Хотелбы дополнить ответ denis_a, что необходимо наличие комманды ip dns server, те
ip name-server <IPDNS>
ip dns server
ip name-server <IPDNS>
ip dns server
» Настройка Cisco оборудования
После безуспешных попыток настроить приоретизацию трафика на ADSL модеме Acorp 422 решил приобрести на ebay Cisco 877.
Канал ADSL 256/128.
Нужно выделить приоритеты таким образом:
Самый высокий - VoIP SIP телефон и спутниковый ресивер (для шары
)
Средний - компьютер
Низший - ноут-торрент качалка (забирать весь канал, при отсутствии другого трафика)
Пока вопрос в том, можно ли вообще это сделать? А то сомнения насчёт возможности управления входящим трафиком есть.
Канал ADSL 256/128.
Нужно выделить приоритеты таким образом:
Самый высокий - VoIP SIP телефон и спутниковый ресивер (для шары
) Средний - компьютер
Низший - ноут-торрент качалка (забирать весь канал, при отсутствии другого трафика)
Пока вопрос в том, можно ли вообще это сделать? А то сомнения насчёт возможности управления входящим трафиком есть.
borov
Простой ответ, практически нет, входящий траффик можно резать только с помощью policy.
Кроме того, он уже пришел на роутер, даже если ты его дельнешь, то толку мало. За одним исключением, уменьшиться TCP окно, что в свою очередь сделает нагрузку меньше. Можно попробовать сделать одну хитрость, но получиться или нет... это вопрос. Можно попробовать зашейпить исходящий траффик с роутера во внутреннию сетку, и поставить QoS на траффик.
Зашейпить нужно, т.к. вообще какая либо приоритезация включается только при условии, что в канал нужно впихнуть больше чем возможно. А т.к. локалка по скорости в разы привосходит WAN интерфейс, то такое получить получиться только шейпингом или policy.
С одной стороны, это конечно сможет резать входящий траффик с помощью TCP окна. Правда это касается только TCP траффика. С другой стороны, такое прокатит только на роутерном порте, на SVI есть только rate-limit, что по сути policy.
Простой ответ, практически нет, входящий траффик можно резать только с помощью policy.
Кроме того, он уже пришел на роутер, даже если ты его дельнешь, то толку мало. За одним исключением, уменьшиться TCP окно, что в свою очередь сделает нагрузку меньше. Можно попробовать сделать одну хитрость, но получиться или нет... это вопрос. Можно попробовать зашейпить исходящий траффик с роутера во внутреннию сетку, и поставить QoS на траффик.
Зашейпить нужно, т.к. вообще какая либо приоритезация включается только при условии, что в канал нужно впихнуть больше чем возможно. А т.к. локалка по скорости в разы привосходит WAN интерфейс, то такое получить получиться только шейпингом или policy.
С одной стороны, это конечно сможет резать входящий траффик с помощью TCP окна. Правда это касается только TCP траффика. С другой стороны, такое прокатит только на роутерном порте, на SVI есть только rate-limit, что по сути policy.
denis_a, спасибо за ответ. Если была бы железка, поэкспериментировал бы. Но покупать для экспериментов с негарантированным успехом пожалуй не буду. 877 и б/у недешево стоит 
Вопрос общего плана) В данный момент 2 подсетки вила 10.1.1.0/16 и 10.1.2.0/16. 2 организации в этих подсетях. Общий выход в нет. Планируется отделение - купили асу, свой канал. Но осталась необходимость ходить на шары и sql сервер из первой сети. Ещё необходимо во 2 сделать вланы(так надо). Дальнейшая марштутизация на провайдера проста - статический маршрут на их роутер. По поводу подключения к нету всё ясно - НАТ, на асе пишутся default route, пробрасываются порты на почтовик и тп. Как лучше сделать подключение к первой сети? сделать ещё один нат, чётко прописать хосты и порты, к которым нужен доступ? или сделать маршрутизацию статическую из одной сети в другую. GRE, как вариант, у асы нема... Спасибо заранее за советы
Цитата:
сделать ещё один нат, чётко прописать хосты и порты, к которым нужен доступ?Если провода во вторую сеть еще не оборвали, просто настроить маршрутизацию. Ходить через интернет в сетку, которая торчит в соседнем порту, ИМХО изврат
Люди помогите. Только начинаю осваивать cisco.
CISCO 871, IOS 12,4, SDM ver 2.5
Ситуация следующая: при подключении к удаленному VPN-серверу (212.119.171.134) не удается установить соединение с локальной машины. Для установки соединения должены быть открыты порты 1723, 1743 и 47(GRE) протокол. Их я открыл, но соединение по-прежнему не устанавливается. Подскажите, что надо еще сделать для установки этого подключения?
конфиг настроек
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1262986364
revocation-check none
rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323632 39383633 3634301E 170D3039 30373138 31343039
32305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239
38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401
F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A
A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F
1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138
74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5
EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA
4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500
03818100 468191C8 EAE39678 B11D5ACF E15EC7CE ACC1D231 3B4F6317 772FE8FB
43878729 9B776FB9 0F85826E CCCEFB4C 2A654C7E D9D26E17 590F2D69 A2DF9A31
10F433FE C9A3F510 D99F6E9E 574DBD1A 9A046FD9 05871CCF A2ACD1C4 6602FB55
B3642D9F 934F24D9 96AF3076 E74EE588 9EA5D1F1 270D7722 125E5710 7A539B5A CF89F2D7
quit
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!
!
crypto isakmp policy 1
encr 3des
group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
match access-group 102
class-map type inspect match-all sdm-protocol-https
match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
match class-map sdm-protocol-http
match class-map sdm-protocol-https
match class-map sdm-protocol-telnet
match class-map sdm-protocol-icmp
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect sdm-permit
class type inspect sdm-access-proto
inspect
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 87.248.240.98 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTP
permit tcp any any eq www
ip access-list extended SDM_HTTPS
permit tcp any any eq 443
ip access-list extended SDM_ICMP
permit icmp any any information-request
permit icmp any any information-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
permit tcp any any eq telnet
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 eq 1723 any
permit tcp host 192.168.0.6 eq 1743 any
permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.0.0 0.0.0.255 212.119.171.0 0.0.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
CISCO 871, IOS 12,4, SDM ver 2.5
Ситуация следующая: при подключении к удаленному VPN-серверу (212.119.171.134) не удается установить соединение с локальной машины. Для установки соединения должены быть открыты порты 1723, 1743 и 47(GRE) протокол. Их я открыл, но соединение по-прежнему не устанавливается. Подскажите, что надо еще сделать для установки этого подключения?
конфиг настроек
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1262986364
revocation-check none
rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323632 39383633 3634301E 170D3039 30373138 31343039
32305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239
38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401
F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A
A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F
1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138
74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5
EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA
4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500
03818100 468191C8 EAE39678 B11D5ACF E15EC7CE ACC1D231 3B4F6317 772FE8FB
43878729 9B776FB9 0F85826E CCCEFB4C 2A654C7E D9D26E17 590F2D69 A2DF9A31
10F433FE C9A3F510 D99F6E9E 574DBD1A 9A046FD9 05871CCF A2ACD1C4 6602FB55
B3642D9F 934F24D9 96AF3076 E74EE588 9EA5D1F1 270D7722 125E5710 7A539B5A CF89F2D7
quit
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!
!
crypto isakmp policy 1
encr 3des
group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
match access-group 102
class-map type inspect match-all sdm-protocol-https
match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
match class-map sdm-protocol-http
match class-map sdm-protocol-https
match class-map sdm-protocol-telnet
match class-map sdm-protocol-icmp
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect sdm-permit
class type inspect sdm-access-proto
inspect
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 87.248.240.98 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTP
permit tcp any any eq www
ip access-list extended SDM_HTTPS
permit tcp any any eq 443
ip access-list extended SDM_ICMP
permit icmp any any information-request
permit icmp any any information-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
permit tcp any any eq telnet
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 eq 1723 any
permit tcp host 192.168.0.6 eq 1743 any
permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.0.0 0.0.0.255 212.119.171.0 0.0.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Yurichekk
Если мне память не изменяет, то нужно прописать разрешения в файерволе
С inside > outside
НА порт 1723
GRE
С outside > inside
GRE
1. Поправь (ты ведь пытаешся соеденится НА порт 1723, а не С 1723)
no ip access-list extended VPN
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 any eq 1723
ip access-list extended GRE
permit gre host 192.168.0.6 any
class-map type inspect match-all CLMAP_PPTP
description PPTP Connections
match access-group name VPN
match protocol tcp
class-map type inspect match-any CLMAP_GRE
description GRE Tunnel for Inbound traffic
match access-group name GRE
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect CLMAP_GRE
pass
class type inspect CLMAP_PPTP
inspect
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect POLMAP_WAN2LAN
description Port Mapping & Access to LAN
class type inspect CLMAP_GRE
pass
class class-default
drop
zone-pair security ZP_WAN2LAN source out-zone destination in-zone
service-policy type inspect POLMAP_WAN2LAN
PS. на некоторых 12.4 прошивках были проблемы с PPTP, правда я встречал только соединение на циску из вне.
помоему это было на 12.4 24T на 1811
Если мне память не изменяет, то нужно прописать разрешения в файерволе
С inside > outside
НА порт 1723
GRE
С outside > inside
GRE
1. Поправь (ты ведь пытаешся соеденится НА порт 1723, а не С 1723)
no ip access-list extended VPN
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 any eq 1723
ip access-list extended GRE
permit gre host 192.168.0.6 any
class-map type inspect match-all CLMAP_PPTP
description PPTP Connections
match access-group name VPN
match protocol tcp
class-map type inspect match-any CLMAP_GRE
description GRE Tunnel for Inbound traffic
match access-group name GRE
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect CLMAP_GRE
pass
class type inspect CLMAP_PPTP
inspect
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect POLMAP_WAN2LAN
description Port Mapping & Access to LAN
class type inspect CLMAP_GRE
pass
class class-default
drop
zone-pair security ZP_WAN2LAN source out-zone destination in-zone
service-policy type inspect POLMAP_WAN2LAN
PS. на некоторых 12.4 прошивках были проблемы с PPTP, правда я встречал только соединение на циску из вне.
помоему это было на 12.4 24T на 1811
denis_a спасибо за совет!
сегодня попробую!
сегодня попробую!
Прошу помощи. (искал, натыкался на разные статьи, в т.ч. на факцискору, но ясность так и не появилась, боюсь сломать существующую кнофигурацию)
Есть ASA 5505 (ASA VERSION: 8.0(3)6 ASDM VERTION: 6.0(3))
Нужно настроить запрет определенных URL для пользователей (хотелось бы для избранных внутренних, но если очень сложно, то для начала всем)
Возможно ли это сделать, используя ASDM ? Если да, то как?
Если не возможно, тогда через telnet дайте плиз пример.
И, скразу второй вопрос (вдруг отпадет необходимость фильтровать этот сайт) - как отменить фильтрацию того или иного сайта?
Есть ASA 5505 (ASA VERSION: 8.0(3)6 ASDM VERTION: 6.0(3))
Нужно настроить запрет определенных URL для пользователей (хотелось бы для избранных внутренних, но если очень сложно, то для начала всем)
Возможно ли это сделать, используя ASDM ? Если да, то как?
Если не возможно, тогда через telnet дайте плиз пример.
И, скразу второй вопрос (вдруг отпадет необходимость фильтровать этот сайт) - как отменить фильтрацию того или иного сайта?
class-map type inspect match-any sdm-cls-insp-traffic
match protocol pptp
добавить надо. Тогда и будет работать.
match protocol pptp
добавить надо. Тогда и будет работать.
А есть ли способ сделать хард ресет удалено?
Собственно опрос возник по причине собственной ошибки((
Имеется -каталист 2960g 24 порта
изначально была самая первая прошивка и настроен вход на вебморду по ip без пароля.
Вздумалось удаленно обновить прошивку на последнюю (c2960-lanbasek9-tar.122-52.SE.tar)
все прошло успешно, но теперь зайти по ИП через веб нереально, т.к. требует авторизацию(которой раньше не было) «level_15_access»
Судя по документации, есть варианты сделать полный сброс находясь локально рядом с ним физически. (кнопка mode)
Есть ли возможность сделать хард ресет удаленно?? или есть какие то дефолтные логин-пароли??
ПС (уж очень не хоца ехать на сайт )
Собственно опрос возник по причине собственной ошибки((
Имеется -каталист 2960g 24 порта
изначально была самая первая прошивка и настроен вход на вебморду по ip без пароля.
Вздумалось удаленно обновить прошивку на последнюю (c2960-lanbasek9-tar.122-52.SE.tar)
все прошло успешно, но теперь зайти по ИП через веб нереально, т.к. требует авторизацию(которой раньше не было) «level_15_access»
Судя по документации, есть варианты сделать полный сброс находясь локально рядом с ним физически. (кнопка mode)
Есть ли возможность сделать хард ресет удаленно?? или есть какие то дефолтные логин-пароли??
ПС (уж очень не хоца ехать на сайт
)просьба помочь дальше разобраться в вопросе с настройкой 871-ой цыски.(см.несколько ответов выше). Переопишу задачу простыми словами. Есть цыска (871ая), которая раздает инет и натит сеть. В сети один из компов должен соединяться с неким VPN-сервером. Адрес VPNсервера с компа пингуется, но соединение не устанавливается...
после некоторых попыток настройки через СДМ конфиг выглядит следующим образом:
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1262986364
revocation-check none
rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323632 39383633 3634301E 170D3039 30373233 31353134
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239
38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401
F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A
A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F
1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138
74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5
EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA
4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500
03818100 765A551D 30A6253B 85B2C900 45CFB271 F5C6E4D8 43CA2B07 9C964A87
A2F9D304 0AC19153 23F48C6D 4685D79D BA745AD3 8D79C8BF 17348BE6 3A351B6C
09AB109E D3893C6E 08949AE1 65AE3EBA B6D4D57F BE2FF8F3 13BDF5DA A896C4C4
83330B99 A639EAF5 BA3E607A 487FD2A6 5491316F 4A314F80 ABA57367 F0145FE9 10FD361F
quit
dot11 syslog
no ip source-route
!
!
ip port-map user-ezvpn-remote port udp 10000
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!
!
crypto isakmp policy 1
encr 3des
group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
match access-group 102
class-map type inspect match-all sdm-cls-VPNOutsideToInside-2
match access-group 106
class-map type inspect match-all sdm-protocol-https
match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
match class-map sdm-protocol-http
match class-map sdm-protocol-https
match class-map sdm-protocol-telnet
match class-map sdm-protocol-icmp
class-map type inspect match-any SDM_AH
match access-group name SDM_AH
class-map type inspect match-any SDM_GRE
match access-group name SDM_GRE
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
match protocol pptp
match protocol l2tp
match protocol gtpv0
match protocol gtpv1
match class-map SDM_GRE
match protocol ident
match protocol gdoi
match protocol isakmp
match protocol ipsec-msft
match protocol ssp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any SDM_ESP
match access-group name SDM_ESP
class-map type inspect match-any SDM_VPN_TRAFFIC
match protocol isakmp
match protocol ipsec-msft
match class-map SDM_AH
match class-map SDM_ESP
class-map type inspect match-all SDM_VPN_PT
match access-group 105
match class-map SDM_VPN_TRAFFIC
class-map type inspect match-all SDM_EASY_VPN_REMOTE_PT
match access-group 103
class-map type inspect match-any sdm-cls-VPNInsideToOutside
match protocol pptp
match protocol l2tp
match class-map SDM_GRE
match class-map sdm-cls-VPNOutsideToInside-2
match class-map sdm-cls-VPNOutsideToInside-1
match class-map SDM_VPN_TRAFFIC
match class-map SDM_VPN_PT
match class-map sdm-protocol-http
match access-group name SDM_HTTP
match access-group name VPN
match access-group name SDM_GRE
match protocol http
match protocol https
match protocol pop3
match protocol pop3s
match protocol tcp
match protocol udp
match protocol dns
class-map type inspect match-any 192.168.0.6
match class-map SDM_GRE
match protocol http
match protocol https
match protocol pptp
match protocol l2tp
match protocol gtpv0
match protocol gtpv1
match protocol icmp
match protocol gdoi
match protocol isakmp
match protocol ipsec-msft
match protocol ssp
match protocol dns
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any SDM_EASY_VPN_REMOTE_TRAFFIC
match protocol isakmp
match protocol ipsec-msft
match class-map SDM_AH
match class-map SDM_ESP
match protocol user-ezvpn-remote
class-map type inspect match-all sdm-invalid-src
match access-group 100
match class-map 192.168.0.6
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
drop
policy-map type inspect sdm-pol-VPNOutsideToInside-1
class type inspect sdm-cls-VPNOutsideToInside-2
inspect
class class-default
drop
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
inspect
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect sdm-permit
class type inspect SDM_EASY_VPN_REMOTE_PT
pass
class type inspect sdm-access-proto
inspect
class class-default
pass
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
zone-pair security sdm-zp-VPNOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-VPNOutsideToInside-1
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 87.248.240.98 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97 2
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended SDM_AH
remark SDM_ACL Category=1
permit ahp any any
ip access-list extended SDM_ESP
remark SDM_ACL Category=1
permit esp any any
ip access-list extended SDM_GRE
remark SDM_ACL Category=0
permit gre any any
ip access-list extended SDM_HTTP
permit tcp any any eq www
ip access-list extended SDM_HTTPS
permit tcp any any eq 443
ip access-list extended SDM_ICMP
permit icmp any any information-request
permit icmp any any information-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
permit tcp any any eq telnet
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 eq 1723 any
permit tcp host 192.168.0.6 eq 1743 any
permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark permit ip host 192.168.0.6 any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 permit tcp host 192.168.0.0 eq 1722 host 192.168.0.255 eq 1744
access-list 101 permit gre host 192.168.0.0 host 192.168.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 remark SDM_ACL Category=128
access-list 105 permit ip host 212.119.171.134 any
access-list 106 remark SDM_ACL Category=0
access-list 106 remark IPSec Rule
access-list 106 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 107 remark SDM_ACL Category=2
access-list 107 permit ip host 192.168.0.18 any
access-list 107 permit ip host 192.168.0.16 any
access-list 107 permit ip host 192.168.0.30 any
access-list 107 permit ip host 192.168.0.28 any
access-list 107 permit ip host 192.168.0.26 any
access-list 107 permit ip host 192.168.0.24 any
access-list 107 permit ip host 192.168.0.6 any
access-list 107 permit ip host 192.168.0.4 any
access-list 107 remark INSIDE_IF=Vlan1
access-list 107 permit ip host 192.168.0.2 any
access-list 107 permit ip host 192.168.0.14 any
access-list 107 permit ip host 192.168.0.12 any
access-list 107 permit ip host 192.168.0.10 any
access-list 107 permit ip host 192.168.0.8 any
access-list 107 permit ip host 192.168.0.50 any
access-list 107 permit ip host 192.168.0.48 any
access-list 107 permit ip host 192.168.0.56 any
access-list 107 permit ip host 192.168.0.38 any
access-list 107 permit ip host 192.168.0.36 any
access-list 107 permit ip host 192.168.0.46 any
access-list 107 permit ip host 192.168.0.44 any
access-list 107 permit ip host 192.168.0.42 any
access-list 107 permit ip host 192.168.0.40 any
access-list 108 remark permit
access-list 108 remark SDM_ACL Category=4
access-list 108 permit tcp host 192.168.0.6 eq 1722 any eq 1744
access-list 108 permit gre host 192.168.0.6 any
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 107
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
после некоторых попыток настройки через СДМ конфиг выглядит следующим образом:
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1262986364
revocation-check none
rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31323632 39383633 3634301E 170D3039 30373233 31353134
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239
38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401
F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A
A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F
1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138
74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5
EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA
4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500
03818100 765A551D 30A6253B 85B2C900 45CFB271 F5C6E4D8 43CA2B07 9C964A87
A2F9D304 0AC19153 23F48C6D 4685D79D BA745AD3 8D79C8BF 17348BE6 3A351B6C
09AB109E D3893C6E 08949AE1 65AE3EBA B6D4D57F BE2FF8F3 13BDF5DA A896C4C4
83330B99 A639EAF5 BA3E607A 487FD2A6 5491316F 4A314F80 ABA57367 F0145FE9 10FD361F
quit
dot11 syslog
no ip source-route
!
!
ip port-map user-ezvpn-remote port udp 10000
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!
!
crypto isakmp policy 1
encr 3des
group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
match access-group 102
class-map type inspect match-all sdm-cls-VPNOutsideToInside-2
match access-group 106
class-map type inspect match-all sdm-protocol-https
match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
match class-map sdm-protocol-http
match class-map sdm-protocol-https
match class-map sdm-protocol-telnet
match class-map sdm-protocol-icmp
class-map type inspect match-any SDM_AH
match access-group name SDM_AH
class-map type inspect match-any SDM_GRE
match access-group name SDM_GRE
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
match protocol pptp
match protocol l2tp
match protocol gtpv0
match protocol gtpv1
match class-map SDM_GRE
match protocol ident
match protocol gdoi
match protocol isakmp
match protocol ipsec-msft
match protocol ssp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any SDM_ESP
match access-group name SDM_ESP
class-map type inspect match-any SDM_VPN_TRAFFIC
match protocol isakmp
match protocol ipsec-msft
match class-map SDM_AH
match class-map SDM_ESP
class-map type inspect match-all SDM_VPN_PT
match access-group 105
match class-map SDM_VPN_TRAFFIC
class-map type inspect match-all SDM_EASY_VPN_REMOTE_PT
match access-group 103
class-map type inspect match-any sdm-cls-VPNInsideToOutside
match protocol pptp
match protocol l2tp
match class-map SDM_GRE
match class-map sdm-cls-VPNOutsideToInside-2
match class-map sdm-cls-VPNOutsideToInside-1
match class-map SDM_VPN_TRAFFIC
match class-map SDM_VPN_PT
match class-map sdm-protocol-http
match access-group name SDM_HTTP
match access-group name VPN
match access-group name SDM_GRE
match protocol http
match protocol https
match protocol pop3
match protocol pop3s
match protocol tcp
match protocol udp
match protocol dns
class-map type inspect match-any 192.168.0.6
match class-map SDM_GRE
match protocol http
match protocol https
match protocol pptp
match protocol l2tp
match protocol gtpv0
match protocol gtpv1
match protocol icmp
match protocol gdoi
match protocol isakmp
match protocol ipsec-msft
match protocol ssp
match protocol dns
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any SDM_EASY_VPN_REMOTE_TRAFFIC
match protocol isakmp
match protocol ipsec-msft
match class-map SDM_AH
match class-map SDM_ESP
match protocol user-ezvpn-remote
class-map type inspect match-all sdm-invalid-src
match access-group 100
match class-map 192.168.0.6
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
drop
policy-map type inspect sdm-pol-VPNOutsideToInside-1
class type inspect sdm-cls-VPNOutsideToInside-2
inspect
class class-default
drop
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
inspect
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect sdm-cls-VPNOutsideToInside-1
inspect
class class-default
drop
policy-map type inspect sdm-permit
class type inspect SDM_EASY_VPN_REMOTE_PT
pass
class type inspect sdm-access-proto
inspect
class class-default
pass
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
zone-pair security sdm-zp-VPNOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-VPNOutsideToInside-1
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 87.248.240.98 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
!
interface Virtual-Template1 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97 2
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended SDM_AH
remark SDM_ACL Category=1
permit ahp any any
ip access-list extended SDM_ESP
remark SDM_ACL Category=1
permit esp any any
ip access-list extended SDM_GRE
remark SDM_ACL Category=0
permit gre any any
ip access-list extended SDM_HTTP
permit tcp any any eq www
ip access-list extended SDM_HTTPS
permit tcp any any eq 443
ip access-list extended SDM_ICMP
permit icmp any any information-request
permit icmp any any information-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
permit tcp any any eq telnet
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 eq 1723 any
permit tcp host 192.168.0.6 eq 1743 any
permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark permit ip host 192.168.0.6 any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 permit tcp host 192.168.0.0 eq 1722 host 192.168.0.255 eq 1744
access-list 101 permit gre host 192.168.0.0 host 192.168.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 remark SDM_ACL Category=128
access-list 105 permit ip host 212.119.171.134 any
access-list 106 remark SDM_ACL Category=0
access-list 106 remark IPSec Rule
access-list 106 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 107 remark SDM_ACL Category=2
access-list 107 permit ip host 192.168.0.18 any
access-list 107 permit ip host 192.168.0.16 any
access-list 107 permit ip host 192.168.0.30 any
access-list 107 permit ip host 192.168.0.28 any
access-list 107 permit ip host 192.168.0.26 any
access-list 107 permit ip host 192.168.0.24 any
access-list 107 permit ip host 192.168.0.6 any
access-list 107 permit ip host 192.168.0.4 any
access-list 107 remark INSIDE_IF=Vlan1
access-list 107 permit ip host 192.168.0.2 any
access-list 107 permit ip host 192.168.0.14 any
access-list 107 permit ip host 192.168.0.12 any
access-list 107 permit ip host 192.168.0.10 any
access-list 107 permit ip host 192.168.0.8 any
access-list 107 permit ip host 192.168.0.50 any
access-list 107 permit ip host 192.168.0.48 any
access-list 107 permit ip host 192.168.0.56 any
access-list 107 permit ip host 192.168.0.38 any
access-list 107 permit ip host 192.168.0.36 any
access-list 107 permit ip host 192.168.0.46 any
access-list 107 permit ip host 192.168.0.44 any
access-list 107 permit ip host 192.168.0.42 any
access-list 107 permit ip host 192.168.0.40 any
access-list 108 remark permit
access-list 108 remark SDM_ACL Category=4
access-list 108 permit tcp host 192.168.0.6 eq 1722 any eq 1744
access-list 108 permit gre host 192.168.0.6 any
no cdp run
!
!
!
route-map SDM_RMAP_1 permit 1
match ip address 107
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Тег more вам в помощь. Постить такие простыни - моветон. Что за тип VPN-сервера?
Они, как ни странно, разные бывают.
Они, как ни странно, разные бывают.
Обычный pptp сервер. Извиняюсь конечно за такие "простыни", но конфиг для того выкладываю, чтобы сразу было видно что за сервисы настроены и что разрешено...
Цитата:
Извиняюсь конечно за такие "простыни", но конфиг для того выкладываю, чтобы сразу было видно что за сервисы настроены и что разрешено...Правильно, вот для этого и существует тег more, чтобы текст в топике был виден по ссылке, а не как простыня.
Цитата:
Обычный pptp серверДля него должны быть разрешены TCP-порт 1723, а также GRE
в след раз обязательно спрячу тегом эту "простыню" =)
порты 1723, 1743 и протокол GRE я уже открывал где только можно..
но все-равно не помогает. а поскольку опыта в настройке такого оборудования у меня минимум (все мы когда-то только начинаем учиться), то мне и нужны подсказки что и где надо настроить чтобы разрешить свою задачу. еще время как всегда поджимает.
спс за оперативность.
порты 1723, 1743 и протокол GRE я уже открывал где только можно..
но все-равно не помогает. а поскольку опыта в настройке такого оборудования у меня минимум (все мы когда-то только начинаем учиться), то мне и нужны подсказки что и где надо настроить чтобы разрешить свою задачу. еще время как всегда поджимает.
спс за оперативность.
Цитата:
порты 1723, 1743 и протокол GRE я уже открывал где только можно..Попробуйте на пару минут вообще отключить фаервол и посмотрите, работает ли коннект в этом случае. Если да, тогда копайте акцесс-листы
Никто с таким не сталкивался?
class-map type inspect match-any CLMAP_USER_HOSTS
match access-group 700
policy-map type inspect POLMAP_LAN2WAN
class type inspect CLMAP_USER_HOSTS
inspect
class class-default
drop log
zone-pair security ZP_LAN2WAN source ZONE_LAN destination ZONE_WAN
service-policy type inspect POLMAP_LAN2WAN
access-list 700 permit 0050.5600.0000 0000.00ff.ffff
access-list 700 permit 0005.6900.0000 0000.00ff.ffff
access-list 700 permit 000c.2900.0000 0000.00ff.ffff
access-list 700 permit 001c.1400.0000 0000.00ff.ffff
Почему проверка по MAC адресам не идет? Это глюк иоса, либо я чего-то не понимаю? Т.к. инфы по таким access list'ам почти нет, все что находил это обрезки конфигураций, в которых они используются, а описания оных так и не нашел. И тем более в связке с Zone based firewall.
class-map type inspect match-any CLMAP_USER_HOSTS
match access-group 700
policy-map type inspect POLMAP_LAN2WAN
class type inspect CLMAP_USER_HOSTS
inspect
class class-default
drop log
zone-pair security ZP_LAN2WAN source ZONE_LAN destination ZONE_WAN
service-policy type inspect POLMAP_LAN2WAN
access-list 700 permit 0050.5600.0000 0000.00ff.ffff
access-list 700 permit 0005.6900.0000 0000.00ff.ffff
access-list 700 permit 000c.2900.0000 0000.00ff.ffff
access-list 700 permit 001c.1400.0000 0000.00ff.ffff
Почему проверка по MAC адресам не идет? Это глюк иоса, либо я чего-то не понимаю? Т.к. инфы по таким access list'ам почти нет, все что находил это обрезки конфигураций, в которых они используются, а описания оных так и не нашел. И тем более в связке с Zone based firewall.
Цитата:
Попробуйте на пару минут вообще отключить фаервол и посмотрите, работает ли коннект в этом случае. Если да, тогда копайте акцесс-листы
с отключенным фаерволом соединение устанавливается
Цитата:
с отключенным фаерволом соединение устанавливаетсяТогда в конце своих акцесс-листов добавьтк deny ip any any log, включите монитор лога в консоли, и смотрите, что будет давиться фаерволом. Выяснив это, скорректируйте акцесс-листы.
Подскажите, как правильно настроить Private VLAN Cisco 3550? На сайте циски в future navigator`e сказано что для данной IOS поддержка Private VLAN реализована (IOS c3550-ipservicesk9-mz.122-44.SE6). Пытаюсь делать как по иструкции
Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)#private-vlan primary
^
% Invalid input detected at '^' marker.
Моя задача - сделать изолированные порты. Может есть какой то другой способ это реализовать? Или может существует другой IOS где PVLAN гарантированно работает?
Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)#private-vlan primary
^
% Invalid input detected at '^' marker.
Моя задача - сделать изолированные порты. Может есть какой то другой способ это реализовать? Или может существует другой IOS где PVLAN гарантированно работает?
grinch
по поводу поддержки http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
есть технология которую этот свич точно поддерживает это protected port
то-есть есть несколько портов в каком то вилане - если на некоторых из ни включить protected port то трафик между защищенными портами не пойдет
по поводу поддержки http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
есть технология которую этот свич точно поддерживает это protected port
то-есть есть несколько портов в каком то вилане - если на некоторых из ни включить protected port то трафик между защищенными портами не пойдет
Цитата:
по поводу поддержки http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
есть технология которую этот свич точно поддерживает это protected port
то-есть есть несколько портов в каком то вилане - если на некоторых из ни включить protected port то трафик между защищенными портами не пойдет
Спасибо!
Подскажите, в чем может быть проблема?
Суть такова - есть два белых IP - 1.1.1.1 и 2.2.2.2 Между ними поднят IPSec туннель.
<132.178.33.0>--<2.2.2.2>--<1.1.1.1>--<132.178.32.0> Это работает. Есть еще 2 сети - они идут на свитчах в другом VLAN через тот же тонель.
<132.178.35.0>--<2.2.2.2>--<1.1.1.1>--<132.178.34.0> Это тоже работает. Есть еще одна сеть провайдера, в которую нужно иметь доступ из 132.178.34.0 Но. Сеть провайдера в диапазоне 172.12.24.0. И нужно связать жестко 2 адреса из нашей сети 132.178.34.0 с адресами из сети провайдера. Поднимаю NAT. NAT начинает работать, все пингуется. Но. теряется связь с адресами на той стороне IPSec. Маршруты прописаны вроде.
[more=Конфиг]
version 12.4
!
crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 12345 address 2.2.2.2
!
!
crypto ipsec transform-set SI esp-aes 256 esp-md5-hmac
!
crypto map MAP_SI 1 ipsec-isakmp
set peer 2.2.2.2
set security-association lifetime seconds 86400
set transform-set SI
set pfs group2
match address 190
!
!
!
interface FastEthernet0/0
no ip address
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 132.178.32.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 132.178.34.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address 172.24.28.3 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
no ip address
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname name
ppp chap password 7 password
crypto map MAP_SI
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.24.0.0 255.254.0.0 FastEthernet0/0.9 172.24.28.254
ip route 172.30.0.0 255.255.0.0 FastEthernet0/0.9 172.24.28.254
ip route 172.31.0.0 255.255.0.0 FastEthernet0/0.9 172.24.28.254
ip route 132.178.33.0 255.255.255.0 Dialer1 2.2.2.2
ip route 132.178.35.0 255.255.255.0 Dialer1 2.2.2.2
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static 132.178.34.201 172.24.28.1 extendable
ip nat inside source static 132.178.34.202 172.24.28.2 extendable
ip nat inside source static tcp 132.178.32.10 21 1.1.1.1 21 extendable
!
access-list 100 deny ip 132.178.32.0 0.0.0.255 132.178.33.0 0.0.0.255
access-list 100 deny ip 132.178.34.0 0.0.0.255 132.178.35.0 0.0.0.255
access-list 100 permit ip host 132.178.32.10 any
access-list 100 deny ip any any
access-list 190 permit ip 132.178.32.0 0.0.0.255 132.178.33.0 0.0.0.255
access-list 190 permit ip 132.178.34.0 0.0.0.255 132.178.35.0 0.0.0.255
dialer-list 1 protocol ip permit
[/more]
Как сделать, чтоб из 132.178.34.0 было видно 172.24.28.0 через NAT, и при этом был доступ в 132.178.34.0?
Заранее благодарю
Суть такова - есть два белых IP - 1.1.1.1 и 2.2.2.2 Между ними поднят IPSec туннель.
<132.178.33.0>--<2.2.2.2>--<1.1.1.1>--<132.178.32.0> Это работает. Есть еще 2 сети - они идут на свитчах в другом VLAN через тот же тонель.
<132.178.35.0>--<2.2.2.2>--<1.1.1.1>--<132.178.34.0> Это тоже работает. Есть еще одна сеть провайдера, в которую нужно иметь доступ из 132.178.34.0 Но. Сеть провайдера в диапазоне 172.12.24.0. И нужно связать жестко 2 адреса из нашей сети 132.178.34.0 с адресами из сети провайдера. Поднимаю NAT. NAT начинает работать, все пингуется. Но. теряется связь с адресами на той стороне IPSec. Маршруты прописаны вроде.
[more=Конфиг]
version 12.4
!
crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 12345 address 2.2.2.2
!
!
crypto ipsec transform-set SI esp-aes 256 esp-md5-hmac
!
crypto map MAP_SI 1 ipsec-isakmp
set peer 2.2.2.2
set security-association lifetime seconds 86400
set transform-set SI
set pfs group2
match address 190
!
!
!
interface FastEthernet0/0
no ip address
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 132.178.32.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 132.178.34.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/0.9
encapsulation dot1Q 9
ip address 172.24.28.3 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
no cdp enable
!
interface FastEthernet0/1
no ip address
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname name
ppp chap password 7 password
crypto map MAP_SI
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 172.24.0.0 255.254.0.0 FastEthernet0/0.9 172.24.28.254
ip route 172.30.0.0 255.255.0.0 FastEthernet0/0.9 172.24.28.254
ip route 172.31.0.0 255.255.0.0 FastEthernet0/0.9 172.24.28.254
ip route 132.178.33.0 255.255.255.0 Dialer1 2.2.2.2
ip route 132.178.35.0 255.255.255.0 Dialer1 2.2.2.2
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static 132.178.34.201 172.24.28.1 extendable
ip nat inside source static 132.178.34.202 172.24.28.2 extendable
ip nat inside source static tcp 132.178.32.10 21 1.1.1.1 21 extendable
!
access-list 100 deny ip 132.178.32.0 0.0.0.255 132.178.33.0 0.0.0.255
access-list 100 deny ip 132.178.34.0 0.0.0.255 132.178.35.0 0.0.0.255
access-list 100 permit ip host 132.178.32.10 any
access-list 100 deny ip any any
access-list 190 permit ip 132.178.32.0 0.0.0.255 132.178.33.0 0.0.0.255
access-list 190 permit ip 132.178.34.0 0.0.0.255 132.178.35.0 0.0.0.255
dialer-list 1 protocol ip permit
[/more]
Как сделать, чтоб из 132.178.34.0 было видно 172.24.28.0 через NAT, и при этом был доступ в 132.178.34.0?
Заранее благодарю
Cisco 2801
Подскажите как на fa0/0 указать что получать адрес динамически и поменять mac.
Router# (config-if)# mac-address 0010101010 или 00:00:00:00:00 или 000.999.999.999 и через точку не проходят((((
Подскажите как на fa0/0 указать что получать адрес динамически и поменять mac.
Router# (config-if)# mac-address 0010101010 или 00:00:00:00:00 или 000.999.999.999 и через точку не проходят((((
lazutchik
А формат Mac адреса HHHH.HHHH.HHHH
А формат Mac адреса HHHH.HHHH.HHHH
Вот спасибо))))))) не догадался попробовать....
Помогите пожалуйста начинающему цисководу =)
Есть клиентские внутренние компьютеры, Cisco 851W, провайдерская локалка и интернет с внешним IP, получаемым по PPPoE. Схема подключения --> [more=Схема подключения]
[/more].
Удалось получить IP от провайдерского VPN сервера. Трафик маршрутизатор не пропускает никак.
[more=Конфиг]
Building configuration...
Current configuration : 1566 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco.home
!
boot-start-marker
boot-end-marker
!
logging buffered 4096
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
ip domain name cisco.home
!
!
!
!
!
archive
log config
hidekeys
!
!
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address XXXX.XXXX.XXXX
ip address 10.10.10.254 255.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe-client dial-pool-number 1
ip access-group 101 out
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 1.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip access-group 101 out
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no keepalive
ppp authentication chap callin
ppp chap hostname USERNAME
ppp chap password 0 PASSWORD
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap refuse
ip access-group 102 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 1.1.1.0 0.0.0.255
access-list 101 permit ip 1.1.1.0 255.255.255.0 any
access-list 102 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
logging synchronous
login local
transport input ssh
!
scheduler max-task-time 5000
end
[/more]
Есть клиентские внутренние компьютеры, Cisco 851W, провайдерская локалка и интернет с внешним IP, получаемым по PPPoE. Схема подключения --> [more=Схема подключения]
[/more]. Удалось получить IP от провайдерского VPN сервера. Трафик маршрутизатор не пропускает никак.
[more=Конфиг]
Building configuration...
Current configuration : 1566 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco.home
!
boot-start-marker
boot-end-marker
!
logging buffered 4096
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
ip domain name cisco.home
!
!
!
!
!
archive
log config
hidekeys
!
!
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address XXXX.XXXX.XXXX
ip address 10.10.10.254 255.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe-client dial-pool-number 1
ip access-group 101 out
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 1.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip access-group 101 out
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no keepalive
ppp authentication chap callin
ppp chap hostname USERNAME
ppp chap password 0 PASSWORD
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap refuse
ip access-group 102 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 1.1.1.0 0.0.0.255
access-list 101 permit ip 1.1.1.0 255.255.255.0 any
access-list 102 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
logging synchronous
login local
transport input ssh
!
scheduler max-task-time 5000
end
[/more]
embers789
Ты же сам трафик режешь ACL-ами
ip nat inside source list 1 interface Dialer1 overload
access-list 1 permit 1.1.1.0 0.0.0.255
Что ты делаешь здесь, весь траффик который идет с 1.1.1.0 0.0.0.255(nat inside) на (nat outside) подставляем ip исходящего интерфейса.
interface FastEthernet4
ip address 10.10.10.254 255.0.0.0
ip nat outside
ip access-group 101 out
access-list 101 permit ip 1.1.1.0 255.255.255.0 any
Т.е. исходящий траффик имеет ip 10.10.10.254, который ты успешно зарезал.
т.к. в конце каждого ACL стоит deny any any, оно просто не отображается.
interface Dialer1
ip nat outside
ip access-group 102 in
access-list 102 permit ip any any
Цель ACL 102 для меня вообще загадка, т.к. по сути он разрешает весь ip траффик.
Если нет ничего, что нужно фильтровать ACL-ами, лучше неставить - т.к. лишняя нагрузка на железку. Тем более, что у 851W пропускная способность при включенном CEF 5.12 Mbps.
Ты же сам трафик режешь ACL-ами
ip nat inside source list 1 interface Dialer1 overload
access-list 1 permit 1.1.1.0 0.0.0.255
Что ты делаешь здесь, весь траффик который идет с 1.1.1.0 0.0.0.255(nat inside) на (nat outside) подставляем ip исходящего интерфейса.
interface FastEthernet4
ip address 10.10.10.254 255.0.0.0
ip nat outside
ip access-group 101 out
access-list 101 permit ip 1.1.1.0 255.255.255.0 any
Т.е. исходящий траффик имеет ip 10.10.10.254, который ты успешно зарезал.
т.к. в конце каждого ACL стоит deny any any, оно просто не отображается.
interface Dialer1
ip nat outside
ip access-group 102 in
access-list 102 permit ip any any
Цель ACL 102 для меня вообще загадка, т.к. по сути он разрешает весь ip траффик.
Если нет ничего, что нужно фильтровать ACL-ами, лучше неставить - т.к. лишняя нагрузка на железку. Тем более, что у 851W пропускная способность при включенном CEF 5.12 Mbps.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.