Jump to content
Калькуляторы

SNR + Cisco Совместить SNR-s2960-24G с Cisco ASA 5505

SNR-s2960-24G не настроена абсолютно. А вот Cisco ASA 5505 настроена так, что в (vlan 1 [ip 10.44.112.105 255.225.255.224] Ethernet 0/0) заходит интернет [ip 10.44.112.97 255.255.255.224]. Vlan 2 раздаёт ip-адреса в диапазоне 10.10.10.10-10.10.10.41. Так ещё два Влана.

Всё работает. Но! Надо сделать так, что бы интернет заходил в АСУ, а комп был подключён не на прямую к АСЕ а через SNR-s2960-24G.

Был опыт такого же рода с двумя Cisco 2950. Благодаря нехитрым действиям с VTP и trunk обе циски стали как одна, но в данном случае я полный ноль. Может кто-нибудь уже сталкивался с похожей задачей?

Share this post


Link to post
Share on other sites

если я правильно понял, вам нужно вручную создать транк на SNR и прописать вланы на портах, на snr cli команды вроде похожи циску.

Edited by tractor_driver

Share this post


Link to post
Share on other sites

если я правильно понял, вам нужно вручную создать транк на SNR и прописать вланы на портах, на snr cli команды вроде похожи циску.

сделал транк порт, прописал вланы. не помогло.

Может транк нужен непростой на этом SNR ?

Share this post


Link to post
Share on other sites

В общем решил попробовать без транка.

Система получилась такая: Интернет [ip 10.44.112.97/27] входит в АСУ порт 0/0 (Vlan 2 outside[ip 10.44.112.105/27])

Из АСЫ порт 0/1 (Vlan 1 inside [ip 10.10.10.10/24]) идёт в SNR порт 1/1 (Vlan 1 [ip 10.10.10.20/24])

Комп [static ip 10.10.10.21/24] подключен к SNR порт 1/2 (Vlan 1 [ip 10.10.10.21/24])

Из ASA пинги доходят и до компа и до интернета нормально, а вот пинги с компа иут лишь до ASA. В интрнет уже не дотягивается. Пинги с SNR так же идут только до ASA.

Вот конфиги если что:

конфиг ASA:

ciscoasa(config)# sh conf
: Saved
: Written by enable_15 at 11:51:35.449 UTC Fri Jan 10 2014
!
ASA Version 9.0(1)
!
hostname ciscoasa
enable password XXXX encrypted
passwd XXXX encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 999
!
interface Ethernet0/3
switchport access vlan 3
!
interface Ethernet0/4
switchport access vlan 4
!
interface Ethernet0/5
switchport access vlan 5
!
interface Ethernet0/6
switchport access vlan 999
!
interface Ethernet0/7
switchport trunk allowed vlan 4-5
switchport trunk native vlan 5
switchport mode trunk
!
interface Vlan1
nameif inside
security-level 100
ip address 10.10.10.10 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.44.112.105 255.255.255.224
!
interface Vlan999
shutdown
nameif NOT_USED
security-level 0
no ip address
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
access-list PING_IN_AL extended permit icmp any any echo-reply
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu NOT_USED 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 10.44.112.97 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh timeout 5
console timeout 0

dhcpd dns 10.0.1.1 10.0.1.2
!
dhcpd address 10.10.10.11-10.10.10.42 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum client auto
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect rsh
 inspect rtsp
 inspect esmtp
 inspect sqlnet
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
 inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:0979af33882990935d4e61363e6b0a94

и вот конфиг SNR:

!
no service password-encryption
!
hostname SNR-S2960-24G
sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia
sysContact support@nag.ru
!
username admin privilege 15 password 0 admin XXXXXXXXXXXX
!
vlan 1 
!
Interface Ethernet1/1
!
Interface Ethernet1/2
!
Interface Ethernet1/3
!
Interface Ethernet1/4
!
Interface Ethernet1/5
!
Interface Ethernet1/6
!
Interface Ethernet1/7
!
Interface Ethernet1/8
!
Interface Ethernet1/9
!
Interface Ethernet1/10
!
Interface Ethernet1/11
!
Interface Ethernet1/12
!
Interface Ethernet1/13
!
Interface Ethernet1/14
!
Interface Ethernet1/15
!
Interface Ethernet1/16
!
Interface Ethernet1/17
!
Interface Ethernet1/18
!
Interface Ethernet1/19
!
Interface Ethernet1/20
!
Interface Ethernet1/21
!
Interface Ethernet1/22
!
Interface Ethernet1/23
!
Interface Ethernet1/24
!
Interface Ethernet1/25
switchport mode trunk                                                                                
!
Interface Ethernet1/26
!
Interface Ethernet1/27
!
Interface Ethernet1/28
!
interface Vlan1
ip address 10.10.10.20 255.255.255.0
!
ip default-gateway 10.10.10.10
!
no login
!
end

Может кто увидит ошибку? ... help

Share this post


Link to post
Share on other sites

а вланы у вас сами себя прописывают на SNR? :)

 

interface Ethernet0/7

switchport trunk allowed vlan 4-5 <<<<<<<<<<<<<<< vlan1?

switchport trunk native vlan 5 <<<<<<<<<<<<<<зафига?

switchport mode trunk

 

 

p.s чтоб пинг ходил надо добавить icmp inspection в service-policy

Edited by applx

Share this post


Link to post
Share on other sites

а вланы у вас сами себя прописывают на SNR? :)

 

interface Ethernet0/7

switchport trunk allowed vlan 4-5 <<<<<<<<<<<<<<< vlan1?

switchport trunk native vlan 5 <<<<<<<<<<<<<<зафига?

switchport mode trunk

Тааа ... это я эксперементировал. Сейчас порт 0/7 всё равно не задействован, так что это не важно.

Если заработает хотябы с одним виланом на SNR, то тогда уже будем и Vlan'ы добавлять и DHCP настроим... а пока что по минимуму. Хочу пока что без транка соединить SNR и ASA.

icmp inspection в service-policy прописал, но ничего не изменилось.

Не исключаю факт ошибки по причине моих кривых рук. Поэтому, если кому не лень помочь - всегда есть TeamViewer =) Желающим просьба писать на почту Shikarito собака mail ru

Жду ответа как соловей лета.

Share this post


Link to post
Share on other sites

Хрена себе, прям таки на почту? Может приехать сразу? :-)

 

По теме:

conf t
vlan 4
vlan 5
vlan 2
vlan 4
vlan 999

написать на эсэнэрэ

 

Или vlan 1-5,999 если он умеет так

Share this post


Link to post
Share on other sites

Interface Ethernet1/1
switchport access vlan 2
!
Interface Ethernet1/2
switchport access vlan 3
!
....
!
Interface Ethernet1/28
switchport mode trunk
switchport trunk allowed vlan 2-3
ip dhcp snooping trust
!

 

Вот в таком духе.

Share this post


Link to post
Share on other sites

Что кошки что snr посадить порт в access при отсутствии влана не дадут - сругнуться.

а вот на транковых портах пожалуйста - набираешь sw tr al vl ad xxx - а оно жуёт молча, и если влана нет и создать забыл - то потом думаешь где дурак ;(

Share this post


Link to post
Share on other sites

Итак, на SNR прописал VLAN'ы как на ASA и SNR смог пропинговать интернет, но комп как пинговал лишь до асы, так и осталось. В интернет не могет.

Из двух предыдущих комментариев ничего не понял... если не трудно - объясните на пальцах (а лучше пошаговой инструкцией с употреблением конкретных комманд) плиз =)

Share this post


Link to post
Share on other sites

Итак, товарищи! Интернет оказался в компе пройдя через огонь (ASA), воду (SNR) и медные трубы (мои кривые руки) благодаря ... не знаю чему. На обоих машинах сбросил всё в default и прописал всё то же самое (вроде бы) и заработало :)

Теперь другая проблема:

Нужно скрестить SNR-s2960-24g с такой же SNR-s2960-24g что бы работали как один.

Прошу объяснить чайнику всю процедуру настройки с начала до конца (и подобным мне чайникам полезно будет)

Share this post


Link to post
Share on other sites

Неужели нет на форуме человека, который может объяснить как настроить trunk порт на SNR-s2960-24g ?

Share this post


Link to post
Share on other sites

так уже написали же

 

conf t

vlan 2-5,999

exi

 

interface ethernet1/24

switchport mode trunk

switchport trunk allowed vlan 2-5,999

 

или

 

conf t

vlan 2-4094

int ethernet1/24

switchport mode trunk

switchport trunk allowed all

 

---

 

http://data.nag.ru/SNR%20Switches/Configuration%20Guide/

http://data.nag.ru/SNR%20Switches/Configuration%20Guide/SNR-S2960-48G/03-VLAN%20and%20MAC%20Address%20Configuration.pdf

Share this post


Link to post
Share on other sites

Похоже, что я дал неверное описание моей проблемы. Начнём с начала.

ASA раздаёт ip адреса через SNR1 (Vlan 2 ip 10.10.10.11/24 - 10.10.10.42/24) (Vlan 3 ip 172.0.0.10/24 - 172.0.0.41/24)

Нужно сделать так, что бы SNR2 была соединена с SNR1 и в точности выполняла её функции, т.е. Vlan 2 на SNR2 Должен стать общим с Vlan 2 на SNR1 и соответственно то же самое с Vlan 3. На сколько я понимаю без команды dot1q не обойтись, но я в небольшом замешательстве как её использовать. Я бы поперебирал на угад, но ... сами должны понимать.

vurd, спасибо за предоставленную документацию, но я очень плохо спик инглишь (как я уже говорил "чайник").

Надеюсь на помощь =)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this