|
Компьютерный форум OSzone.net » Железо » Сетевое оборудование » Cisco - [решено] Cisco Vlan <1811 + MS ISA> |
|
Cisco - [решено] Cisco Vlan <1811 + MS ISA>
|
Сообщения: 526 |
Профиль | Сайт | Отправить PM | Цитировать И так, решил сеть бить на Vlan -точнее создать ещё одну подсеть.
Имеем - isa 2006 (ip 10.10.1.7) воткнута в роутер cisco 1811 (ip 10.10.1.3). В cisco воткнуты так же остальные серверы и свитчи с пользователями. Так как на сервере isa некуда уже всталять сетевые карточки, решил прибегнуть к делению сети на cisco. В циско сделал два Vlan. Первый vlan 1 связан с портами fastethernet 2-8 Второй vlan 2 свзяан с портом fastethernet 9 У первого vlan ip 10.10.1.3 У второго vlan ip 10.10.2.3 Далее делаю у себя шлюзом циско чтобы с начала разобраться с vlan. Пингую интефейс vlan 2 (10.10.2.3) - пингуется. Интерфейс Vlan 1 пингуется так же. Далее пингую свитч, который имеет адрес 10.10.2.1 и подключен к vlan 2 - не пингуется. с самой циски пинги проходят Ниже конфиг циско. Внимание вопросы. 1. Как сделать так чтобы обе подсети были доступны для пользователей обеих подсетей? 2. Что необходимо прописать на ISA сервере для того чтобы она пересылал запросы на циско, при попытке попасть в подсеть 10.10.2.0? ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname NSOFRT01 ! boot-start-marker boot-end-marker ! no logging buffered enable secret 5 $1$5xxs$BZX2AvFosVzALBrWKh6F2. ! no aaa new-model ! resource policy ! clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ! ! no ip cef no ip dhcp use vrf connected ip dhcp excluded-address 10.10.1.61 10.10.1.254 ip dhcp excluded-address 10.10.1.1 10.10.1.20 ip dhcp excluded-address 10.10.2.1 10.10.2.5 ip dhcp excluded-address 10.10.2.20 10.10.2.254 ! ip dhcp pool Vlan1 network 10.10.1.0 255.255.255.0 domain-name nanosystem.local dns-server 10.10.1.4 10.10.1.5 default-router 10.10.1.7 lease 8 ! ip dhcp pool nosfd01 host 10.10.1.21 255.255.255.0 client-identifier 0100.1d7d.43e7.00 ! ip dhcp pool Vlan2 network 10.10.2.0 255.255.255.0 domain-name nanosystem.local dns-server 10.10.1.4 10.10.1.5 default-router 10.10.1.7 lease 8 ! ! ip domain name nanosystem.local ip name-server 10.10.1.4 ip name-server 10.10.1.5 ! ! crypto pki trustpoint tti revocation-check crl rsakeypair tti ! crypto pki trustpoint TP-self-signed-791461412 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-791461412 revocation-check none rsakeypair TP-self-signed-791461412 ! ! crypto pki certificate chain tti crypto pki certificate chain TP-self-signed-791461412 certificate self-signed 01 3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 37393134 36313431 32301E17 0D303830 39303431 32333031 335A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3739 31343631 34313230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 DB7B18BD CFB327D2 B3E80F25 1EBCA7E6 CC9318FD DCAEEC1D 07604C4A 712C3BCE 3E27519B 6C492605 354E4DDB 0E2584A5 7E7786B7 16069B2A BC1A7111 9F832DD9 D82EB7F6 E995718E ABF00231 28C6B1CF 722207DA B3B91201 5C4D025C 13C1C618 8D78265A 95E072BA F94E5FDE A34C9369 DAFFEC26 3366FE58 D4EEAAC4 AD9C1421 02030100 01A37930 77300F06 03551D13 0101FF04 05300301 01FF3024 0603551D 11041D30 1B82194E 534F4652 5430312E 6E616E6F 73797374 656D2E6C 6F63616C 301F0603 551D2304 18301680 1483C281 35B20711 AD9D8823 26DF413D 0386860B DA301D06 03551D0E 04160414 83C28135 B20711AD 9D882326 DF413D03 86860BDA 300D0609 2A864886 F70D0101 04050003 81810007 3EFE79BF 4780F4E2 6F1A9C97 BA523D68 B8019227 6E7CD929 9504624C 0FF4D170 C2634010 9B9CFD00 B0BFCE71 30625ED8 8041B3BB F96CB147 09F47921 E2D403E3 E36D363F 07855A09 57CEB9C3 48F49BBA ED168604 4FA80D8F 4CA07EE5 84CD9556 96AE283E 108E4F47 4C9E3EBE A467988D BA4B54F3 79628C03 DEAF8E27 1D2A4B quit username root privilege 15 secret 5 $1$Ne5X$6nh/tvIubPYow3uafSaPH1 ! ! ! ! ! ! interface FastEthernet0 no ip address ip nat outside ip virtual-reassembly no ip route-cache shutdown duplex auto speed auto ! interface FastEthernet1 no ip address no ip route-cache shutdown duplex auto speed auto ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 switchport access vlan 2 ! interface Vlan1 description NSOF ip address 10.10.1.3 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface Vlan2 description NSOF ip address 10.10.2.3 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ! ! no ip http server ip http secure-server ! access-list 23 permit 10.10.0.0 0.0.255.255 access-list 23 deny any dialer-list 1 protocol ip permit ! ! ! ! ! ! control-plane ! ! line con 0 line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 23 in login local transport input ssh transport output none ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end |
|
Отправлено: 20:03, 22-10-2008 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать aptv,
У вас какая-то экзотическая конфигурация по портам. 1811 это маршрутизатор, сотоящий из: -- 2х портов 3-го уровня (им можно присваивать IP непосредственно, а можно использовать как порты 2-го уровня) (FE0, FE1) -- 8 портов 2-го уровня которым нельзя присваивать IP непосредственно, но можно назначать VLAN. -- виртуальных VLAN-интерфейсов которым можно назначать IP, а можно и не назначать. VLAN1 существует по умолчанию на всех коммутируемых портах и его нельзя "убить" (VLAN1 существует на всех коммутаторах, единственное от него могут быть "отвязаны" порты, но внутри транков он все равно будет существовать) т.к. по нему бегают BPDU анонсы (Spanning Tree Protocol). За сим Cisco рекомендует ИСПОЛЬЗОВАТЬ VLAN1 только в служебных целях. Рекомендую для экспериментов выбрать VLAN отличные от 1. 2) ipconfig /all для рабочей станции приведите. 3) для начала ping пробуйте с Cisco из TELNET клиента. 4) В Cisco просмотрите таблицу маршрутизации командой show route 5) http://www.infanata.org/2007/04/01/k...us_pinski.html http://www.infanata.org/2006/07/02/k..._catalyst.html хотя коммутацию лучше начать изучать с этого http://www.infanata.org/2006/07/10/k...akh_cisco.html 6) Нарисовать схемку всетаки попробуйте - тогда проще будет что-либо объяснять. (Если время будет я к вечеру тоже набросаю). |
------- Последний раз редактировалось kim-aa, 23-10-2008 в 11:32. Отправлено: 11:14, 23-10-2008 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать ipconfig
ip 10.10.1.21 mask 255.255.255.0 gate 10.10.1.7 dns 10.10.1.4 dns 10.10.1.5 dhcp serv 10.10.1.3 c самой циско всё прекрасно пингуется. при наборе команды sh route пусто!! |
------- Последний раз редактировалось Aleksey Potapov, 24-10-2008 в 10:18. Отправлено: 12:05, 23-10-2008 | #3 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать необходимо настроить роутинг
команды типа ip route ни к чему не приводят к примеру ip route 10.10.1.0 255.255.255.0 Vlan1 ip route 10.10.2.0 255.255.255.0 Vlan2 глухо как в танке. |
------- Отправлено: 12:53, 24-10-2008 | #4 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать aptv,
подождите, пожалуйста. У меня 1811 запакованная лежит. Я, попробую собрать макетку либо сегодня, либо завтра. |
|
------- Отправлено: 10:05, 27-10-2008 | #5 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать kim-aa,
спасибо большое) тут у меня возник ещё один вопрос - парралельно..... так как данная циска может поддерживать двух isp. Идея такова - воткнуть в циско в fe0 isa сервер. Как сделать так чтобы циско работала без нат? Ведь нам Fe0 надо присвоить какой -либо адрес....а какой...? схема прилагается. http://s57.radikal.ru/i158/0810/2a/7136bb669a97.jpg |
------- Отправлено: 10:18, 27-10-2008 | #6 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата aptv:
Можно через сонсоль (telnet) ; войти в режим админа enable ; войти в режим конфигурирования conf t ; войти в режим конкретного интерфейса interface FE0 ; no ip nat outside Конфигурация сохраняется в памяти (running-config) Дабы записать во flash (startup-config) нужно использовать copy running-config startup-config Рекомендую завести tftp Сервер и сохранять конфиги командой copy startup-config tftp |
|
------- Отправлено: 11:07, 27-10-2008 | #7 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать kim-aa,
Вы наверное не поняли.....понятно как его отключить и включить, с tftp тоже всё ясно))),я не настолько нуб....меня интересует какой присвоить ip адрес FE0 и какой адрес internal интерфейса для isa. Ведь при всём при этом должны работать правила публикации... |
------- Отправлено: 11:19, 27-10-2008 | #8 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать aptv,
#conf t interface FastEthernet0 ip address <чего хотим> <маска> Только сеть желательно назначать не совпадающую с интерфейсами VLAN Либо прибить данный виртуальные интерфейсы. Можно просто "положить" командой shutdown Цитата aptv:
Если - "Да". То я, как и обещал, выложу попозжа |
|
------- Отправлено: 11:28, 27-10-2008 | #9 |
Сообщения: 526
|
Профиль | Сайт | Отправить PM | Цитировать А с совподающи VLAN он и недаст прописать ip
Тоесть у нас получается - isa -ip 10.10.5.1/24(к примеру) на циско 10.10.5.2 /24 - или по уже -тупо для 2-х ip далее ip route 0.0.0.0 0.0.0.0 10.10.5.1 а правила публикации при этом буду работать? и у нас получается конф такого вида для для fe0 interface FastEthernet0 10.10.5.1 255.255.255.0 !это что подскажите. ip virtual-reassembly !и это,если не сложно no ip route-cache !ну а тут и так понятно duplex auto speed auto !далее ip route 0.0.0.0 0.0.0.0 10.10.5.1 и при этом связь с домено не потеряется, разве не надо дописывать на самой isa и cisco какие-либо маршруты для доступа к локальной сети? |
------- Отправлено: 11:38, 27-10-2008 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Cisco - [решено] Странности с Cisco 1811 | vnc | Сетевое оборудование | 1 | 19-11-2009 13:43 | |
Cisco - [решено] firewall между vlan <Cisco ACL> | Aleksey Potapov | Сетевое оборудование | 62 | 01-12-2008 11:37 | |
Cisco - Cisco 1811 + 3 Com baseline 226 plus | Aleksey Potapov | Сетевое оборудование | 9 | 18-11-2008 15:03 | |
Cisco - Cisco and V.92 <1811 reserved line> | Aleksey Potapov | Сетевое оборудование | 0 | 29-08-2008 20:17 | |
Route/Bridge - Cisco 1811 | Aleksey Potapov | Сетевые технологии | 5 | 01-07-2008 12:11 |
|