Shikarito Опубликовано 10 января, 2014 · Жалоба SNR-s2960-24G не настроена абсолютно. А вот Cisco ASA 5505 настроена так, что в (vlan 1 [ip 10.44.112.105 255.225.255.224] Ethernet 0/0) заходит интернет [ip 10.44.112.97 255.255.255.224]. Vlan 2 раздаёт ip-адреса в диапазоне 10.10.10.10-10.10.10.41. Так ещё два Влана. Всё работает. Но! Надо сделать так, что бы интернет заходил в АСУ, а комп был подключён не на прямую к АСЕ а через SNR-s2960-24G. Был опыт такого же рода с двумя Cisco 2950. Благодаря нехитрым действиям с VTP и trunk обе циски стали как одна, но в данном случае я полный ноль. Может кто-нибудь уже сталкивался с похожей задачей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 10 января, 2014 (изменено) · Жалоба если я правильно понял, вам нужно вручную создать транк на SNR и прописать вланы на портах, на snr cli команды вроде похожи циску. Изменено 10 января, 2014 пользователем tractor_driver Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 10 января, 2014 · Жалоба если я правильно понял, вам нужно вручную создать транк на SNR и прописать вланы на портах, на snr cli команды вроде похожи циску. сделал транк порт, прописал вланы. не помогло. Может транк нужен непростой на этом SNR ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 10 января, 2014 · Жалоба В общем решил попробовать без транка. Система получилась такая: Интернет [ip 10.44.112.97/27] входит в АСУ порт 0/0 (Vlan 2 outside[ip 10.44.112.105/27]) Из АСЫ порт 0/1 (Vlan 1 inside [ip 10.10.10.10/24]) идёт в SNR порт 1/1 (Vlan 1 [ip 10.10.10.20/24]) Комп [static ip 10.10.10.21/24] подключен к SNR порт 1/2 (Vlan 1 [ip 10.10.10.21/24]) Из ASA пинги доходят и до компа и до интернета нормально, а вот пинги с компа иут лишь до ASA. В интрнет уже не дотягивается. Пинги с SNR так же идут только до ASA. Вот конфиги если что: конфиг ASA: ciscoasa(config)# sh conf : Saved : Written by enable_15 at 11:51:35.449 UTC Fri Jan 10 2014 ! ASA Version 9.0(1) ! hostname ciscoasa enable password XXXX encrypted passwd XXXX encrypted names ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 switchport access vlan 999 ! interface Ethernet0/3 switchport access vlan 3 ! interface Ethernet0/4 switchport access vlan 4 ! interface Ethernet0/5 switchport access vlan 5 ! interface Ethernet0/6 switchport access vlan 999 ! interface Ethernet0/7 switchport trunk allowed vlan 4-5 switchport trunk native vlan 5 switchport mode trunk ! interface Vlan1 nameif inside security-level 100 ip address 10.10.10.10 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 10.44.112.105 255.255.255.224 ! interface Vlan999 shutdown nameif NOT_USED security-level 0 no ip address ! ftp mode passive object network obj_any subnet 0.0.0.0 0.0.0.0 access-list PING_IN_AL extended permit icmp any any echo-reply pager lines 24 logging asdm informational mtu inside 1500 mtu outside 1500 mtu NOT_USED 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected ! object network obj_any nat (inside,outside) dynamic interface route outside 0.0.0.0 0.0.0.0 10.44.112.97 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd dns 10.0.1.1 10.0.1.2 ! dhcpd address 10.10.10.11-10.10.10.42 inside dhcpd enable inside ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context no call-home reporting anonymous Cryptochecksum:0979af33882990935d4e61363e6b0a94 и вот конфиг SNR: ! no service password-encryption ! hostname SNR-S2960-24G sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia sysContact support@nag.ru ! username admin privilege 15 password 0 admin XXXXXXXXXXXX ! vlan 1 ! Interface Ethernet1/1 ! Interface Ethernet1/2 ! Interface Ethernet1/3 ! Interface Ethernet1/4 ! Interface Ethernet1/5 ! Interface Ethernet1/6 ! Interface Ethernet1/7 ! Interface Ethernet1/8 ! Interface Ethernet1/9 ! Interface Ethernet1/10 ! Interface Ethernet1/11 ! Interface Ethernet1/12 ! Interface Ethernet1/13 ! Interface Ethernet1/14 ! Interface Ethernet1/15 ! Interface Ethernet1/16 ! Interface Ethernet1/17 ! Interface Ethernet1/18 ! Interface Ethernet1/19 ! Interface Ethernet1/20 ! Interface Ethernet1/21 ! Interface Ethernet1/22 ! Interface Ethernet1/23 ! Interface Ethernet1/24 ! Interface Ethernet1/25 switchport mode trunk ! Interface Ethernet1/26 ! Interface Ethernet1/27 ! Interface Ethernet1/28 ! interface Vlan1 ip address 10.10.10.20 255.255.255.0 ! ip default-gateway 10.10.10.10 ! no login ! end Может кто увидит ошибку? ... help Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 10 января, 2014 (изменено) · Жалоба а вланы у вас сами себя прописывают на SNR? :) interface Ethernet0/7 switchport trunk allowed vlan 4-5 <<<<<<<<<<<<<<< vlan1? switchport trunk native vlan 5 <<<<<<<<<<<<<<зафига? switchport mode trunk p.s чтоб пинг ходил надо добавить icmp inspection в service-policy Изменено 10 января, 2014 пользователем applx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 11 января, 2014 · Жалоба а вланы у вас сами себя прописывают на SNR? :) interface Ethernet0/7 switchport trunk allowed vlan 4-5 <<<<<<<<<<<<<<< vlan1? switchport trunk native vlan 5 <<<<<<<<<<<<<<зафига? switchport mode trunk Тааа ... это я эксперементировал. Сейчас порт 0/7 всё равно не задействован, так что это не важно. Если заработает хотябы с одним виланом на SNR, то тогда уже будем и Vlan'ы добавлять и DHCP настроим... а пока что по минимуму. Хочу пока что без транка соединить SNR и ASA. icmp inspection в service-policy прописал, но ничего не изменилось. Не исключаю факт ошибки по причине моих кривых рук. Поэтому, если кому не лень помочь - всегда есть TeamViewer =) Желающим просьба писать на почту Shikarito собака mail ru Жду ответа как соловей лета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 11 января, 2014 · Жалоба Хрена себе, прям таки на почту? Может приехать сразу? :-) По теме: conf t vlan 4 vlan 5 vlan 2 vlan 4 vlan 999 написать на эсэнэрэ Или vlan 1-5,999 если он умеет так Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 11 января, 2014 · Жалоба Interface Ethernet1/1 switchport access vlan 2 ! Interface Ethernet1/2 switchport access vlan 3 ! .... ! Interface Ethernet1/28 switchport mode trunk switchport trunk allowed vlan 2-3 ip dhcp snooping trust ! Вот в таком духе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VVSina Опубликовано 12 января, 2014 · Жалоба Что кошки что snr посадить порт в access при отсутствии влана не дадут - сругнуться. а вот на транковых портах пожалуйста - набираешь sw tr al vl ad xxx - а оно жуёт молча, и если влана нет и создать забыл - то потом думаешь где дурак ;( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 12 января, 2014 · Жалоба Итак, на SNR прописал VLAN'ы как на ASA и SNR смог пропинговать интернет, но комп как пинговал лишь до асы, так и осталось. В интернет не могет. Из двух предыдущих комментариев ничего не понял... если не трудно - объясните на пальцах (а лучше пошаговой инструкцией с употреблением конкретных комманд) плиз =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 14 января, 2014 · Жалоба Итак, товарищи! Интернет оказался в компе пройдя через огонь (ASA), воду (SNR) и медные трубы (мои кривые руки) благодаря ... не знаю чему. На обоих машинах сбросил всё в default и прописал всё то же самое (вроде бы) и заработало :) Теперь другая проблема: Нужно скрестить SNR-s2960-24g с такой же SNR-s2960-24g что бы работали как один. Прошу объяснить чайнику всю процедуру настройки с начала до конца (и подобным мне чайникам полезно будет) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 16 января, 2014 · Жалоба Неужели нет на форуме человека, который может объяснить как настроить trunk порт на SNR-s2960-24g ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 января, 2014 · Жалоба так уже написали же conf t vlan 2-5,999 exi interface ethernet1/24 switchport mode trunk switchport trunk allowed vlan 2-5,999 или conf t vlan 2-4094 int ethernet1/24 switchport mode trunk switchport trunk allowed all --- http://data.nag.ru/SNR%20Switches/Configuration%20Guide/ http://data.nag.ru/SNR%20Switches/Configuration%20Guide/SNR-S2960-48G/03-VLAN%20and%20MAC%20Address%20Configuration.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shikarito Опубликовано 16 января, 2014 · Жалоба Похоже, что я дал неверное описание моей проблемы. Начнём с начала. ASA раздаёт ip адреса через SNR1 (Vlan 2 ip 10.10.10.11/24 - 10.10.10.42/24) (Vlan 3 ip 172.0.0.10/24 - 172.0.0.41/24) Нужно сделать так, что бы SNR2 была соединена с SNR1 и в точности выполняла её функции, т.е. Vlan 2 на SNR2 Должен стать общим с Vlan 2 на SNR1 и соответственно то же самое с Vlan 3. На сколько я понимаю без команды dot1q не обойтись, но я в небольшом замешательстве как её использовать. Я бы поперебирал на угад, но ... сами должны понимать. vurd, спасибо за предоставленную документацию, но я очень плохо спик инглишь (как я уже говорил "чайник"). Надеюсь на помощь =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...