» Настройка Cisco оборудования

Здравствуйте!

Подскажите, может ли PIX 501 работать как маршритизатор. Необходимо иметь доступ к сети за inside интерфейсом и наоборот.

molotok666

Цитата:

Подскажите, может ли PIX 501 работать как маршритизатор. Необходимо иметь доступ к сети за inside интерфейсом и наоборот.

Да, может, однако хочу вам так же сообщить что маршрутизатор 871 имеет функционал не уступающий PIX 501, а в чем то даже его превосходящий.

DiZka То, что вы хотите получить, называется policy based routing. На свичах вы это никак не организуете, нужен роутер.
У нас в региональных офисах такая схема организована и работает на таких цисках:
Cisco 2801, Cisco 2811, Cisco 1760.
Так что можете определиться по цене, какая вам больше подойдет.

vlary
Спасибо...

А по BAD Address никто ничего не подскажет?

DiZka

А у тебя какая Пропускная способность интернет каналов? Нужна ли тебе балансировка нагрузки, или просто fail-over. Или и то и другое сразу?

Что за входящие WAN соединение (Ethernet, ADSL...)?

А че действительно настолько необходимо для свичей адреса через DHCP раздавать? Статика не рулит? Это в принципе не desktop и меняться вряд ли будут.

В принципе как вариант, поснифай dhcp запросы/ответы которые идут на сервер, и возможно поймешь, че идет не так.

PS. То all, Вы бы ему 3845 за 6000$ или 7200 посоветовали для такой задачи.
Там может 89x или 180x/181x хватит.

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf

Добрый день дорогие друзья!
Помогите пожалуйста с настройкой. Есть точка доступа Cisco Aironet 1200. Необходимо её настроить: есть комп с инетом, второй картой смотрит с эту Cisco и чтобы она наздавала инет через WiFi. Я подключился к ней через Сом, зашёл терминалом, но так как не имел дел с оборудованием Cisco, что дальше делать не знаю. Толкового описания найти не могу. Ткните носом плииз) Заранее спасибо!

denis_a
2 Ethernet'а ...

А по поводу DHCP да сейчас так необходимо т.к. зону DHCP молясь кривовато настроили т.е. зону маленькую под статику оставили всего 50 IP они все забиты уже... из за особенности топологии.. проблематично перенести в другую зону... вот и встал вопрос перенести из статики в динамику их.

DiZka
Оборудование должно иметь статические адреса одной подсети отличные от ваших локальных сетей, как правило это vlan 1, все остальные подсети находятся в иных vlan'ах.

Добавлено:
inery

Цитата:

Есть точка доступа Cisco Aironet 1200

Раз вы ни разу не настраивали оборудование cisco, то вам будет достаточно сложно что либо сделать, однако как мне кажется, логика действий должна быть такой, на том "компе" как вы выразились, что смотрит одной из сетевых карт в Интернет, а другой в Aironet 1200, необходимо поднять DHCP на интерфейсе соединенным с Aironet 1200, интерфейс Aironet 1200 соединенного с "компом" необходимо настроить как bridge, тогда ваша точка доступа будет пробрасывать подключаемых к ней клиентов вашему "компу" который выдаст ip-адрес и обеспечит доступ в сеть Интеренет.

DiZka
А как с пропускной способностью? У каждой железки есть свой потолок. У какой, какой потолок можешь глянуть по ссылке выше. А так тебе нужна железка с 2-мя ethernet портами для WAN или как писала ginger, с одним если пустить через subinterface'ы и свич. И одним портом на LAN. В принципе это может быть и свичевые порты. Они группируются в SVI(Switch Virtual Interface) и тоже могут использоваться для роутинга. Но не конкретные свичевые порты.

inery
Скачай с torrents.ru Cisco Curriculum Building Multilayer Switched Networks (BCMSN 642-812), из CCNP v5.0 серии. Там есть раздел Configuring Wireless WLANs -> Autonomous Access Point Configuration. Там Step-by-step инструкция с описанием, что и зачем.

Добрый день, уважаемые форумчане!
Повторяю свой вопрос, помогите, пожалуйста...
Необходимо настроить связку ADSL-модем и CISCO 871W. При этом необходимо, чтобы CISCO раздавала Интернет по Wi-Fi. ADSL-модем буду подключать к порту WAN (FE4). Модем настроен как роутер. Необходимо просто сделать, чтобы CISCO раздавала тот Интернет, который приходит с модема как по витой паре по своим портам FE0 - FE3, так и через Wi-Fi. Если есть пример конфигурации, сообщите, пожалуйста. Сам я в настройках слабо пока ориентируюсь.
Заранее благодарю!

Sagirus
А текущую кофигу посмотреть можешь дать?

denis_a
А её попросту нет. Я ещё не писал конфигурацию... Хотел у знающих людей спросить, как и что можно сделать по поставленной задаче...
А если бы и конфигурацию кто помог наваять - вообще было бы хорошо. Я пока только учусь и многого не знаю...

Sagirus
Та задача не сильно сложная. Можно сделать ее с помощью Configuration Professional. Что в принципе GUI для цисок. Либо с командной строки. И если я не ошибаюсь, то это железка 1 WAN(router port) и 4 LAN(Switch port). И порт WAN и LAN это не совсем одно и то-же. Есть ли какой-то глубокий смысл пихать в LAN(switch) порт WAN линк, или вообще какой от этого роутера смысл в такой конфиге кроме как точка доступа? А то по такой конфиге она выступает как свич. Можешь нарисовать что у тебя есть, и как и куда должно ходить.

обновил на catalyst 3550 IOS с 12.2(44)SE6 до 12.2(52)SE, коммутатор перестал видеть/запоминать маки сетевух, которые подключены к нему напрямую. через транковые порты запоминает нормально. это только у меня такой глюк или ещё у кого есть?

denis_a
Железка 871W (FE0-FE3 - порты LAN (switch), FE4 - порт WAN (router)). На входе ADSL модем D-Link, настроенный роутером. На выходе хочу получить канал как по витой паре, так и по Wi-Fi. В данном случае CISCO 871W хочу использовать для раздачи Интернета в квартире как по витой паре с использованием LAN портов, так и по Wi-Fi (Wi-Fi хотелось бы защитить от постороннего доступа)... И что мне для этого нужно сделать?

Sagirus


Код:
!Сначала настроить wifi
! Настройка SSID
dot11 ssid <имя SSID>
authentication open
authentication key-management wpa
wpa-psk ascii 0 <пароль на wifi>
guest-mode

! Настройка wifi интерфейса
interface Dot11Radio0
ip address <IP Address> <Subnet mask>
!
encryption mode ciphers aes-ccm
!
ssid <имя SSID>
no shutdown
!
! Настройка интерфейса смотрящего на ADSL
interface FastEthernet4
description ADSL Modem
ip address <IP Address> <Subnet mask>
duplex auto
speed auto
no shutdown
!
! Нстройка интерфейса смотрящего в LAN
interface Vlan1
description LAN
ip address <IP Address> <Subnet mask>
no shutdown
!
! Настройка выхода на Default Gateway (Адрес интерфейса ADSL модема смотрящего на Циску)
ip route 0.0.0.0 0.0.0.0 <IP адрес модема> name DefaultGateway
!
! Настройка DHCP сервера для Wifi и LAN
ip dhcp pool LAN
! Адрес сети LAN и ее маска
network 192.168.0.0 255.255.255.0
! Адрес ADSL модема
dns-server 192.168.0.1
! IP Адрес VLAN1
default-router 192.168.0.1
ip dhcp pool WIFI
! Адрес сети WIFI и ее маска
network 192.168.1.0 255.255.255.0
! Адрес ADSL модема
dns-server 192.168.0.1
! IP Адрес Dot11Radio0
default-router 192.168.1.1
!
! Исключить из раздачи адресов для сервера DHCP адреса, которые уже присвоены
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.1.1

denis_a
А если сделать так, чтобы модем не в режиме router, а в режиме bridge работал? Тогда все настройки, необходимые для доступа в Интернет (логин и пароль) надо будет на CISCO прописывать? У меня на модеме для работы торрент-клиента настроено перенаправление портов, нужно ли будет в таком случае перенаправление на маршрутизаторе CISCO настраивать? Действительно, не проще ли будет модем настроить мостом?


Возможно ли сделать так, чтобы клиенты сети Wi-Fi видели клиентов проводной сети? Возможно ли будет взаимодействие клиентов сетей?

Цитата:

Цитата:
Подскажите, может ли PIX 501 работать как маршритизатор. Необходимо иметь доступ к сети за inside интерфейсом и наоборот.

Да, может, однако хочу вам так же сообщить что маршрутизатор 871 имеет функционал не уступающий PIX 501, а в чем то даже его превосходящий.

В конфиге, что необходимо указать?
Подсети: inside 192.168.1.0/24
outside 192.168.2.0/24

Sagirus

Цитата:

А если сделать так, чтобы модем не в режиме router, а в режиме bridge работал? Тогда все настройки, необходимые для доступа в Интернет (логин и пароль) надо будет на CISCO прописывать?

Да. Что возможно даже лучше. Я например у себя так и сделал.
Циска умеет в разы больше систем мониторинга и анализа, чем D-Link и надежность повыше будет. У тебя какой версии IOS?


Цитата:

У меня на модеме для работы торрент-клиента настроено перенаправление портов, нужно ли будет в таком случае перенаправление на маршрутизаторе CISCO настраивать? Действительно, не проще ли будет модем настроить мостом?

Это тоже делается с пол пинка. На ней поднимается NAT и пробрасываются порты.


Цитата:

Возможно ли сделать так, чтобы клиенты сети Wi-Fi видели клиентов проводной сети? Возможно ли будет взаимодействие клиентов сетей?

Дык это уже и так работает, даже в том, что я написал в предыдущем посте.

В обоих сетях для клиентов стоит адрес на сеть по умолчанию(0.0.0.0/0) на циску, т.е. все что не в их сети будет направляться на циску, а она соответственно направит на более точную сеть, т.е. сидящую на соседнем интерфейсе.

PS. Даже если ты настроишь модем в режим bridge, то на нем все равно придется прописывать роутинг или включать rip, т.к. на модем, то ты будешь заходить из внутренней сети, и ему нужно знать куда отвечать. По умолчанию он просто будет работать так:
Сеть между Cisco и D-Link (192.168.1.0/24)
Сеть LAN(192.168.0.0/24)
Пришел пакет из внутренней сети(на пример 192.168.0.0/0) на модем. Он обработал пакет, нужно слать ответ. Т.к. подключенная сеть у него только 192.168.1.0, то он шлет в сеть по умолчанию 0.0.0.0/0. Т.е. в интернет.
В случае с бриджем, он просто пакет отбрасывает, т.к. он знает только про сеть 192.168.1.0, а 0.0.0.0/0 у него нет.

Цитата:

Цитата:
А если сделать так, чтобы модем не в режиме router, а в режиме bridge работал? Тогда все настройки, необходимые для доступа в Интернет (логин и пароль) надо будет на CISCO прописывать?


Да. Что возможно даже лучше. Я например у себя так и сделал.
Циска умеет в разы больше систем мониторинга и анализа, чем D-Link и надежность повыше будет. У тебя какой версии IOS?

Думаю, лучше тогда конфиг для варианта модем в режиме bridge. Текущую версию IOS пока не знаю, железку не подключал ещё... Но есть c870-advipservicesk9-mz.124-15.T11. Могу её залить.


Цитата:

Цитата:
У меня на модеме для работы торрент-клиента настроено перенаправление портов, нужно ли будет в таком случае перенаправление на маршрутизаторе CISCO настраивать? Действительно, не проще ли будет модем настроить мостом?


Это тоже делается с пол пинка. На ней поднимается NAT и пробрасываются порты.

Как поднять NAT и пробросить порты на CISCO? В конфиге можешь указать этот момент?

Заранее благодарю за помощь!

Sagirus

Лучше наверное 124-15.T11 В ней файервол по приятней и обкатана достаточно неплохо.

Относительно NAT.

Код:
ip nat source list 10 interface dialer 1 overload
ip nat source static tcp 192.168.0.1 12000 interface Dialer1 12000

access-list 10 permit 192.168.0.0 0.0.0.255
access-list 10 permit 192.168.1.0 0.0.0.255

Да, серьёзно всё, по крайней мере для меня. Сложновато разобраться будет, наверное...

Цитата:

ip nat source list 10 interface dialer 1 overload
ip nat source static tcp 192.168.0.1 12000 interface Dialer1 12000

access-list 10 permit 192.168.0.0 0.0.0.255
access-list 10 permit 192.168.1.0 0.0.0.255

ip nat source static tcp 192.168.0.1 12000 interface Dialer1 12000 - это, как я понял, переадресация порта под номером 12000 с ip 192.168.0.1 на ip интерфейса Dialer1...

Наверное, лучше всё же перенастроить модем в режим моста и соответсвующим образом писать конфигу для CISCO.

Sagirus

Именно так. Если нужны будут UDP, то просто вместо tcp пишешь udp. Можно было прописать не на dialer интерфейс, а на IP. Но это универсальней, не меняется даже если внешний ip меняется.

А первая строка nat и access-list это прописывание NAT для хостов из внутренней сети во внешнюю.

Да точно, забыл еще одно.
На интерфейсах Dot11, VLAN 1, Fa4 прописать надо:
ip nat inside

На dialer1
ip nat outside

molotok666

Цитата:

В конфиге, что необходимо указать?
Подсети: inside 192.168.1.0/24
outside 192.168.2.0/24

Именно так, только синтаксис выглядит так:
ip address outside 192.168.2.254 255.255.255.0
ip address inside 192.168.1.254 255.255.255.0
Где 192.168.2.254 - адрес присвоенный внешнему интерфейсу
192.168.1.254 - соответственно адрес присвоенный внутреннему интерфейсу

Так же, если требуется необходимо указать правило маршрутизации:
route outside 192.168.x.x 255.255.255.xx 192.168.x.x 1

Цитата:

Именно так. Если нужны будут UDP, то просто вместо tcp пишешь udp. Можно было прописать не на dialer интерфейс, а на IP. Но это универсальней, не меняется даже если внешний ip меняется.

Согласен, так и понял. Псевдоним универсальней.
ip 192.168.0.0 в строке ip nat source static tcp 192.168.0.1 12000 interface Dialer1 12000 подразумевает весь диапазон адресов подсети или только текущий адрес 192.168.0.1?

Sagirus
Только текущий адрес.

Просто сам подумай, допустим - это подсеть. Куда ему слать входящий пакет с внешнего интерфейса? Всем или кому-то одному выбранному рандомом. Для load balancing используется немного другое описание. Там действительно указывается группа адресов на которую он шлет по принципу round-robin.

denis_a
Соответственно, если я хочу пробросить порт 50500 на ip-адрес компа 192.168.1.5 в локальной сети, то строка будет выглядеть так: ip nat source static tcp 192.168.1.5 50500 interface Dialer1 50500, верно?

Sagirus
Ага.

Конфигу для моего варианта сможешь выложить?

Sagirus
В смысле для bridge варианта?

Напиши подсети для Cisco <> ADSL, Wifi, LAN
ip адрес ADSL и какая маска, маски тоже напиши.

И внутренний адрес и порт, куда пробрасывать torrent.

Еще адреса для Интерфейсов Wifi, LAN