Alex_net

Пользователи
  • Публикаций

    44
  • Зарегистрирован

  • Посещение

Информация о Alex_net

  • Звание
    Абитуриент
  • День рождения

Контакты

  • ICQ
    311389156

Информация

  • Интересы
    женщины+internet

Город

  • Город
    Кишинев
  1. Спасибо тебе !!! Я разобрался .. дело было в правилах роутера.. Тема данная закрыта!
  2. Да натит роутер, нет нат пока для этой сетки не включал ..нужно пока хоть до интерфейса достучаться
  3. Всем Доброго дня ! Есть asa 5515, задача состоит в том, чтобы просто маршрутизировать несколько сетей без ната и делать инспектирование трафика. схема примерно такая для одной сети адрес клиента 10.0.2.10 — адрес ядра 10.0.2.1 —от ядра к асе 10.0.1.10 - аса IN 10.0.1.1 — аса OUT 10.0.0.2 —Router LAN 10.0.0.254--IP ISP/ я настроил маршрутизацию с асы во внутреннюю сеть, но ни как не могу настроить доступ до роутера и дальше доступ в интернет (на роутере маршрут обратно до сети прописан) Проблема в том что аса дальше внешнего интерфейса не пускает иначе я бы хоть бы пинговал адрес внутреннего интерфеса роутера . Доступ в интернет с асы имеется, пинги до гугла и яндекса есть hostname Firewall domain-name Test.local xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.0.2 255.255.255.0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/4 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/5 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif MNGMT security-level 0 ip address 192.168.10.10 255.255.255.0 ! ftp mode passive dns domain-lookup outside dns server-group DefaultDNS name-server 8.8.8.8 domain-name FW.local same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list INSIDE extended permit ip 10.0.2.0 255.255.255.0 any pager lines 24 mtu MNGMT 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-714.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group INSIDE in interface inside route outside 0.0.0.0 0.0.0.0 10.0.0.1 route inside 10.0.2.0 255.255.255.0 10.0.1.10 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication serial console LOCAL http server enable http 0.0.0.0 0.0.0.0 MNGMT no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh 192.168.10.0 255.255.255.0 MNGMT ssh 10.0.2.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username user password password encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp
  4. интерфейс у сервера один
  5. Всем спасибо! v_r -спасибо за ссылочку буду тестировать. На моем коммутаторе не поднять PVLAN, но есть switchport protected.
  6. Всем спасибо! v_r -спасибо за ссылочку буду тестировать.
  7. А сервер с айпишниками из другого влана сможет общаться или нет ? Или у меня получится чисто изолированный сервер и устройства, но насколько я понял порт сервера можно установить в таком режиме что связь будет и с другими хостами по IP.
  8. то есть алгоритм такой 1 настроить на коммутаторах VTP v3 2. Настроить VLAN обычные 3 Настроить PVLAN и добавлять туда порты которые мне нужно. 4. По итогу у меня будет vlan маршрутизация (то есть сервер будет иметь взаимодействие с другим хостом из другого влана )
  9. схема примерно такая есть vlan - сервер и сетка с диапазоном айпишников. В сети есть контроллеры которые работают по своим протоколам, я хочу поместить их в влан, но сделать так, чтобы контроллеры могли общаться только с сервером, то есть сделать изолированные порты (связь контроллер-сервер и все в рамка в этой сети, чтобы минимизировать широковещательный и тому подобный трафик), но чтобы к серверу был доступ из vlan управления. Вот и PVLAN для таких целей подходит, но в описании пишут (http://telecombook.ru/archive/network/cisco/directory/67-private-vlan), чтобы он работал коммутатор должен быть в транспарент режиме, а мне VTP не нужен.
  10. Всем доброго дня ! Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне.
  11. скажите плизз, обязательно порты в режим TRUNK переводить при таких режимах? на том же http://xgu.ru в таком режиме настраивают.
  12. Всем доброго дня ! Коллеги, в первый раз хочу протестировать агрегацию портов на коммутаторах HP 1910-24G для повышения пропускной способности канала между серверами, что в принципе я сделал объединив 4 порта на каждом коммутаторе. Вопрос собственно в чем, в настройках есть опции link agrigation и Lacp они должны быть включены обе или они могут работать по отдельности? Посмотрел Warkshark на предмет не образовалось ли у меня колец там постоянно бегают пакеты Spannig Tree(возможно там еще что то надо настроить?). В такую цепочку хочу добавить еще 2 коммутатора объединив по 4 порта. В дальнейшем хочу сегментировать сеть по VLAN.
  13. ipfw add 400 nat 123 ip from any to any via xl0 -- и еще вопрос почему после этого правила не возможно подрубиться к серверу и пинги не бегают из вне пока не поставишь 320 и 350 правило ?? С этим я разобрался , вопрос остался в кол-ве адресов и портов как это делать правильно пока мои эксперементы не увенчались успехом((
  14. Всем доброго дня !! вопрос заключается вот в чем,как сделать проброс портов на Freebsd 8.2 на несколько ПК и на разные порты? Сейчас инет в локалку сделан через ipfw kernel NAT вот мои правила.Не спорю может набор правил и примитивен но это работает ipfw nat 123 config ip XX.XX.XXX.XXX ipfw nat 123 config if xl0 reset same_ports deny_in redirect_port tcp 192.168.0.101:3389 3389 redirect_port udp 192.168.0.101:3389 3389 --это правило работает и хорошо ipfw add 200 allow ip from 192.168.0.0/24 to any via xl1 ipfw add 320 allow tcp from any to XX.XX.XXX.XXX dst-port 22 in via xl0 ipfw add 350 allow icmp from any to XX.XX.XXX.XXX in via xl0 icmptype 3,8,12 ipfw add 400 nat 123 ip from any to any via xl0 -- и еще вопрос почему после этого правила не возможно подрубиться к серверу и пинги не бегают из вне пока не поставишь 320 и 350 правило ??