Sterh88
во, попробуйте прописать c6msfc2-boot-mz.121-7.E в BOOTLDR
во, попробуйте прописать c6msfc2-boot-mz.121-7.E в BOOTLDR
» Настройка Cisco оборудования
С cisco первый раз, помогите пожалуйста:
Имею такую схему:
интернет (dsl modem)внешний IP XXX.XXX.XXX.246 >> Cisco ASA 5505 (192.168.1.1) >> к ней подключен DC (win server 2008) 192.168.1.2 и свич, к свичу локальные машинки и сетевое оборудование
dhcp на dc выключен
Задача:
1. сделать возможным хождение любого трафика по внутренне сети
2. раздать интернет в простейшем виде
3. сделать порт форвардинг из инета на одно сетевое строуйство внутри (192.168.1.140)
вот что смог навоять:
Result of the command: "show running-config"
: Saved
:
ASA Version 7.2(4)
!
hostname cisco
domain-name MYDOMAIN.ru
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
multicast-routing
names
name 192.168.1.2 s-dc01 description server
name 192.168.1.254 DSLModem description provider
!
interface Vlan1
nameif office
security-level 100
ip address 192.168.1.1 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif Internet
security-level 0
ddns update hostname 192.168.1.2
dhcp client update dns
ip address XXX.XXX.XXX.246 255.255.255.252
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name MYDOMAIN.ru
dns server-group s-dc01
domain-name MYDOMAIN.ru
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list acl_out extended permit icmp any any
access-list acl_out extended permit ip any any
access-list 111 extended permit udp any any eq 10000
access-list 111 extended permit tcp any any eq 10000
access-list Office_access_in extended permit ip any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu office 1500
mtu Internet 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface office
access-group inside_access_out out interface office
access-group acl_out in interface Internet
access-group outside_access_out out interface Internet
route office 0.0.0.0 0.0.0.0 XXX.XXX.XXX.245 1
route Internet XXX.XXX.XXX.246 255.255.255.254 XXX.XXX.XXX.245 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http s-dc01 255.255.255.254 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.10-192.168.1.100 office
dhcpd dns s-dc01 interface office
dhcpd domain MYDOMAIN.ru interface office
dhcpd option 69 ip s-dc01 interface office
dhcpd option 70 ip s-dc01 interface office
dhcpd enable office
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:ba1899eb291b604c74b9c2d313908cff
: end
заранее благодарен
Имею такую схему:
интернет (dsl modem)внешний IP XXX.XXX.XXX.246 >> Cisco ASA 5505 (192.168.1.1) >> к ней подключен DC (win server 2008) 192.168.1.2 и свич, к свичу локальные машинки и сетевое оборудование
dhcp на dc выключен
Задача:
1. сделать возможным хождение любого трафика по внутренне сети
2. раздать интернет в простейшем виде
3. сделать порт форвардинг из инета на одно сетевое строуйство внутри (192.168.1.140)
вот что смог навоять:
Result of the command: "show running-config"
: Saved
:
ASA Version 7.2(4)
!
hostname cisco
domain-name MYDOMAIN.ru
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
multicast-routing
names
name 192.168.1.2 s-dc01 description server
name 192.168.1.254 DSLModem description provider
!
interface Vlan1
nameif office
security-level 100
ip address 192.168.1.1 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif Internet
security-level 0
ddns update hostname 192.168.1.2
dhcp client update dns
ip address XXX.XXX.XXX.246 255.255.255.252
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name MYDOMAIN.ru
dns server-group s-dc01
domain-name MYDOMAIN.ru
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list acl_out extended permit icmp any any
access-list acl_out extended permit ip any any
access-list 111 extended permit udp any any eq 10000
access-list 111 extended permit tcp any any eq 10000
access-list Office_access_in extended permit ip any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu office 1500
mtu Internet 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface office
access-group inside_access_out out interface office
access-group acl_out in interface Internet
access-group outside_access_out out interface Internet
route office 0.0.0.0 0.0.0.0 XXX.XXX.XXX.245 1
route Internet XXX.XXX.XXX.246 255.255.255.254 XXX.XXX.XXX.245 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http s-dc01 255.255.255.254 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.10-192.168.1.100 office
dhcpd dns s-dc01 interface office
dhcpd domain MYDOMAIN.ru interface office
dhcpd option 69 ip s-dc01 interface office
dhcpd option 70 ip s-dc01 interface office
dhcpd enable office
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:ba1899eb291b604c74b9c2d313908cff
: end
заранее благодарен
Fae1ar
надо полагать что в порт 0/0 втыкается провайдер?
а вот в какие порты втыкается свич и DC?
у Вас настроено 2 влана на цыске...а на портах видно тока один. vlan 2 - для провайдера, vlan 1 для офиса. Соответственно на тех портах куда втыкаются DC и свич надо поставить vlan 1.
conf t
int Ethernet0/номер порта где свич
switchport access vlan 1
тоже самое для DC
порт форвардинг для сниффера надо полагать?
приблизительно так делается
conf t
monitor session 2 source interface Ethernet0/номер порта куда воткнут свич
monitor session 2 destination interface Ethernet0/любой свободный порт - допустим 4
Тогда в 4-й порт можно втыкать комп со сниффером.
надо полагать что в порт 0/0 втыкается провайдер?
а вот в какие порты втыкается свич и DC?
у Вас настроено 2 влана на цыске...а на портах видно тока один. vlan 2 - для провайдера, vlan 1 для офиса. Соответственно на тех портах куда втыкаются DC и свич надо поставить vlan 1.
conf t
int Ethernet0/номер порта где свич
switchport access vlan 1
тоже самое для DC
порт форвардинг для сниффера надо полагать?
приблизительно так делается
conf t
monitor session 2 source interface Ethernet0/номер порта куда воткнут свич
monitor session 2 destination interface Ethernet0/любой свободный порт - допустим 4
Тогда в 4-й порт можно втыкать комп со сниффером.
Нет, все нормально: все присвоено как надо, в логе почемуто только не пишет.
Сделано вот так:
Switch Ports (Ethernet0/1,Ethernet0/2,Ethernet0/3,Ethernet0/4,Ethernet0/5,Ethernet0/6,Ethernet0/7) : vlan1
Switch Ports (Ethernet0/0) : vlan2
в инет не пускает никого, и не пингует ничто кроме 192.168.1.1, 192.168.1.2, 192.168.1.10-192.168.1.100
Сделано вот так:
Switch Ports (Ethernet0/1,Ethernet0/2,Ethernet0/3,Ethernet0/4,Ethernet0/5,Ethernet0/6,Ethernet0/7) : vlan1
Switch Ports (Ethernet0/0) : vlan2
в инет не пускает никого, и не пингует ничто кроме 192.168.1.1, 192.168.1.2, 192.168.1.10-192.168.1.100
Fae1ar
А на цыске самой инет есть?
ping 213.180.204.8 или гейт провайдера
Собстна никаких ограничений не стоит:
access-list inside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list acl_out extended permit icmp any any
access-list acl_out extended permit ip any any
access-list 111 extended permit udp any any eq 10000
access-list 111 extended permit tcp any any eq 10000
access-list Office_access_in extended permit ip any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
permit ip any any - кому угодно куда угодна.
А на цыске самой инет есть?
ping 213.180.204.8 или гейт провайдера
Собстна никаких ограничений не стоит:
access-list inside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list outside_access_out extended permit ip any any
access-list acl_out extended permit icmp any any
access-list acl_out extended permit ip any any
access-list 111 extended permit udp any any eq 10000
access-list 111 extended permit tcp any any eq 10000
access-list Office_access_in extended permit ip any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
permit ip any any - кому угодно куда угодна.
Result of the command: "ping 213.180.204.8"
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.180.204.8, timeout is 2 seconds:
No route to host 213.180.204.8
Success rate is 0 percent (0/1)
странно очень (
Добавлено:
Вот что выдает Latest ASDM Syslog Messages:
6 Oct 06 2009 19:49:54 110002 Failed to locate egress interface for UDP from office:s-dc01/64731 to 194.85.128.10/53
6 Oct 06 2009 19:50:07 110002 Failed to locate egress interface for TCP from office:s-dc01/21821 to 217.69.128.52/80
6 Oct 06 2009 19:50:22 110002 Failed to locate egress interface for TCP from office:s-dc01/21826 to 217.69.128.52/80
6 Oct 06 2009 19:50:33 110002 Failed to locate egress interface for UDP from office:s-dc01/58202 to 194.85.128.10/53
и т.д.
вот обновленный конфиг я навоял заново от заводских настроек, только мне кажется если я сохранял во флэш память у меня теперь заводские настройки другие(
Result of the command: "show running-config"
: Saved
:
ASA Version 7.2(4)
!
hostname cisco
domain-name мойдомен.ru
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
multicast-routing
names
name 192.168.1.2 s-dc01 description server
name 192.168.1.254 DSLModem description provider
!
interface Vlan1
nameif office
security-level 100
ip address 192.168.1.1 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif Internet
security-level 0
ddns update hostname 192.168.1.2
dhcp client update dns
ip address XXX.XXX.188.246 255.255.255.252
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup office
dns domain-lookup Internet
dns server-group DefaultDNS
domain-name мойдомен.ru
dns server-group s-dc01
name-server s-dc01
domain-name мойдомен.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list office_access_out extended permit ip any any
access-list Internet_access_in extended permit icmp any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
access-list office_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu office 1500
mtu Internet 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
access-group office_access_in in interface office
access-group office_access_out out interface office
access-group Internet_access_in in interface Internet
access-group Internet_access_out out interface Internet
route Internet XXX.XXX.188.246 255.255.255.254 XXX.XXX.188.245 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http s-dc01 255.255.255.254 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.10-192.168.1.100 office
dhcpd dns s-dc01 interface office
dhcpd domain мойдомен.ru interface office
dhcpd option 69 ip s-dc01 interface office
dhcpd option 70 ip s-dc01 interface office
dhcpd enable office
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:2ecdc0fb916e6fff082cbce3ca12cb2a
: end
И кстати, я нигде не нашел где указать ДНСы провайдера, т.е. роут стоит Мой внешний ИП - Шлюз провайдера и Маска провайдера, а днсы?
Добавлено:
6 Oct 06 2009 19:49:54 110002 Failed to locate egress interface for UDP from office:s-dc01/64731 to 194.85.128.10/53
Вот это кстати мой ДНС!!!
Добавлено:
Мне кажется проблема вот здесь
route Internet XXX.XXX.188.246 255.255.255.254 XXX.XXX.188.245 1
раз он так ругается что не может определить взаимодействие внутренней сети
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.180.204.8, timeout is 2 seconds:
No route to host 213.180.204.8
Success rate is 0 percent (0/1)
странно очень (
Добавлено:
Вот что выдает Latest ASDM Syslog Messages:
6 Oct 06 2009 19:49:54 110002 Failed to locate egress interface for UDP from office:s-dc01/64731 to 194.85.128.10/53
6 Oct 06 2009 19:50:07 110002 Failed to locate egress interface for TCP from office:s-dc01/21821 to 217.69.128.52/80
6 Oct 06 2009 19:50:22 110002 Failed to locate egress interface for TCP from office:s-dc01/21826 to 217.69.128.52/80
6 Oct 06 2009 19:50:33 110002 Failed to locate egress interface for UDP from office:s-dc01/58202 to 194.85.128.10/53
и т.д.
вот обновленный конфиг я навоял заново от заводских настроек, только мне кажется если я сохранял во флэш память у меня теперь заводские настройки другие(
Result of the command: "show running-config"
: Saved
:
ASA Version 7.2(4)
!
hostname cisco
domain-name мойдомен.ru
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
multicast-routing
names
name 192.168.1.2 s-dc01 description server
name 192.168.1.254 DSLModem description provider
!
interface Vlan1
nameif office
security-level 100
ip address 192.168.1.1 255.255.255.0
ospf cost 10
!
interface Vlan2
nameif Internet
security-level 0
ddns update hostname 192.168.1.2
dhcp client update dns
ip address XXX.XXX.188.246 255.255.255.252
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup office
dns domain-lookup Internet
dns server-group DefaultDNS
domain-name мойдомен.ru
dns server-group s-dc01
name-server s-dc01
domain-name мойдомен.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list office_access_out extended permit ip any any
access-list Internet_access_in extended permit icmp any any
access-list Internet_access_in extended permit ip any any
access-list Internet_access_out extended permit ip any any
access-list office_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu office 1500
mtu Internet 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
access-group office_access_in in interface office
access-group office_access_out out interface office
access-group Internet_access_in in interface Internet
access-group Internet_access_out out interface Internet
route Internet XXX.XXX.188.246 255.255.255.254 XXX.XXX.188.245 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http s-dc01 255.255.255.254 office
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.10-192.168.1.100 office
dhcpd dns s-dc01 interface office
dhcpd domain мойдомен.ru interface office
dhcpd option 69 ip s-dc01 interface office
dhcpd option 70 ip s-dc01 interface office
dhcpd enable office
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:2ecdc0fb916e6fff082cbce3ca12cb2a
: end
И кстати, я нигде не нашел где указать ДНСы провайдера, т.е. роут стоит Мой внешний ИП - Шлюз провайдера и Маска провайдера, а днсы?
Добавлено:
6 Oct 06 2009 19:49:54 110002 Failed to locate egress interface for UDP from office:s-dc01/64731 to 194.85.128.10/53
Вот это кстати мой ДНС!!!
Добавлено:
Мне кажется проблема вот здесь
route Internet XXX.XXX.188.246 255.255.255.254 XXX.XXX.188.245 1
раз он так ругается что не может определить взаимодействие внутренней сети
Fae1ar
замените nat (office) 1 0.0.0.0 0.0.0.0 на nat (office) 1 192.168.1.0 255.255.255.0
замените nat (office) 1 0.0.0.0 0.0.0.0 на nat (office) 1 192.168.1.0 255.255.255.0
сейчас попробую
Добавлено:
Безрезультатно!
Добавлено:
гейт провайдера пингует..
Добавлено:
подскажите а где у меня PAT настроен?
Добавлено:
теперь я точно не знаю в чем тут трабл (
Добавлено:
решил проблему прописав роут:
route Internet 0.0.0.0 0.0.0.0 XXX.XXX.XXX.245 1
где XXX.XXX.XXX.245 - шлюз провайдера
Добавлено:
Безрезультатно!
Добавлено:
гейт провайдера пингует..
Добавлено:
подскажите а где у меня PAT настроен?
Добавлено:
теперь я точно не знаю в чем тут трабл (
Добавлено:
решил проблему прописав роут:
route Internet 0.0.0.0 0.0.0.0 XXX.XXX.XXX.245 1
где XXX.XXX.XXX.245 - шлюз провайдера
День добрый
Все никак не могу разобраться, у cisco официальный GPL в свободном доступе есть?
на цискокоме перекрестные ссылки уже напрягают
Все никак не могу разобраться, у cisco официальный GPL в свободном доступе есть?
на цискокоме перекрестные ссылки уже напрягают
gbcfkf
нет, он даже не по каждому смартнету доступен.
нет, он даже не по каждому смартнету доступен.
Fae1ar
не заметил что не было маршрута.
проблема было в неправильном нате
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
а вот это тот самы пат
не заметил что не было маршрута.
проблема было в неправильном нате
global (Internet) 1 interface
nat (office) 1 0.0.0.0 0.0.0.0
а вот это тот самы пат
А подскажите теперь, пожалуйста, как мне заставить ходить почту которая у меня на серваке 192.168.1.2, киска на 192.168.1.1
я попробовал вот так:
global (Internet) 1 interface
nat (Office) 1 0.0.0.0 0.0.0.0
static (Office,Internet) tcp interface smtp access-list Office_nat_static_1
static (Office,Internet) tcp interface pop3 access-list Office_nat_static_2
после:
telnet s-dc01.МойДомен.ru 25 #(с удаленной машинки)
пишет:
421 4.3.2 Service not available, closing transmission channel
Подключение к узлу утеряно.
PS
у регистратора я сделал две записи:
Субдомен Класс Приор. Адрес
@ MX 1 s-dc01.МойДомен.ru.
s-dc01 A XXX.XXX.XXX.246 (мой внешний ип)
Добавлено:
Забыл сказать, у меня Exchange 2007
я попробовал вот так:
global (Internet) 1 interface
nat (Office) 1 0.0.0.0 0.0.0.0
static (Office,Internet) tcp interface smtp access-list Office_nat_static_1
static (Office,Internet) tcp interface pop3 access-list Office_nat_static_2
после:
telnet s-dc01.МойДомен.ru 25 #(с удаленной машинки)
пишет:
421 4.3.2 Service not available, closing transmission channel
Подключение к узлу утеряно.
PS
у регистратора я сделал две записи:
Субдомен Класс Приор. Адрес
@ MX 1 s-dc01.МойДомен.ru.
s-dc01 A XXX.XXX.XXX.246 (мой внешний ип)
Добавлено:
Забыл сказать, у меня Exchange 2007
slut
Цитата:
Блин.. жаль. Ладно, product id можно найти и так, а по ценам ориентировться можно в прайсах поставщиков.
ps slut, хотел поинтересоваться, у вас сертификат CCIE?
Цитата:
нет, он даже не по каждому смартнету доступен
Блин.. жаль. Ладно, product id можно найти и так, а по ценам ориентировться можно в прайсах поставщиков.
ps slut, хотел поинтересоваться, у вас сертификат CCIE?
есть сеть из 16 ip адресов, выданная провайдером. 3 сервера за натом. Надо их высунуть наружу по 3 разным глобальным ip адресам.
сеть - 92.46.x.0 255.255.255.240
шлюз - 92.46.x.1
сервер1 - 92.46.x.7 (опубликовать по порту 1433), локальный ip - 192.168.0.60
сервер2 - 92.46.x.8 (опубликовать по порту 1433), локальный ip - 192.168.0.133
сервер3 - 92.46.x.13 (опубликовать по порту 8080), локальный ip - 192.168.0.103
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface FastEthernet2/0
ip address 92.46.x.13 255.255.255.240
ip nat outside
ip route 0.0.0.0 0.0.0.0 92.46.x.1
ip nat inside source list 1 interface FastEthernet2/0 overload
access-list 1 permit 192.168.0.0 0.0.0.255
Подскажите каким образом грамотно развесить глобальные адреса по лупбэкам? Я что-то туплю...
сеть - 92.46.x.0 255.255.255.240
шлюз - 92.46.x.1
сервер1 - 92.46.x.7 (опубликовать по порту 1433), локальный ip - 192.168.0.60
сервер2 - 92.46.x.8 (опубликовать по порту 1433), локальный ip - 192.168.0.133
сервер3 - 92.46.x.13 (опубликовать по порту 8080), локальный ip - 192.168.0.103
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface FastEthernet2/0
ip address 92.46.x.13 255.255.255.240
ip nat outside
ip route 0.0.0.0 0.0.0.0 92.46.x.1
ip nat inside source list 1 interface FastEthernet2/0 overload
access-list 1 permit 192.168.0.0 0.0.0.255
Подскажите каким образом грамотно развесить глобальные адреса по лупбэкам? Я что-то туплю...
Fae1ar покажите access-list ы.
Сколько у Вас внешних ИП ?
Добавлено:
Ixxtiander
А можно уточнить что за железка у Вас?
Судя по куску конфы маршрутизатор. Тогда что то вроде
ip nat inside source static внутренний ip внешний ip
а затем на вход навесить аксес листы с разрешением прохождения траффика на порты. На мой взгляд так правельнее
Сколько у Вас внешних ИП ?
Добавлено:
Ixxtiander
А можно уточнить что за железка у Вас?
Судя по куску конфы маршрутизатор. Тогда что то вроде
ip nat inside source static внутренний ip внешний ip
а затем на вход навесить аксес листы с разрешением прохождения траффика на порты. На мой взгляд так правельнее
1 внешний ip
Добавлено:
ну что, никто не знает как почту трассировать?
Добавлено:
Добавлено:
ну что, никто не знает как почту трассировать?
Добавлено:
Подскажите пожалуйста как на ip телефонию загрузить мелодии звонка?
Цитата:
есть сеть из 16 ip адресов, выданная провайдером. 3 сервера за натом. Надо их высунуть наружу по 3 разным глобальным ip адресам.
сеть - 92.46.x.0 255.255.255.240
шлюз - 92.46.x.1
сервер1 - 92.46.x.7 (опубликовать по порту 1433), локальный ip - 192.168.0.60
сервер2 - 92.46.x.8 (опубликовать по порту 1433), локальный ip - 192.168.0.133
сервер3 - 92.46.x.13 (опубликовать по порту 8080), локальный ip - 192.168.0.103
А зачем лупбэки? Как снаружи будут знать, что эти айпи именно на Вашей киске.
Попробуйте на FastEthernet2/0 алиасы повесить для этих адресов:
interface FastEthernet2/0
ip address 92.46.x.7 255.255.255.240 secondary
ip address 92.46.x.8 255.255.255.240 secondary
ip address 92.46.x.13 255.255.255.240 secondary
Затем сделайте пробросы внутрь:
ip nat inside source static tcp 192.168.0.60 1433 92.46.x.7 1433 extendable
ip nat inside source static tcp 192.168.1.133 1433 92.46.x.8 1433 extendable
ip nat inside source static tcp 192.168.0.103 8080 92.46.x.13 8080 extendable
Если надо, чтоб серваки выходили со "своими" адресами-
Делаете пул для каждого из серверов:
ip nat pool srv1 92.46.x.7 92.46.x.7 netmask 255.255.255.240 type rotary
ip nat pool srv2 92.46.x.8 92.46.x.8 netmask 255.255.255.240 type rotary
ip nat pool srv3 92.46.x.13 92.46.x.13 netmask 255.255.255.240 type rotary
Указываете для какого направления, какой пул юзать
ip nat inside source route-map srv1 pool srv1 overload
ip nat inside source route-map srv2 pool srv2 overload
ip nat inside source route-map srv3 pool srv3 overload
Листы, в которых прописано куда серваки могут выходить по tcp, в нашем случае any:
ip access-list extended srv1
permit tcp host 192.168.0.60 any
ip access-list extended srv2
permit tcp host 192.168.1.133 any
ip access-list extended srv3
permit tcp host 192.168.1.103 any
Карты направлений, необходимые для NATа
route-map srv1 permit 10
match ip address srv1
route-map srv2 permit 11
match ip address srv2
route-map srv3 permit 12
match ip address srv3
Не пинайте помидоры, не спал пару дней
Может замудрено, но навскидку должно пахать )))
usertum
Режете файл в 8kHz моно g711 mulaw raw pcm, размер не более 65 кб. Затем ложишь на тфтп, тудае файл ringtones.dat (вроедеб могу сказть чуть позже точно) где описаны твои кастомные звонки те название имя файла. например:
ringtone 1 ring.raw
Вот вроде и все , если чего не запямятывал
Добавлено:
Fae1ar
А гдеже аксес листы ? без них я не скажу чего не работает Ваша схема. Вообще направление правельное выбрано
Режете файл в 8kHz моно g711 mulaw raw pcm, размер не более 65 кб. Затем ложишь на тфтп, тудае файл ringtones.dat (вроедеб могу сказть чуть позже точно) где описаны твои кастомные звонки те название имя файла. например:
ringtone 1 ring.raw
Вот вроде и все , если чего не запямятывал
Добавлено:
Fae1ar
А гдеже аксес листы ? без них я не скажу чего не работает Ваша схема. Вообще направление правельное выбрано
Sterh84 буду очень признателен.
Еще вопрос возможно задать время ожидания ответа исходящего вызова?
Нужно не только на cisco но и на внешние телефоны, например если в течении 15 секунд нет ответа то сессия закрывается, или наоборот в течении 2 минут.
Нужно не только на cisco но и на внешние телефоны, например если в течении 15 секунд нет ответа то сессия закрывается, или наоборот в течении 2 минут.
Аксесс листы, сори за задержку.
access-list Internet_access_in extended permit ip any any
access-list Internet_access_in extended permit icmp any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_out extended permit ip any any
access-list Office_access_in extended permit ip any any
access-list Office_nat_static extended permit tcp host 192.168.1.140 eq www any
Office = inside
Internet = outside
А это нат:
global (Internet) 1 interface
nat (Office) 1 0.0.0.0 0.0.0.0
static (Office,Internet) tcp interface 8090 access-list Office_nat_static
static (Office,Internet) tcp interface smtp 192.168.1.2 smtp netmask 255.255.255.255
access-group Office_access_in in interface Office
access-group Office_access_out out interface Office
access-group Internet_access_in in interface Internet
access-group Internet_access_out out interface Internet
Добавлено:
попробовал письмо отправить с mail.ru)
Reporting-MTA: dns; fallback4.mail.ru
X-mPOP-Fallback_MX-Queue-ID: 3685D6505CB
X-mPOP-Fallback_MX-Sender: rfc822; Я@mail.ru
Arrival-Date: Fri, 9 Oct 2009 02:59:39 +0400 (MSD)
Final-Recipient: rfc822; Я@grantes.ru
Original-Recipient: rfc822;Я@grantes.ru
Action: failed
Status: 4.4.1
Diagnostic-Code: X-mPOP-Fallback_MX; connect to
s-dc01.МойДомен.ru[XXX.XXX.XXX.246]: Connection timed out
access-list Internet_access_in extended permit ip any any
access-list Internet_access_in extended permit icmp any any
access-list Office_access_out extended permit ip any any
access-list Internet_access_out extended permit ip any any
access-list Office_access_in extended permit ip any any
access-list Office_nat_static extended permit tcp host 192.168.1.140 eq www any
Office = inside
Internet = outside
А это нат:
global (Internet) 1 interface
nat (Office) 1 0.0.0.0 0.0.0.0
static (Office,Internet) tcp interface 8090 access-list Office_nat_static
static (Office,Internet) tcp interface smtp 192.168.1.2 smtp netmask 255.255.255.255
access-group Office_access_in in interface Office
access-group Office_access_out out interface Office
access-group Internet_access_in in interface Internet
access-group Internet_access_out out interface Internet
Добавлено:
попробовал письмо отправить с mail.ru)
Reporting-MTA: dns; fallback4.mail.ru
X-mPOP-Fallback_MX-Queue-ID: 3685D6505CB
X-mPOP-Fallback_MX-Sender: rfc822; Я@mail.ru
Arrival-Date: Fri, 9 Oct 2009 02:59:39 +0400 (MSD)
Final-Recipient: rfc822; Я@grantes.ru
Original-Recipient: rfc822;Я@grantes.ru
Action: failed
Status: 4.4.1
Diagnostic-Code: X-mPOP-Fallback_MX; connect to
s-dc01.МойДомен.ru[XXX.XXX.XXX.246]: Connection timed out
Fae1ar
Ну не дает мне покоя Ваш nat (Office) 1 0.0.0.0 0.0.0.0, удалите его напишите
nat (Office) 1 92.168.1.0 255.255.255.0
для проверки воспользуйтесь коммандой packet-tracer.
Сконфигурировано верно
Ну не дает мне покоя Ваш nat (Office) 1 0.0.0.0 0.0.0.0, удалите его напишите
nat (Office) 1 92.168.1.0 255.255.255.0
для проверки воспользуйтесь коммандой packet-tracer.
Сконфигурировано верно
Если кому интересно, с циской все нормально, все настроено, нужно было только смтп коннекторы на отправку и на принятие настроить по нормальному. без них даже телнетом нормально не законнектиться. все огромное спасибо, особенно Sterh84 респект и уважуха
Привет Всем!
Нужна Ваша помощь.
Мы сменили провайдера, все работает хорошо за исключением одного.....
огранизованно примерно так, в сеть провайдра FastEthernet0/1 - 195.хх.хх.238/29, выданные нам сети Ethernet1/0 - 84.хх.хх1.225/27 и FastEthernet3/1 - 84.хх.хх2.1/27
так вот циска почАму-то думает, что 84.0.0.0/8 это все её и "естесно" пакеты дальше неё не идут, например на 84.0.0.1 (грубо говоря), было бы фиг с этим, но в этой сети 84.0.0.0/8 не только наша сеть, но есть другие сайты и почтовики, куда не может попасть ни прокся ни почтовик...
interface FastEthernet0/1
description Internet
ip address 195.хх.хх.238 255.255.255.252
ip access-group 130 in
ip nat outside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface Ethernet1/0
description none
ip address 84.xx.xx1.225 255.255.255.224
ip broadcast-address 84.xx.xx1.255
ip access-group 121 out
ip nat outside
ip route-cache policy
ip route-cache flow
half-duplex
traffic-shape group 121 4000000 100000 100000 1000
no cdp enable
!
interface FastEthernet3/1
description DMZ
ip address 84.xx.xx2.1 255.255.255.224
ip broadcast-address 84.xx.xx2.31
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 195.xx.xx.237
еще прописал одну сеть (в которую тоже пакеты не ходили, вобщем не реально прописать все сети) нужно очень было
ip route 84.253.79.0 255.255.255.0 195.хх.хх.237
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 195.хх.хх.237 to network 0.0.0.0
S 192.168.63.0/24 [1/0] via 172.17.177.96
84.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 84.хх.хх1.224/27 is directly connected, Ethernet1/0
C 84.хх.хх.0/27 is directly connected, FastEthernet3/1
S 84.253.79.0/24 [1/0] via 195.хх.хх.237
S 192.168.193.0/24 [1/0] via 172.17.177.3
172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.17.177.0/24 is directly connected, FastEthernet0/0
S 172.17.24.0/28 [1/0] via 10.0.11.2
C 172.17.22.0/28 is directly connected, FastEthernet3/0
195.xx.xx.0/30 is subnetted, 1 subnets
C 195.xx.xx.236 is directly connected, FastEthernet0/1
S 192.168.4.0/24 [1/0] via 172.17.177.91
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.11.0 is directly connected, Serial1/0
S 10.0.0.0 [1/0] via 10.0.11.2
S* 0.0.0.0/0 [1/0] via 195.хх.хх.237
#sh ip route 84.0.0.0
Routing entry for 84.0.0.0/8, 3 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 84.xx.xx1.224/27 is directly connected, Ethernet1/0
C 84.xx.xx2.0/27 is directly connected, FastEthernet3/1
S 84.253.79.0/24 [1/0] via 195.xx.xx.237
cisco 3660
ROM: System Bootstrap, Version 12.0(6r)T, RELEASE SOFTWARE (fc1)
ROM: 3600 Software (C3660-IS-M), Version 12.2(12), RELEASE SOFTWARE (fc1)
плииииззз хелп, где что забыл или не правильно сделал?????
Нужна Ваша помощь.
Мы сменили провайдера, все работает хорошо за исключением одного.....
огранизованно примерно так, в сеть провайдра FastEthernet0/1 - 195.хх.хх.238/29, выданные нам сети Ethernet1/0 - 84.хх.хх1.225/27 и FastEthernet3/1 - 84.хх.хх2.1/27
так вот циска почАму-то думает, что 84.0.0.0/8 это все её и "естесно" пакеты дальше неё не идут, например на 84.0.0.1 (грубо говоря), было бы фиг с этим, но в этой сети 84.0.0.0/8 не только наша сеть, но есть другие сайты и почтовики, куда не может попасть ни прокся ни почтовик...
interface FastEthernet0/1
description Internet
ip address 195.хх.хх.238 255.255.255.252
ip access-group 130 in
ip nat outside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface Ethernet1/0
description none
ip address 84.xx.xx1.225 255.255.255.224
ip broadcast-address 84.xx.xx1.255
ip access-group 121 out
ip nat outside
ip route-cache policy
ip route-cache flow
half-duplex
traffic-shape group 121 4000000 100000 100000 1000
no cdp enable
!
interface FastEthernet3/1
description DMZ
ip address 84.xx.xx2.1 255.255.255.224
ip broadcast-address 84.xx.xx2.31
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 195.xx.xx.237
еще прописал одну сеть (в которую тоже пакеты не ходили, вобщем не реально прописать все сети) нужно очень было
ip route 84.253.79.0 255.255.255.0 195.хх.хх.237
#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 195.хх.хх.237 to network 0.0.0.0
S 192.168.63.0/24 [1/0] via 172.17.177.96
84.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 84.хх.хх1.224/27 is directly connected, Ethernet1/0
C 84.хх.хх.0/27 is directly connected, FastEthernet3/1
S 84.253.79.0/24 [1/0] via 195.хх.хх.237
S 192.168.193.0/24 [1/0] via 172.17.177.3
172.17.0.0/16 is variably subnetted, 3 subnets, 2 masks
C 172.17.177.0/24 is directly connected, FastEthernet0/0
S 172.17.24.0/28 [1/0] via 10.0.11.2
C 172.17.22.0/28 is directly connected, FastEthernet3/0
195.xx.xx.0/30 is subnetted, 1 subnets
C 195.xx.xx.236 is directly connected, FastEthernet0/1
S 192.168.4.0/24 [1/0] via 172.17.177.91
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.11.0 is directly connected, Serial1/0
S 10.0.0.0 [1/0] via 10.0.11.2
S* 0.0.0.0/0 [1/0] via 195.хх.хх.237
#sh ip route 84.0.0.0
Routing entry for 84.0.0.0/8, 3 known subnets
Attached (2 connections)
Variably subnetted with 2 masks
C 84.xx.xx1.224/27 is directly connected, Ethernet1/0
C 84.xx.xx2.0/27 is directly connected, FastEthernet3/1
S 84.253.79.0/24 [1/0] via 195.xx.xx.237
cisco 3660
ROM: System Bootstrap, Version 12.0(6r)T, RELEASE SOFTWARE (fc1)
ROM: 3600 Software (C3660-IS-M), Version 12.2(12), RELEASE SOFTWARE (fc1)
плииииззз хелп, где что забыл или не правильно сделал?????
Slava_D
Проверьте настройки NAT и access-list 130 и 'sh run | in ip route'
Обратите внимание на маски, IMHO в них ошибка или лишний маршрут.
Цитата:
Я так не думаю ...
По идее все правильно, и дефолтный трафик маршрутизируется на провайдера.
Добавлено
Цитата:
Покажите
#traceroute ip 84.0.0.1 numeric
и
#traceroute ip 84.0.0.1 numeric source interface FastEthernet0/1
или какой IP Вы там пробуете.
Проверьте настройки NAT и access-list 130 и 'sh run | in ip route'
Обратите внимание на маски, IMHO в них ошибка или лишний маршрут.
Цитата:
так вот циска почАму-то думает, что 84.0.0.0/8 это все её
Я так не думаю ...
По идее все правильно, и дефолтный трафик маршрутизируется на провайдера.
Добавлено
Цитата:
84.0.0.1 (грубо говоря)
Покажите
#traceroute ip 84.0.0.1 numeric
и
#traceroute ip 84.0.0.1 numeric source interface FastEthernet0/1
или какой IP Вы там пробуете.
Цитата:
Проверьте настройки NAT и access-list 130 и 'sh run | in ip route'
Обратите внимание на маски, IMHO в них ошибка или лишний маршрут.
Я думаю acces-list тут не причём, хотя поправте меня если не так, т.к. если на пример мне нужен доступ к сайту www.lanbilling.ru он находится в сети 84.16.128.0/20, я пишу
ip route 84.16.128.0 255.255.240.0 195.xx.xx.237
то эта сеть работает и сайт тоже.
С натом думаю нужна ваша помощь, что нужно вам показать из конфига???
#sh run | in ip route
ip route-cache flow
ip route-cache policy
ip route-cache flow
ip route-cache policy
ip route-cache flow
ip route-cache flow
ip route-cache flow
ip route-cache policy
ip route-cache flow
ip route-cache policy
ip route-cache flow
ip route 0.0.0.0 0.0.0.0 195.xx.xx.237
ip route 10.0.0.0 255.255.255.0 10.0.11.2 permanent
ip route 84.253.79.0 255.255.255.0 195.xx.xx.237
ip route 172.17.24.0 255.255.255.240 10.0.11.2
ip route 172.17.178.0 255.255.255.0 10.0.3.2
ip route 192.168.0.0 255.255.255.0 10.0.6.2
ip route 192.168.4.0 255.255.255.0 172.17.177.91 permanent
ip route 192.168.10.0 255.255.255.0 10.0.7.2
ip route 192.168.11.0 255.255.255.0 10.0.7.2 permanent
ip route 192.168.50.0 255.255.255.0 10.0.9.3
ip route 192.168.51.0 255.255.255.0 10.0.9.3
ip route 192.168.63.0 255.255.255.0 172.17.177.96 permanent
ip route 192.168.193.0 255.255.255.0 172.17.177.3
например тоже самый labbilling.ru (84.16.130.34)
#traceroute ip 84.16.130.34
Type escape sequence to abort.
Tracing the route to lanbilling.ru (84.16.130.34)
1 * * *
2 * * *
3 *
traceroute ip 84.16.130.34 numeric source interface FastEthernet0/1
^
% Invalid input detected at '^' marker.
она не знает что такое numeric
#traceroute ip 84.16.130.34 ?
<cr>
похоже циска так думает опираясь на rfc (согласно которому 84 это подсеть класса А).
что будет если сделать
ip route 84.0.0.0 255.0.0.0 195.хх.хх.237
много статики не придётся прописывать, директы при этом конечно победят для собственных подсетей (84.xx.xx1.224/27 84.xx.xx2.0/27) зато остальное всё на шлюз.
должны победить.
что будет если сделать
ip route 84.0.0.0 255.0.0.0 195.хх.хх.237
много статики не придётся прописывать, директы при этом конечно победят для собственных подсетей (84.xx.xx1.224/27 84.xx.xx2.0/27) зато остальное всё на шлюз.
должны победить.
Цитата:
ip route 84.0.0.0 255.0.0.0 195.хх.хх.237
Я уже так делал, но так появляются какие-то циклы маршрутов, вроде как доступно всё, но пинг например в эту сеть 84.0.0.0/8 не работает, было как-то это все странно...
Можно ли как-то циску обмануть, что бы она не опиралась на rfc????
Slava_D
А ну да, у Вас-же 3660, на нашей 3750 numeric так-же остутствует ... Ну если поставить '(config)no ip domain-lookup' то и будет только IP-ники показывать. И кстати до 84.16.130.34 трэйс и у меня не идет собственно.
Возможно там icmp закрыто, или ошибка маршрутизации у Вашего провайдера.
По NAT-у: Я не вижу, как минимум, где у Вас прописано 'ip nat inside', т.е. на каком интефейсе. И тут я вижу три варианта развития:
1) Поскольку имеется некий маршрут '172.17.177.0/24 is directly connected, FastEthernet0/0' смею предположить что на нем и есть 'ip nat inside'.
Тогда по идее на FastEthernet3/1 тоже должен быть 'ip nat outside'
Так локальной сети Вы сможете попадать на все три интерфейса с белыми IP.
Как будет это все работать извне на Ваши сети 84.x.x.x/27 я сейчас не готов сказать, -надо на стенде попробовать.
2) Вынести FastEthernet0/1, Ethernet1/0 и FastEthernet3/1 на отдельную железяку и на ней между этими сетками настроить маршрутизациюb и убрав с них 'ip nat outside'.
3) Так поступил я, - вынес белые сетки по VRF на коммутаторе 3750, а NAT и т.п. на 2811 в котором, по vrf опять-же, разнес разных провайдеров. Но это сложный путь
Т.е. у меня такой пусть: Провайдер->ADSL->3750->2811->3750->МойКомп.
Это как-бы на раздумья, а по пока давайте определимся с NAT:
[more=Пример...]
1)
interface FastEthernet3/1
ip nat outside
int FastEthernet0/0
ip nat inside
int FastEthernet3/0
ip nat inside
2)
ip nat inside source route-map nonat1 interface FastEthernet0/1 overload
ip nat inside source route-map nonat2 interface FastEthernet1/0 overload
ip nat inside source route-map nonat3 interface FastEthernet3/1 overload
#
route-map nonat1 permit 10
match ip address 110
route-map nonat2 permit 10
match ip address 111
route-map nonat3 permit 10
match ip address 112
#
access-list 110 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 110 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 110 permit ip 172.17.22.0 0.0.0.15 any
access-list 110 permit ip 172.17.24.0 0.0.0.15 any
access-list 110 permit ip 172.17.177.0 0.0.0.255 any
access-list 111 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 111 permit ip 172.17.22.0 0.0.0.15 any
access-list 111 permit ip 172.17.24.0 0.0.0.15 any
access-list 111 permit ip 172.17.177.0 0.0.0.255 any
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 112 permit ip 172.17.22.0 0.0.0.15 any
access-list 112 permit ip 172.17.24.0 0.0.0.15 any
access-list 112 permit ip 172.17.177.0 0.0.0.255 any
Ну как-то так, вроде должно быть у Вас. Обратите внимание на маски в acess-list-ах!
[/more]
А по поводу 80.x попробуйте так прописать:
ip route 80.0.0.0 255.0.0.0 195.xx.xx.237 10
ЗЫ Попросите провайдера все-же что-б проверил у себя маршрутизацию на 80.x. Там тоже люди, могли и ошибиться ....
Добавлено
Цитата:
Вот-вот, я все-же склонен думать что ошибка у провадера, когда вам сети выделял, произошла.
А ну да, у Вас-же 3660, на нашей 3750 numeric так-же остутствует ... Ну если поставить '(config)no ip domain-lookup' то и будет только IP-ники показывать. И кстати до 84.16.130.34 трэйс и у меня не идет собственно.
Возможно там icmp закрыто, или ошибка маршрутизации у Вашего провайдера.
По NAT-у: Я не вижу, как минимум, где у Вас прописано 'ip nat inside', т.е. на каком интефейсе. И тут я вижу три варианта развития:
1) Поскольку имеется некий маршрут '172.17.177.0/24 is directly connected, FastEthernet0/0' смею предположить что на нем и есть 'ip nat inside'.
Тогда по идее на FastEthernet3/1 тоже должен быть 'ip nat outside'
Так локальной сети Вы сможете попадать на все три интерфейса с белыми IP.
Как будет это все работать извне на Ваши сети 84.x.x.x/27 я сейчас не готов сказать, -надо на стенде попробовать.
2) Вынести FastEthernet0/1, Ethernet1/0 и FastEthernet3/1 на отдельную железяку и на ней между этими сетками настроить маршрутизациюb и убрав с них 'ip nat outside'.
3) Так поступил я, - вынес белые сетки по VRF на коммутаторе 3750, а NAT и т.п. на 2811 в котором, по vrf опять-же, разнес разных провайдеров. Но это сложный путь
Т.е. у меня такой пусть: Провайдер->ADSL->3750->2811->3750->МойКомп.
Это как-бы на раздумья, а по пока давайте определимся с NAT:
[more=Пример...]
1)
interface FastEthernet3/1
ip nat outside
int FastEthernet0/0
ip nat inside
int FastEthernet3/0
ip nat inside
2)
ip nat inside source route-map nonat1 interface FastEthernet0/1 overload
ip nat inside source route-map nonat2 interface FastEthernet1/0 overload
ip nat inside source route-map nonat3 interface FastEthernet3/1 overload
#
route-map nonat1 permit 10
match ip address 110
route-map nonat2 permit 10
match ip address 111
route-map nonat3 permit 10
match ip address 112
#
access-list 110 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 110 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 110 permit ip 172.17.22.0 0.0.0.15 any
access-list 110 permit ip 172.17.24.0 0.0.0.15 any
access-list 110 permit ip 172.17.177.0 0.0.0.255 any
access-list 111 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 111 permit ip 172.17.22.0 0.0.0.15 any
access-list 111 permit ip 172.17.24.0 0.0.0.15 any
access-list 111 permit ip 172.17.177.0 0.0.0.255 any
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx1.225 0.0.0.31
access-list 112 deny ip 195.хх.хх.238 0.0.0.3 84.xx.xx2.1 0.0.0.31
access-list 112 permit ip 172.17.22.0 0.0.0.15 any
access-list 112 permit ip 172.17.24.0 0.0.0.15 any
access-list 112 permit ip 172.17.177.0 0.0.0.255 any
Ну как-то так, вроде должно быть у Вас. Обратите внимание на маски в acess-list-ах!
[/more]
А по поводу 80.x попробуйте так прописать:
ip route 80.0.0.0 255.0.0.0 195.xx.xx.237 10
ЗЫ Попросите провайдера все-же что-б проверил у себя маршрутизацию на 80.x. Там тоже люди, могли и ошибиться ....
Добавлено
Цитата:
Я уже так делал, но так появляются какие-то циклы маршрутов
Вот-вот, я все-же склонен думать что ошибка у провадера, когда вам сети выделял, произошла.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.