большинства хостов. В крупных предприятиях можно выделить часть хостов, использующих TCP/IP, но не требующих доступа за пределы предприятия на сетевом уровне.

Примерами ситуаций, когда внешний доступ не требуется, могут служить:

  • Крупный аэропорт, использующий в залах прибытия и отправления терминалы, подключенные по TCP/IP. Таким терминалам крайне редко требуется доступ во внешние сети.
  • Крупные организации (например, банки или торговые фирмы) часто используют TCP/IP в своих сетях. Большому числу локальных станций (кассовые машины, банкоматы и т. п.) крайне редко используют доступ во внешние сети.
  • Для обеспечения безопасности многие предприятия используют шлюзы прикладного уровня для соединения своих сетей с Internet. Внутренняя сеть обычно не имеет прямого доступа в Internet, и связана с одним или несколькими шлюзами, доступными из сети Internet. В таких случаях внутренняя сеть может использовать IP-адреса, которые не являются уникальными.
  • Для интерфейсов маршрутизаторов, обращенных внутрь корпоративной сети не требуется обеспечивать прямой доступ из внешних сетей.

3. Частные адреса

Служба распределения номеров IANA (Internet Assigned Numbers Authority) зарезервировала для частных сетей три блока адресов:

10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

Будем называть первый блок 24-битовым, второй — 20-битовым, а третий — 16-битовым. Отметим, что первый блок представляет собой ни что иное, как одну сеть класса A, второй блок — 16 последовательных сетей класса B, а третий блок — 256 последовательных сетей класса C.

Любое предприятие может использовать IP-адреса из этих блоков без согласования с IANA или Internet-регистраторами. В результате, эти адреса используются на множестве предприятий. Таким образом, уникальность адресов сохраняется только в масштабе одного или нескольких предприятий, согласованно использующих общий блок адресов. В такой сети каждый хост может обмениваться информацией с любым другим хостом частной сети.

Если предприятию требуются уникальные адреса для связи с внешними сетями, такие адреса следует получать обычным путем через регистраторов Internet. Такие адреса никогда не будут входить ни в один из указанных выше блоков частных адресов.

Перед распределением адресов из частного и публичного блоков следует определить, какие из хостов сети должны иметь связь с внешними системами на сетевом уровне в настоящее время и в будущем — для таких хостов следует использовать публичные адреса. Остальным хостам можно присваивать адреса из частных блоков — это не помешает им взаимодействовать со всеми хостами корпоративной сети, независимо от того, какие адреса имеют эти хосты (частные или публичные). Однако прямой доступ во внешние сети для хостов с адресами из частного блока невозможен. Для организации доступа таких хостов во внешние шлюзы придется использовать специальные шлюзы (например, шлюзы прикладного уровня).

Хосты с публичными адресами могут иметь прямую связь с внешними сетями и Internet. Хосты с публичными адресами могут обмениваться данными со всеми хостами корпоративной сети (независимо от типа адресов этих хостов), а также с публичными хостами других сетей. Публичные хосты, однако, не могут иметь прямого доступа к хостам других сетей, использующим частные адреса.

Перемещение хоста из частной сети в публичную (и обратное) связано со сменой IP-адреса, соответствующих записей DNS и изменением конфигурационных файлов на других хостах, которые идентифицируют хосты по их IP-адресам.

Поскольку частные адреса не имеют глобального значения, маршрутная информация о частных сетях не должна выходить за пределы этих сетей, а пакеты с частными адресами отправителей или получателей не должны передаваться через межсетевые каналы. Предполагается, что маршрутизаторы в публичных сетях (особенно маршрутизаторы провайдеров Internet) будут отбрасывать маршрутную информацию из частных сетей. Если маршрутизатор публичной сети получает такую информацию, ее отбрасывание не должно трактоваться как ошибка протокола маршрутизации.

Непрямые ссылки на адреса из частных блоков должны сохраняться внутри предприятия. Примерами таких записей могут служить RR-записи DNS, и другая информация со ссылками на внутренние частные адреса. Провайдеры Internet должны принимать меры против публичного распространения такой информации.

4. Преимущества и недостатки при использовании частных адресов

Очевидным преимуществом использования частных адресов является экономия адресного пространства Internet за счет использования частных адресов во множестве сетей, не связанных напрямую с Internet. Предприятия также имеют преимущества в результате использования частных адресов. Блоки частных адресов достаточно велики и обеспечивают гибкость и свободу при распределении адресов для хостов частной сети. Это позволяет обойтись без смены адресов при внесении в сеть изменений или ее расширении.

По разным причинам в сети Internet уже возникали ситуации, когда предприятия, не подключенные к Internet, использовали для своих хостов IP-адреса из публичных блоков без согласования с IANA. В некоторых случаях эти адреса уже были выделены другим предприятиям. Если сеть с такими адресами потом будет подключаться к Internet, могут возникнуть серьезные проблемы, поскольку маршрутизация IP не может быть корректной при наличии в сети хостов с совпадающими адресами. Хотя провайдеры Internet должны предотвращать подобные ситуации путем использования маршрутных фильтров, на практике такая фильтрация осуществляется не всегда. Использование частных адресов в корпоративных сетях позволяет избежать проблем с маршрутизацией при подключении частной сети к Internet.

Основным неудобством при использовании частных адресов является возможность возникновения существенных проблем при подключении корпоративной сети к Internet.

Если в сети используются частные адреса, то при ее подключении к Internet потребуется смена адресов IP для каждого хоста, которому предоставляется прямой доступ в Internet. Обычно расходы на такую замену адресов пропорциональны числу хостов, которые переносятся из частной сети в публичную. Однако, как было отмечено выше, смена адресов может потребоваться и при использовании в частной сети уникальных адресов.

Другой проблемой, которая может возникнуть при использовании частных адресов, является необходимость смены адресов при объединении двух или более сетей, если они использовали частные адреса из перекрывающихся блоков. Если вернуться к списку компаний, для которых рекомендовалось использовать частные адреса (параграф 2), можно заметить, что такие компании (сети) достаточно часто объединяются. Если в каждой из объединяемых сетей использовались частные адреса, в объединенной сети требование уникальности адресов каждого хоста может нарушаться. В результате возникает необходимость смены адресов для всех или части хостов.

Расходы на замену адресов могут быть снижены за счет использования средств автоматического распределения адресов (например, протокола DHCP). При выборе зоны использования частных адресов мы рекомендуем для таких зон сразу применять системы автоматического распределения адресов. Вопросами замены адресов (процедура, рекомендации) занимается специальная рабочая группа IETF (PIER Working Group).

5. Практические рекомендации

Одним из возможных вариантов является разработка на начальном этапе плана распределения адресов для внутренней части сети, не связанной напрямую с другими сетями. После этого определяются публичные подсети и для них выделяются соответствующие блоки адресов.

Такой подход не порождает фиксированной навсегда схемы. Если статус одного или нескольких хостов впоследствии изменяется (от частного к публичному или наоборот), потребуется сменить адреса только для таких хостов. Для того, чтобы избежать остановки сети при таких изменениях, целесообразно группировать хосты в подсети с учетом перспектив дальнейшего использования этих хостов.

Если подходящая схема организации подсетей может быть разработана и будет поддерживаться используемым в сети оборудованием, разумно воспользоваться для частной сети 24-битовым блоком адресов (сеть класса A) — это позволит создать достаточно большую сеть. Если разделение на подсети нереально, можно воспользоваться 16-битовым (сеть класса C) или 20-битовым (сеть класса B) блоком частных адресов.

Может показаться заманчивой перспектива использования частных и публичных адресов в одной физической сети. Хотя такое решение допустимо, оно содержит подводные камни, связанные с существованием нескольких подсетей IP в одной сети канального уровня. Рекомендуем с осторожностью использовать такой подход.

Настоятельно рекомендуется для маршрутизаторов, соединяющих предприятие с внешними сетями, использовать соответствующие фильтры для пакетов и маршрутов, предотвращающие передачу пакетов с частными адресами и информации о внутренних маршрутах во внешние по отношению к предприятию сети. Такие фильтры нужно устанавливать на маршрутизаторах по обе стороны канала между сетями. На входе в сеть предприятия должна также отфильтровываться вся входящая маршрутная информация для того, чтобы предотвратить ненужные проблемы с маршрутизацией во внутренней сети.

Две частных сети могут обмениваться информацией через публичную сеть, если использование частных адресов в обеих сетях согласовано. Для решения таких задач на границах частных сетей следует использовать инкапсуляцию.

Если несколько организаций, использующих частные адреса из указанных в данном документе блоков, захотят впоследствии связать свои сети по протоколу IP, существует риск нарушения требования уникальности адреса для каждого хоста в масштабе объединенной сети. Для снижения такого риска рекомендуется выбирать для использования группу адресов из допустимого блока случайным образом.

Если предприятие использует частные адреса или комбинацию частных и публичных адресов, клиенты DNS за пределами предприятия не должны видеть адресов из частного блока, поскольку такие адреса будут вводить в заблуждение другие системы. Одним из способов решения этой проблемы является использование уполномоченных серверов (authority server) для каждой зоны DNS, содержащей частные и публичные адреса. Один сервер будет доступен из публичной сети и должен содержать только те адреса частной сети, которые доступны извне (публичные адреса). Другой сервер будет доступен только из частной сети и должен содержать полный набор данных, включая частные адреса и публичные адреса, доступные из частной сети. Для того, чтобы обеспечить согласованность работы серверов, они должны использовать общий набор данных, но доступная из публичной сети информация должна соответствующим образом фильтроваться. Реализация такого решения влечет за собой некоторое усложнение сервера имен.

6. Вопросы безопасности

В данной работе вопросы безопасности не рассматриваются.

7. Заключение

При использовании описанной в документе схемы даже крупным предприятиям требуются сравнительно небольшие блоки публичных адресов IP. В результате существенно снижается острота проблемы нехватки адресов в Internet и обеспечивается более эффективное использование уникальных в масштабах Сети адресов IP. Предприятие получает возможность гибкого распределения адресов из любого частного блока. Однако использование частных адресов в сети предприятия может потребовать замены адресов для части хостов при подключении корпоративной сети к Internet или другим IP-сетям.

15.10.2009 Posted by | сertifications | Комментарии к записи RFC 1918 — Распределение адресов в частных IP-сетях. отключены

Как выбрать план адресации для VPN.

Сегодня при подготовке к второму экзамену встретил вопрос в которо надо выбрать диапозон при адресации для VPN.

Данная статья найденая в инете помогла многое прояснить.

При построении VPN на базе услуги ТТК IP-VPN допускается использовать любой план адресации, однако, если необходимо организовывать обмен трафиком VPN с публичными сетями, то при выборе адресов для VPN следует руководствоваться рекомендациями RFC 1918. RFC 1918 определяет адресные пространства, выделенные для организации частных сетей. Ниже перечислены эти адресные пространства:

10.0.0.0 — 10.255.255.255 (Сеть 10/8)
172.16.0.0 — 172.31.255.255 (Сеть 172.16/12)
192.168.0.0 — 192.168.255.255 (Сеть 192.168/16)

Таким образом, при использовании адресов из определенных выше адресных пулов исключена возможность пересечения с публичными internet-адресами, что позволит в будущем организовать маршрутизацию на адреса internet и обмен трафиком между VPN и internet.
После выбора частного адресного пространства для VPN его необходимо распределить между офисами, сетевыми ресурсами клиента. При этом необходимо стремиться соблюдать следующие принципы:

  • вся сеть IP MPLS ТТК со стороны клиента рассматривается как один большой территориально распределенный маршрутизатор, к портам которого подключаются CE-маршрутизаторы клиента
  • рациональное использование адресов из выбранного адресного пространства
  • минимизация объема таблиц маршрутизации
  • возможность проведения суммаризации маршрутов

Рассмотрим построение частной сети на примере, проиллюстрированном на рисунке.

1

На рисунке изображена топология частной сети клиента: объединяются в одну виртуальную сеть 3 офиса, расположенных в городах A, B и С.

  • в городе A необходимо предусмотреть два сегмента на 100-200 адресов для рабочих станций и на 20-30 адресов для серверов
  • в городе B – сеть для рабочих станций на 30-50 адресов, кроме того, в городе B осуществляется выход в internet
  • в городе C – два сегмента: на 30-50 адресов для рабочих станций и на 5-10 адресов для серверов.

Определим необходимые в данной задаче подсети

Город
Требуемое кол-во адресов
Маска подсети
Выделяемое кол-во адресов
A
100-200 (PC) 24 256 (254)
  20-30 (сервера) 27 32 (30)
  2 (PtP) 30 4 (2)
Всего для A
256 + 32 + 4 = 292 23 512 (510)
B
30-50 (PC) 26 64 (62)
  2 (PtP) 30 4 (2)
Всего для B
64 + 4 = 68 25 128 (126)
C
30-50 (PC) 26 64 (62)
  5-10 (сервера) 28 16 (14)
  2 (PtP) 30 4 (2)
Всего для C
64 + 16 + 4 = 84 25 128 (126)
Всего для A, B, C
512 + 128 + 128 = 768 22 1024 (1022)

В таблице определены подсети для всех трех городов. Для того чтобы маршрут к сетям находящимся в одном городе можно было описать одной строкой (суммаризовать) каждому из городов необходимо выделить по отдельной сети, что и сделано в таблице: для города A выделена сеть с маской 23, для B и C – по сети с маской 25. Весь VPN описывается сетью с маской 22. Возьмем сеть 192.168/16 из RFC 1918. Сеть 192.168/16 содержит 64 подсети с маской 22 по 1024 адреса. Для всего VPN выделим одну из этих сетей, например: 192.168.4/22. Разделим ее на 2 части, увеличив маску на 1: 192.168.6/23 (512 адресов для города A), 192.168.4/23 (512) = 192.168.4/24 (256 адресов для города B) + 192.168.5/24 (256 адресов для города C).

Город A:
Выделена сеть 192.168.6/23 (512). Нужна одна сеть с маской 24 для PC, одна с маской 27 для серверов и одна с маской 30 для соединения PtP. Сегментируем выделенную сеть на сети с разными длинами маски:

192.168.6/23 = 192.168.7/24 (255 адресов для PC) + 192.168.6/24 (остаток)

оставшаяся сеть содержит 8 подсетей с маской 27 по 32 адреса:

192.168.6/24 = .0/27 + .32/27 + .64/27 + .96/27 + .128/27 + .160/27 + .192/27 + .224/27

Выделим сеть 192.168.6.224/27 для серверов. Для соединений PtP сегментируем сеть 192.168.6.0/27, она содержит 8 сетей с маской 30 по 4 адреса:

192.168.6.0/27 = .0/30 + .4/30 + .8/30 + .12/30 + .16/30 + .20/30 + .24/30 + .28/30

Выделим сеть 192.168.6.28/30 для соединения PtP.

Итого выделено в городе A:
192.168.7/24 для PC
192.168.6.224/27 для серверов
192.168.6.28/30 для соединения PtP
Вся сеть для города A: 192.168.6.0/23

В запасе для города A остались следующие сети:
по 32 адреса (с маской 27):
— 192.168.6.32/27,
— 192.168.6.64/27,
— 192.168.6.96/27,
— 192.168.6.128/27,
— 192.168.6.160/27,
— 192.168.6.192/27
по 4 адреса (с маской 30):
— 192.168.6.0/30,
— 192.168.6.4/30,
— 192.168.6.8/30,
— 192.168.6.12/30,
— 192.168.6.16/30,
— 192.168.6.20/30,
— 192.168.6.24/30

Город B:
Выделена сеть 192.168.4/24 (256). Нужна одна сеть с маской 26 для PC и одна с маской 30 для соединения PtP. Сегментируем выделенную сеть на сети с разными длинами маски:
Сеть 192.168.4.0/24 содержит 4 сети с масками 26:

192.168.4.0/24 = .0/26 + .64/26 + .128/26 + .192/26

Выделим сеть 192.168.4.192/26 для PC.

Для соединений PtP сегментируем сеть 192.168.4.0/26, она содержит 16 сетей с масками 30 по 4 адреса:

192.168.4.0/26 = .0/30 + .4/30 + .8/30 + .12/30 + … + .52/30 + .56/30 + .60/30

Выделим сеть 192.168.4.60/30 для соединения PtP.

Итого выделено в городе B:
192.168.4.192/26 для PC
192.168.4.60/30 для соединения PtP
Вся сеть для города B: 192.168.4.0/24

В запасе для города B остались следующие сети:
по 64 адреса (с маской 26):
— 192.168.4.0/26,
— 192.168.4.64/26,
— 192.168.4.128/26
по 4 адреса (с маской 30):
— 192.168.4.0/30,
— 192.168.4.4/30,
— 192.168.4.8/30,
— 192.168.4.12/30,
— …,
— 192.168.4.52/30,
— 192.168.4.56/30

Город C:
Выделена сеть 192.168.5/24 (256). Нужна одна сеть с маской 26 для PC, одна с маской 28 для серверов и одна с маской 30 для соединения PtP. Сегментируем выделенную сеть на сети с разными длинами маски:
Сеть 192.168.5.0/24 содержит 4 сети с масками 26:

192.168.5.0/24 = .0/26 + .64/26 + .128/26 + .192/26

Выделим сеть 192.168.5.192/26 для PC.
Для серверов сегментируем сеть 192.168.5.0/26: она содержит 4 сети с масками 28:

192.168.5.0/26 = .0/28 + .16/28 + .32/28 + .48/28

Выделим сеть 192.168.5.48/28 для серверов.
Для соединений PtP сегментируем сеть 192.168.5.0/28: она содержит 4 сети с масками 30:

192.168.5.0/28 = .0/30 + .4/30 + .8/30 + .12/30

Выделим сеть 192.168.5.12/30 для соединения PtP.

Итого выделено в городе C:
192.168.5.192/26 для PC
192.168.5.48/28 для серверов
192.168.5.12/30 для соединения PtP
Вся сеть для города C: 192.168.5/24

В запасе для города С остались следующие сети:
По 64 адреса (с маской 26):
— 192.168.5.0/26,
— 192.168.5.64/26,
— 192.168.5.128/26
По 16 адресов (с маской 28):
— 192.168.5.0/28,
— 192.168.5.16/28,
— 192.168.5.32/28
По 4 адреса (с маской 30)
— 192.168.5.0/30,
— 192.168.5.4/30,
— 192.168.5.8/30

На рисунке изображена полученная сеть с адресами: 

2
Примеры конфигураций:

Маршрутизатор в городе A:


!
interface ethernet 0
description Интерфейс в LAN Servers
ip address 192.168.6.225 255.255.255.224
!
interface ethernet 1
description Интерфейс в LAN PC
ip address 192.168.7.1 255.255.255.0
!
interface serial 0
description Интерфейс в IP-VPN
ip address 192.168.6.29 255.255.255.252
!

! Маршрут по-умолчанию
ip route 0.0.0.0 0.0.0.0 192.168.6.30

Маршрутизатор в городе B:


!
interface ethernet 0
description Интерфейс в LAN с PC
ip address 192.168.4.193 255.255.255.192
ip nat inside
!
interface serial 0
description Интерфейс в IP-VPN
ip address 192.168.4.61 255.255.255.252
ip nat inside
!
interface serial 1
description Интерфейс в internet
ip address 200.2.2.1 255.255.255.252
ip nat outside
!

! Маршруты на города A и C
ip route 192.168.5.0 255.255.255.0 192.168.4.62
ip route 192.168.6.0 255.255.254.0 192.168.4.62
! Маршрут по-умолчанию – в Internet
ip route 0.0.0.0 0.0.0.0 200.2.2.2

! Определить пул internet-адресов для трансляции при выходе в internet
ip nat pool NatPool 200.5.5.1 200.5.5.1

! Создать правило трансляции адресов
ip nat insude source list 5 pool NatPool overload

! Выделить сеть для трансляции адресов
access-list 5 permit 192.168.4.0 0.0.3.255

Маршрутизатор в городе C:


!
interface ethernet 0
description Интерфейс в LAN Servers
ip address 192.168.5.49 255.255.255.240
!
interface ethernet 1
description Интерфейс в LAN PC
ip address 192.168.5.193 255.255.255.192
!
interface serial 0
description Интерфейс в IP-VPN
ip address 192.168.5.13 255.255.255.252
!

! Маршрут по-умолчанию
ip route 0.0.0.0 0.0.0.0 192.168.5.14

15.10.2009 Posted by | сertifications | Комментарии к записи Как выбрать план адресации для VPN. отключены