|
Cisco Vlan <1811 + MS ISA>
И так, решил сеть бить на Vlan -точнее создать ещё одну подсеть.
Имеем - isa 2006 (ip 10.10.1.7) воткнута в роутер cisco 1811 (ip 10.10.1.3). В cisco воткнуты так же остальные серверы и свитчи с пользователями. Так как на сервере isa некуда уже всталять сетевые карточки, решил прибегнуть к делению сети на cisco. В циско сделал два Vlan. Первый vlan 1 связан с портами fastethernet 2-8 Второй vlan 2 свзяан с портом fastethernet 9 У первого vlan ip 10.10.1.3 У второго vlan ip 10.10.2.3 Далее делаю у себя шлюзом циско чтобы с начала разобраться с vlan. Пингую интефейс vlan 2 (10.10.2.3) - пингуется. Интерфейс Vlan 1 пингуется так же. Далее пингую свитч, который имеет адрес 10.10.2.1 и подключен к vlan 2 - не пингуется. с самой циски пинги проходят Ниже конфиг циско. Внимание вопросы. 1. Как сделать так чтобы обе подсети были доступны для пользователей обеих подсетей? 2. Что необходимо прописать на ISA сервере для того чтобы она пересылал запросы на циско, при попытке попасть в подсеть 10.10.2.0? ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname NSOFRT01 ! boot-start-marker boot-end-marker ! no logging buffered enable secret 5 $1$5xxs$BZX2AvFosVzALBrWKh6F2. ! no aaa new-model ! resource policy ! clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ! ! no ip cef no ip dhcp use vrf connected ip dhcp excluded-address 10.10.1.61 10.10.1.254 ip dhcp excluded-address 10.10.1.1 10.10.1.20 ip dhcp excluded-address 10.10.2.1 10.10.2.5 ip dhcp excluded-address 10.10.2.20 10.10.2.254 ! ip dhcp pool Vlan1 network 10.10.1.0 255.255.255.0 domain-name nanosystem.local dns-server 10.10.1.4 10.10.1.5 default-router 10.10.1.7 lease 8 ! ip dhcp pool nosfd01 host 10.10.1.21 255.255.255.0 client-identifier 0100.1d7d.43e7.00 ! ip dhcp pool Vlan2 network 10.10.2.0 255.255.255.0 domain-name nanosystem.local dns-server 10.10.1.4 10.10.1.5 default-router 10.10.1.7 lease 8 ! ! ip domain name nanosystem.local ip name-server 10.10.1.4 ip name-server 10.10.1.5 ! ! crypto pki trustpoint tti revocation-check crl rsakeypair tti ! crypto pki trustpoint TP-self-signed-791461412 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-791461412 revocation-check none rsakeypair TP-self-signed-791461412 ! ! crypto pki certificate chain tti crypto pki certificate chain TP-self-signed-791461412 certificate self-signed 01 3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 37393134 36313431 32301E17 0D303830 39303431 32333031 335A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3739 31343631 34313230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 DB7B18BD CFB327D2 B3E80F25 1EBCA7E6 CC9318FD DCAEEC1D 07604C4A 712C3BCE 3E27519B 6C492605 354E4DDB 0E2584A5 7E7786B7 16069B2A BC1A7111 9F832DD9 D82EB7F6 E995718E ABF00231 28C6B1CF 722207DA B3B91201 5C4D025C 13C1C618 8D78265A 95E072BA F94E5FDE A34C9369 DAFFEC26 3366FE58 D4EEAAC4 AD9C1421 02030100 01A37930 77300F06 03551D13 0101FF04 05300301 01FF3024 0603551D 11041D30 1B82194E 534F4652 5430312E 6E616E6F 73797374 656D2E6C 6F63616C 301F0603 551D2304 18301680 1483C281 35B20711 AD9D8823 26DF413D 0386860B DA301D06 03551D0E 04160414 83C28135 B20711AD 9D882326 DF413D03 86860BDA 300D0609 2A864886 F70D0101 04050003 81810007 3EFE79BF 4780F4E2 6F1A9C97 BA523D68 B8019227 6E7CD929 9504624C 0FF4D170 C2634010 9B9CFD00 B0BFCE71 30625ED8 8041B3BB F96CB147 09F47921 E2D403E3 E36D363F 07855A09 57CEB9C3 48F49BBA ED168604 4FA80D8F 4CA07EE5 84CD9556 96AE283E 108E4F47 4C9E3EBE A467988D BA4B54F3 79628C03 DEAF8E27 1D2A4B quit username root privilege 15 secret 5 $1$Ne5X$6nh/tvIubPYow3uafSaPH1 ! ! ! ! ! ! interface FastEthernet0 no ip address ip nat outside ip virtual-reassembly no ip route-cache shutdown duplex auto speed auto ! interface FastEthernet1 no ip address no ip route-cache shutdown duplex auto speed auto ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 switchport access vlan 2 ! interface Vlan1 description NSOF ip address 10.10.1.3 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface Vlan2 description NSOF ip address 10.10.2.3 255.255.255.0 ip nat inside ip virtual-reassembly no ip route-cache ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ! ! no ip http server ip http secure-server ! access-list 23 permit 10.10.0.0 0.0.255.255 access-list 23 deny any dialer-list 1 protocol ip permit ! ! ! ! ! ! control-plane ! ! line con 0 line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 23 in login local transport input ssh transport output none ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end |
aptv,
У вас какая-то экзотическая конфигурация по портам. 1811 это маршрутизатор, сотоящий из: -- 2х портов 3-го уровня (им можно присваивать IP непосредственно, а можно использовать как порты 2-го уровня) (FE0, FE1) -- 8 портов 2-го уровня которым нельзя присваивать IP непосредственно, но можно назначать VLAN. -- виртуальных VLAN-интерфейсов которым можно назначать IP, а можно и не назначать. VLAN1 существует по умолчанию на всех коммутируемых портах и его нельзя "убить" (VLAN1 существует на всех коммутаторах, единственное от него могут быть "отвязаны" порты, но внутри транков он все равно будет существовать) т.к. по нему бегают BPDU анонсы (Spanning Tree Protocol). За сим Cisco рекомендует ИСПОЛЬЗОВАТЬ VLAN1 только в служебных целях. Рекомендую для экспериментов выбрать VLAN отличные от 1. 2) ipconfig /all для рабочей станции приведите. 3) для начала ping пробуйте с Cisco из TELNET клиента. 4) В Cisco просмотрите таблицу маршрутизации командой show route 5) http://www.infanata.org/2007/04/01/k...us_pinski.html http://www.infanata.org/2006/07/02/k..._catalyst.html хотя коммутацию лучше начать изучать с этого http://www.infanata.org/2006/07/10/k...akh_cisco.html 6) Нарисовать схемку всетаки попробуйте - тогда проще будет что-либо объяснять. (Если время будет я к вечеру тоже набросаю). |
ipconfig
ip 10.10.1.21 mask 255.255.255.0 gate 10.10.1.7 dns 10.10.1.4 dns 10.10.1.5 dhcp serv 10.10.1.3 c самой циско всё прекрасно пингуется. при наборе команды sh route пусто!! |
необходимо настроить роутинг
команды типа ip route ни к чему не приводят к примеру ip route 10.10.1.0 255.255.255.0 Vlan1 ip route 10.10.2.0 255.255.255.0 Vlan2 глухо как в танке. |
aptv,
подождите, пожалуйста. У меня 1811 запакованная лежит. Я, попробую собрать макетку либо сегодня, либо завтра. |
kim-aa,
спасибо большое) тут у меня возник ещё один вопрос - парралельно..... так как данная циска может поддерживать двух isp. Идея такова - воткнуть в циско в fe0 isa сервер. Как сделать так чтобы циско работала без нат? Ведь нам Fe0 надо присвоить какой -либо адрес....а какой...? схема прилагается. http://s57.radikal.ru/i158/0810/2a/7136bb669a97.jpg |
Цитата:
Можно через сонсоль (telnet) ; войти в режим админа enable ; войти в режим конфигурирования conf t ; войти в режим конкретного интерфейса interface FE0 ; no ip nat outside Конфигурация сохраняется в памяти (running-config) Дабы записать во flash (startup-config) нужно использовать copy running-config startup-config Рекомендую завести tftp Сервер и сохранять конфиги командой copy startup-config tftp |
kim-aa,
Вы наверное не поняли.....понятно как его отключить и включить, с tftp тоже всё ясно))),я не настолько нуб....меня интересует какой присвоить ip адрес FE0 и какой адрес internal интерфейса для isa. Ведь при всём при этом должны работать правила публикации... |
aptv,
#conf t interface FastEthernet0 ip address <чего хотим> <маска> Только сеть желательно назначать не совпадающую с интерфейсами VLAN Либо прибить данный виртуальные интерфейсы. Можно просто "положить" командой shutdown Цитата:
Если - "Да". То я, как и обещал, выложу попозжа :) |
А с совподающи VLAN он и недаст прописать ip
Тоесть у нас получается - isa -ip 10.10.5.1/24(к примеру) на циско 10.10.5.2 /24 - или по уже -тупо для 2-х ip далее ip route 0.0.0.0 0.0.0.0 10.10.5.1 а правила публикации при этом буду работать? и у нас получается конф такого вида для для fe0 interface FastEthernet0 10.10.5.1 255.255.255.0 !это что подскажите. ip virtual-reassembly !и это,если не сложно no ip route-cache !ну а тут и так понятно duplex auto speed auto !далее ip route 0.0.0.0 0.0.0.0 10.10.5.1 и при этом связь с домено не потеряется, разве не надо дописывать на самой isa и cisco какие-либо маршруты для доступа к локальной сети? |
Цитата:
Что такое правила публикации? Это публикация внутренних приложений наружу? Имеется в виду PortMapping? 2) Для чего вообще используется Cisco? Между чем и чем она маршрутизирует? 3) ISA не знает о существовании сети 10.10.2.0/24 на ней нужно прописать маршрут ==== Цитата:
Дает указание встроенному фаерволу осуществолять "сборку-расборку" пакетов для анализа содержимого. Для чистого маршрутизатора не надо, т.к. уменьшает производительность, причем сильно. Цитата:
Включает коммутацию третьего уровня (не путать с маршрутизацией). (см. тут http://wiki.oszone.net/index.php/Ком...ayer_3_Switch)) Увеличит производительность. Думаю, должно быть не совместимо c ip virtual-reassembly ==== Вобще, сказать по правде, лично бы я выставлял на провайдера именно Cisco, а ISA Использовал просто как PROXY. Хотя никто не мешает сделать это второй частью "марлезонского балета" |
Ну всё-таки isa брандмауер 7-ого уровня.....и я с ней более на ты чем с циско....поэтому isa мородой на провайдера.
Циска существет для исполнения как раз поставеленной задачи - маршрутизировать между вланами + dhcp сервер для каждого из вланов+ в будущем ближайшем, использоваться как шлюз для юзеров для доступа в инет (имеется ввиду два интерфейса FE - при падении одного, переключаться на другого) Да, првила публикации - это PortMapping |
Цитата:
Можно, конечно, двойной PortMapping забабахать, но это уже через-чур. Да и некоторые приложения при такой операции глючат. 2) Пакет Cisco SDM ( практически BSDM :) есть? |
1.ну понятно. без nat - чисто в роли маршрутизатора
2.конечно есть.....но не проще ли через консоль? |
Цитата:
2) Учиться проще, вносишь изменения через SDM, затем смотришь конфиг - чего прога наваяла. |
1,2.ну это да.....
|
Вложений: 1
Предлагаю такую схему.
FE0, FE1 - это интерфейсы третьего уровня, их лучше пока приберечь. Коммутацию 3-го уровня собрать на VLAN. Экономно, да и в теории быстрее будет. Если не покатит, можно будет просто "сдвинуть маску" до 255.255.0.0 и вогнать всех в один широковещательный сегмент. |
Жаль что только у меня визио нету с собой....
модете переконвентировать в джепег? По совету на другом форуме - сделал настройки на 3com свитче - добавил шлюз в найстройки свитча - гейт - 10.10.2.3 - запинговался свитч из дргой подсети(10.10.1.0). |
Кстати, если вопрос о 3com baseline 2226 <VLANs> в силе, то порты связывающие свичи должны работать не в
Access Mode, а в Магистральном режиме, т.е. транспортировать теги. Если же свич будет держать всего лишь один VLAN, то ничего делать не надо. Цитата:
Или он просто использовался как хост для проверки пинг'а? |
2-ого.
да как хост для проверки icmp плюс - а щас на первом свитче выставил шлюз 10.10.1.3 - и из другой подсети свитч запинговался. Ошибка мне моя теперь понятна. Но, всё равно не понятно почему к примеру не доступна isa - там то шлюз прописывать не надо в принципе + у меня записи на циско ip route 0.0.0.0 0.0.0 10.10.1.7 ip route 10.10.1.0 255.255.255.0 Vlan1 ip route 10.10.2.0 255.255.255.0 Vlan2 по твоему рисунку....не понял только почему мы всё-таки оставляем ису в свитче с подсетью 10.10.5.0/24? |
Цитата:
ROUTE PRINT для ISA в студию. |
точно...надо было сразу выкладывать....
сразу предупрежу....у меня провайдер выдал нам серый адрес - внешний интерфейс 10.10.10.4. Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.4 20 10.10.1.0 255.255.255.0 10.10.1.7 10.10.1.7 20 10.10.1.7 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.10.0 255.255.255.0 10.10.10.4 10.10.10.4 20 10.10.10.4 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.99.0 255.255.255.0 10.10.99.1 10.10.99.1 10 10.10.99.1 255.255.255.255 127.0.0.1 127.0.0.1 10 10.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 20 10.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 20 10.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 240.0.0.0 10.10.1.7 10.10.1.7 20 224.0.0.0 240.0.0.0 10.10.10.4 10.10.10.4 20 224.0.0.0 240.0.0.0 10.10.99.1 10.10.99.1 10 255.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 1 255.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 1 255.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 1 Основной шлюз: 10.10.10.1 =========================================================================== Постоянные маршруты: Отсутствует надо бы добавить route add 10.10.1.0 255.255.255.0 10.10.1.3 и route add 10.10.2.0 255.255.255.0 10.10.2.3 только вот какая метрика? Правильно? |
Цитата:
Метрика суперсети будет 10.10.0.0 mask 255.255.252.0 Суперсеть включает в себя диапазон: 10.10.0.0- 10.10.3.255 ID суперсети 10.10.0.0 Broadcast 10.10.3.255 Итого 4 подсетей по 254 хостов На ISA нужно прописать один суммарный маршрут route add 10.10.0.0 255.255.252 10.10.2.3 =================== Либо Метрика суперсети будет 10.10.0.0 mask 255.255.248.0 Суперсеть включает в себя диапазон: 10.10.0.0- 10.10.7.255 ID суперсети 10.10.0.0 Broadcast 10.10.7.255 Итого 8 подсетей по 254 хостов На ISA нужно прописать один суммарный маршрут route add 10.10.0.0 255.255.248 10.10.2.3 ==================== Естественно ISA длжна находится в сети 10.10.2.0 /24 |
А почему имено в подсети 10.10.2.0 а не в подсети 10.10.1.0?
плюс, если я щас всё таки заткну isa в FE0 - и поменяю ip адреса на 10.10.254.1/24 а на isa выставляю 10.10.254.2/24 что ещё по пунктам с первого по н-ное необходимо сделать.....а то ошибусь ещё .... +такие вещи как 2 ДК почтарь у меня так же подключены к циско. В какую подсеть их стоит запихнуть? Сделать для них отдельный VLAN или оставить в первом? |
Цитата:
В какой подсети ISA находится, такой же интрфейс Cisco и указываем как шлюз в маршруте |
+такие вещи как 2 ДК почтарь у меня так же подключены к циско.
В какую подсеть их стоит запихнуть? Сделать для них отдельный VLAN или оставить в первом? |
Цитата:
Сколько вообще хостов в сети? 2) Cisco 1811 - не шибко быстрое устройство. Скорость маршрутизации порядка 36 Мбит. Так что лучше пущай DC и mail живут в самом большом широковещательном домене. |
делить необходимо из -за отчётов isa. Так как правила там такие...
Тема подробна описана на форуме майкрософт. хостов в общей сложности порядка 90 штук.... |
Короче - танцы будут явно поздно вечером....)А то инет упадёт.....и в IT отдел поступит туча звонков)
пишу что понял. для начала с ISA сервер. даю ей ip 10.10.254.1/24 далее прописываю маршрут route add 10.10.0.0 255.255.0.0 10.10.254.2 (cisco FE0) C настройками ISA закончено Теперь меняю на циско ip адрес интерфеса FE0 на 10.10.254.2/24 Далее изменяю свойства dhcp пулов для vlan 1-2 меняю та default router на 10.10.1.3 для vlan 1 и 10.10.2.3 для vlan 2 соответственно. Далее прописываю маршрут на cisco ip route 0.0.0.0 0.0.0.0 10.10.254.1 Прописываю на серверах gateway 10.10.1.3 Далее перегружаю свитчи, чтобы применились у клиентов (хостов) новые DHCP настройки с гейтом. |
Цитата:
Вы сами заявили что диапазон провайдера 10.10.10.0 /24 Ваша задача выбрать внутренние диапазоны вашей сети таким, что бы при помощи маски можно было легко отделить внутренние диапазон сетей, от диапазона провайдера. Я привел вам две суперсети которые не пересекутся с диапазоном провайдера. За место сети 10.10.254.0/24 Выберите 10.10.7.0 Тогда на ISA нужно будет прописать всего лишь один маршрут для диапазона из 8 подсетей route add 10.10.0.0 255.255.248.0 10.10.7.2 (cisco FE0) ==== Я, еще раз вам повторяю: -- по возможности не используйте FE - они вам еще пригодятся. Используйте VLAN интерфейсы. -- старайтесь не использовать VLAN1. Этот VLAN "по умолчанию" включен на всех портах и коммутаторах любого производителя. |
Короче ,
для начала я решил разобраться с вланами. Суть такова - на всех серверах поменял шлюз на 10.10.1.3 Далее залил новый конфиг на циско, где указал новые dhcp пул, в котором поменял ip адреса шлюзов на саму циско тоесть 10.10.1.3 и 10.10.2.3 Далее прописал роут 0.0.0.0 0.0.0.0 10.10.1.7 Всунул свой комп в влан 2 пингую всё что хочу( в локальной сети) кроме isa и соответсвенно всё что за ней - интернет Добавли маршрут Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.4 20 10.10.1.0 255.255.255.0 10.10.1.7 10.10.1.7 20 10.10.1.7 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.2.0 255.255.255.0 10.10.1.3 10.10.1.7 20 10.10.10.0 255.255.255.0 10.10.10.4 10.10.10.4 20 10.10.10.4 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.99.0 255.255.255.0 10.10.99.1 10.10.99.1 10 10.10.99.1 255.255.255.255 127.0.0.1 127.0.0.1 10 10.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 20 10.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 20 10.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 240.0.0.0 10.10.1.7 10.10.1.7 20 224.0.0.0 240.0.0.0 10.10.10.4 10.10.10.4 20 224.0.0.0 240.0.0.0 10.10.99.1 10.10.99.1 10 255.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 1 255.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 1 255.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 1 Основной шлюз: 10.10.10.1 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 10.10.2.0 255.255.255.0 10.10.1.3 1 С иса всё равно 10.10.2.3 не пингуется ису тоже с vlan 2 не могу пинговать....не даёт и всё.... до поздна мучился- иса пишет - отклонённое соединение. при трассировке просто пишет заданный узел не доступен + забыл сказать - есть vpn тунели на исе с подсетями 10.10.3.0 и 4.0 поэтому роут типа 10.10.0.0 использовать нельзя ---------- FE всё равно использоваться ни для каких трануов не будет - сети расти некуда.... поэтому решение принято - isa в FE0 |
1)
Цитата:
2) Честно говоря, я бы подумал о смене внутреннего IP-пространства. Хотя бы для сети с которой не граничит ISA. Т.е. например сменить 10.10.2.0/24 на 172.10.2.0/24 Попробуйте создать на Cisco Еще один VLAN интерфейс с адресом 172.10.2.1 Пропишите на ISA маршрут Проверьте видимость интерфейса с ISA 3) Возьмите в привычку проверять видимость командой tracert. Ping для таких случаев не информативен, т.к. не показывает все хопы, т.е. вы не видите место "обрыва". |
2 - ое.
сделал как Вы сказали.....всё равно одно и тоже....трассировка глохнет там же...на самой iSA 3 - да это и так понятно....не такие уж мы и глупые) Ещё идей не подкинете? |
Цитата:
sh int для Cisco 1) ROUTE PRINT для ISA 2) результаты tracert для ISA, причем два варианта -- до ближайшего шлюзового интерфейса Cisco -- до "противоположного" интерфейса Cisco 172.10.2.1 |
C:\Documents and Settings\potapale\Рабочий стол>ipconfig /all
Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : nsofisa01 Основной DNS-суффикс . . . . . . : ------------- Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Порядок просмотра суффиксов DNS . : ------------- WAN - - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection Физический адрес. . . . . . . . . : 00-30-48-63-CC-56 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.10.4 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 10.10.10.1 NetBIOS через TCP/IP. . . . . . . : отключен LAN - MSOF - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PT Desktop Adapter Физический адрес. . . . . . . . . : 00-1B-21-22-64-D4 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.99.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 10.10.1.4 10.10.1.5 LAN - NSOF - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection Физический адрес. . . . . . . . . : 00-30-48-63-CC-57 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.1.7 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 10.10.1.4 10.10.1.5 ------------------------------- Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.4 20 10.10.1.0 255.255.255.0 10.10.1.7 10.10.1.7 1 10.10.1.7 255.255.255.255 127.0.0.1 127.0.0.1 1 10.10.2.0 255.255.255.0 10.10.1.3 10.10.1.7 1 10.10.10.0 255.255.255.0 10.10.10.4 10.10.10.4 20 10.10.10.4 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.99.0 255.255.255.0 10.10.99.1 10.10.99.1 10 10.10.99.1 255.255.255.255 127.0.0.1 127.0.0.1 10 10.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 1 10.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 20 10.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.10.1.0 255.255.255.0 10.10.1.3 10.10.1.7 1 224.0.0.0 240.0.0.0 10.10.1.7 10.10.1.7 1 224.0.0.0 240.0.0.0 10.10.10.4 10.10.10.4 20 224.0.0.0 240.0.0.0 10.10.99.1 10.10.99.1 10 255.255.255.255 255.255.255.255 10.10.1.7 10.10.1.7 1 255.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 1 255.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 1 Основной шлюз: 10.10.10.1 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 10.10.2.0 255.255.255.0 10.10.1.3 1 172.10.1.0 255.255.255.0 10.10.1.3 1 ---------------------------------------- Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 63000 bits/sec, 2 packets/sec 5 minute output rate 2000 bits/sec, 3 packets/sec 372932 packets input, 346746309 bytes, 0 no buffer Received 764 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 308375 packets output, 57020673 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet5 is up, line protocol is up Hardware is FastEthernet, address is 0021.5556.1a1f (bia 0021.5556.1a1f) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 2000 bits/sec, 1 packets/sec 5 minute output rate 14000 bits/sec, 2 packets/sec 216375 packets input, 73190199 bytes, 0 no buffer Received 764 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 245489 packets output, 70178682 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet6 is up, line protocol is up Hardware is FastEthernet, address is 0021.5556.1a20 (bia 0021.5556.1a20) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 1 packets/sec 34056 packets input, 22914826 bytes, 0 no buffer Received 394 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 78196 packets output, 8543979 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet7 is up, line protocol is up Hardware is FastEthernet, address is 0021.5556.1a21 (bia 0021.5556.1a21) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 37000 bits/sec, 12 packets/sec 5 minute output rate 83000 bits/sec, 12 packets/sec 480759 packets input, 128505730 bytes, 0 no buffer Received 6241 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 526269 packets output, 431680971 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet8 is up, line protocol is down Hardware is FastEthernet, address is 0021.5556.1a22 (bia 0021.5556.1a22) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out FastEthernet9 is up, line protocol is up Hardware is FastEthernet, address is 0021.5556.1a23 (bia 0021.5556.1a23) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 34271 packets input, 2592106 bytes, 0 no buffer Received 91 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 3518 packets output, 915826 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Description: NSOF-Vlan1 Internet address is 10.10.1.3/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 4000 bits/sec, 5 packets/sec 5 minute output rate 7000 bits/sec, 6 packets/sec 20713 packets input, 2253346 bytes, 0 no buffer Received 7577 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 18395 packets output, 1987206 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out Async1 is administratively down, line protocol is down Hardware is PQUICC3 Serial in async mode (TTY1) MTU 1500 bytes, BW 115 Kbit, DLY 100000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation SLIP, loopback not set DTR is pulsed for 5 seconds on reset Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/0/16 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 86 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions Vlan2 is up, line protocol is down Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Description: NSOF-Vlan2 Internet address is 10.10.2.3/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 03:07:25, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 2 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 3091 packets input, 583944 bytes, 0 no buffer Received 107 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 2451 packets output, 501170 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out Vlan103 is up, line protocol is up Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Internet address is 172.10.1.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 03:11:56, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 8 packets output, 480 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out ------------------ Z:\>tracert 172.10.1.1 Трассировка маршрута к 172.10.1.1 с максимальным числом прыжков 30 1 Заданный узел недоступен. Трассировка завершена. |
Цитата:
2) Дюже много информации. Лучше приведите отдельно по используемым интерфейсам: sh int FE0 sh int FE1 (если использщуется) sh int VLAN1 sh int VLAN2 sh int VLAN103 === |
я ж говрю.....иса подключена просто в порт коммутатора на циско.Пока FE не используем.
NSOFRT01#sh int vlan1 Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Description: NSOF-Vlan1 Internet address is 10.10.1.3/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 2000 bits/sec, 2 packets/sec 5 minute output rate 1000 bits/sec, 2 packets/sec 22752 packets input, 2455366 bytes, 0 no buffer Received 8269 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 20412 packets output, 2164088 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out NSOFRT01#sh int vlan 2 Vlan2 is up, line protocol is down Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Description: NSOF-Vlan2 Internet address is 10.10.2.3/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 04:32:10, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 2 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 3091 packets input, 583944 bytes, 0 no buffer Received 107 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 2451 packets output, 501170 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out NSOFRT01#sh int vlan103 Vlan103 is up, line protocol is up Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Internet address is 172.10.1.1/24 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 04:37:10, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 8 packets output, 480 bytes, 0 underruns 0 output errors, 1 interface resets 0 output buffer failures, 0 output buffers swapped out |
0) стоит задача отрассировать с ISA -> 10.10.1.3
1) Это ISA DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection Физический адрес. . . . . . . . . : 00-30-48-63-CC-57 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.1.7 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 10.10.1.4 10.10.1.5 2) Это VLAN1 sh int vlan1 Vlan1 is up, line protocol is up Hardware is EtherSVI, address is 0021.5556.1a1a (bia 0021.5556.1a1a) Description: NSOF-Vlan1 Internet address is 10.10.1.3/24 3) Порт в который воткнута ISA, необходимо (на всякий случай) переопредлить в VLAN1. (хотя по идее по умолчанию он и так там, но мало ли) Пусть мы воткнули в FastEthernet2 ena conf t int FE2 switchport switchport mode access switchport access vlan 1 no shut end ; проверяем ; просматриваем sh run, дабы узреть что именно поменялось. ;не забываем сохранить конфигурацию на флеш если все заработало. Для присвоения VLANу группы портов, скажем с 2 по 5 ena conf t interface range FE 2 -5 switchport switchport mode access switchport access vlan 1 no shut end 4) Кстати, а как там с фаерволом на ISA? |
Сделал
осталось как и было. NSOFRT01#sh vlan-switch VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa2, Fa3, Fa4, Fa5, Fa6, Fa7 Fa8 2 VLAN0002 active 103 VLAN0103 active Fa9 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 1002 1003 2 enet 100002 1500 - - - - - 0 0 103 enet 100103 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 1 1003 1003 tr 101003 1500 1005 0 - - srb 1 1002 1004 fdnet 101004 1500 - - 1 ibm - 0 0 1005 trnet 101005 1500 - - 1 ibm - 0 0 |
На ISA:
arp -a 10.10.1.3 |
Z:\>arp -a 10.10.1.3
Не найдены записи в таблице ARP Z:\>ping 10.10.1.3 Обмен пакетами с 10.10.1.3 по с 32 байт данных: Ответ от 10.10.1.3: число байт=32 время=2мс TTL=255 Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255 Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255 Ответ от 10.10.1.3: число байт=32 время<1мс TTL=255 Статистика Ping для 10.10.1.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 2 мсек, Среднее = 1 мсек |
результаты
tracert 172.10.1.1 приведите пожалуйста. |
Z:\>tracert 172.10.1.1
Трассировка маршрута к 172.10.1.1 с максимальным числом прыжков 30 1 * Заданный узел недоступен. Трассировка завершена. произвёл перезд сети на 172.10.10 и 172.10.2.0 с 24 маской |
Маршрут на ISA прописан.
Цитата:
Цитата:
Почему не виден дальний? ==== Вы NAT на Cisco отключили? sh run приведите |
!
version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname NSOFRT01 ! boot-start-marker boot-end-marker ! no logging buffered enable secret 5 $1$5xxs$BZX2AvFosVzALBrWKh6F2. ! no aaa new-model ! resource policy ! clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ! ! no ip cef no ip dhcp use vrf connected ip dhcp excluded-address 172.10.1.1 172.10.1.20 ip dhcp excluded-address 172.10.1.61 172.10.1.254 ip dhcp excluded-address 172.10.2.1 172.10.2.5 ip dhcp excluded-address 172.10.2.20 172.10.2.254 ! ip dhcp pool Vlan101 network 172.10.1.0 255.255.255.0 domain-name nanosystem.local dns-server 172.10.1.4 172.10.1.5 default-router 172.10.1.3 lease 8 ! ip dhcp pool nsofap01 host 172.10.1.10 255.255.255.0 hardware-address 001e.5846.cb22 ! ip dhcp pool nsofpr01 host 172.10.1.15 255.255.255.0 hardware-address 0800.3746.96bd ! ip dhcp pool nosfd01 host 172.10.1.21 255.255.255.0 client-identifier 0100.1d7d.43e7.00 ! ip dhcp pool nsofd08 host 172.10.1.22 255.255.255.0 client-identifier 0100.1bfc.760d.ae ! ip dhcp pool nsofd09 host 172.10.1.23 255.255.255.0 client-identifier 0100.1d60.0da5.df ! ip dhcp pool Vlan102 network 172.10.2.0 255.255.255.0 domain-name nanosystem.local dns-server 172.10.1.4 172.10.1.5 default-router 172.10.2.3 lease 8 ! ! ip domain name nanosystem.local ip name-server 172.10.1.4 ip name-server 172.10.1.5 ! ! crypto pki trustpoint tti revocation-check crl rsakeypair tti ! crypto pki trustpoint TP-self-signed-791461412 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-791461412 revocation-check none rsakeypair TP-self-signed-791461412 ! ! crypto pki certificate chain tti crypto pki certificate chain TP-self-signed-791461412 certificate self-signed 01 3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 37393134 36313431 32301E17 0D303830 39303431 32333031 335A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3739 31343631 34313230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 DB7B18BD CFB327D2 B3E80F25 1EBCA7E6 CC9318FD DCAEEC1D 07604C4A 712C3BCE 3E27519B 6C492605 354E4DDB 0E2584A5 7E7786B7 16069B2A BC1A7111 9F832DD9 D82EB7F6 E995718E ABF00231 28C6B1CF 722207DA B3B91201 5C4D025C 13C1C618 8D78265A 95E072BA F94E5FDE A34C9369 DAFFEC26 3366FE58 D4EEAAC4 AD9C1421 02030100 01A37930 77300F06 03551D13 0101FF04 05300301 01FF3024 0603551D 11041D30 1B82194E 534F4652 5430312E 6E616E6F 73797374 656D2E6C 6F63616C 301F0603 551D2304 18301680 1483C281 35B20711 AD9D8823 26DF413D 0386860B DA301D06 03551D0E 04160414 83C28135 B20711AD 9D882326 DF413D03 86860BDA 300D0609 2A864886 F70D0101 04050003 81810007 3EFE79BF 4780F4E2 6F1A9C97 BA523D68 B8019227 6E7CD929 9504624C 0FF4D170 C2634010 9B9CFD00 B0BFCE71 30625ED8 8041B3BB F96CB147 09F47921 E2D403E3 E36D363F 07855A09 57CEB9C3 48F49BBA ED168604 4FA80D8F 4CA07EE5 84CD9556 96AE283E 108E4F47 4C9E3EBE A467988D BA4B54F3 79628C03 DEAF8E27 1D2A4B quit username root privilege 15 secret 5 $1$Ne5X$6nh/tvIubPYow3uafSaPH1 ! ! ! ! ! ! interface FastEthernet0 ip address 172.10.254.2 255.255.255.0 no ip route-cache duplex auto speed auto ! interface FastEthernet1 no ip address no ip route-cache shutdown duplex auto speed auto ! interface FastEthernet2 switchport access vlan 101 ! interface FastEthernet3 switchport access vlan 101 ! interface FastEthernet4 switchport access vlan 101 ! interface FastEthernet5 switchport access vlan 101 ! interface FastEthernet6 switchport access vlan 101 ! interface FastEthernet7 switchport access vlan 101 ! interface FastEthernet8 switchport access vlan 101 ! interface FastEthernet9 switchport access vlan 102 ! interface Vlan1 no ip address ! interface Vlan101 description NSOF-Vlan1 ip address 172.10.1.3 255.255.255.0 no ip route-cache ! interface Vlan102 description NSOF-Vlan2 ip address 172.10.2.3 255.255.255.0 no ip route-cache ! interface Async1 no ip address encapsulation slip no ip route-cache shutdown ! ip route 0.0.0.0 0.0.0.0 172.10.1.7 ! ! no ip http server ip http secure-server ! access-list 23 permit 172.10.0.0 0.0.255.255 access-list 23 deny any dialer-list 1 protocol ip permit ! ! ! ! ! ! control-plane ! ! line con 0 line 1 modem InOut stopbits 1 speed 115200 flowcontrol hardware line aux 0 line vty 0 4 access-class 23 in login local transport input ssh transport output none ! ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end Отключен. |
aptv,
1) Так сеть поменяли. Сформированы три интерфейса 172.10.1.3 172.10.2.3 172.10.254.2 2) NAT - отключен 3) Списки доступа дозволяют весь трафик из 172.10.0.0/16 сети ==== Итого: Cisco точно не виновата. 2) На ISA ipconfig route print |
Прошу заметить что ISA подключена к Vlan 101, но не к FE0
Z:\>route print IPv4 таблица маршрута =========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 30 48 63 cc 57 ...... Intel(R) PRO/1000 PL Network Connection 0x10004 ...00 30 48 63 cc 56 ...... Intel(R) PRO/1000 PM Network Connection 0x20005 ...00 1b 21 22 64 d4 ...... Intel(R) PRO/1000 PT Desktop Adapter =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.4 20 10.10.10.0 255.255.255.0 10.10.10.4 10.10.10.4 20 10.10.10.4 255.255.255.255 127.0.0.1 127.0.0.1 20 10.10.99.0 255.255.255.0 10.10.99.1 10.10.99.1 20 10.10.99.1 255.255.255.255 127.0.0.1 127.0.0.1 20 10.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 20 10.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.10.1.0 255.255.255.0 172.10.1.7 172.10.1.7 1 172.10.1.7 255.255.255.255 127.0.0.1 127.0.0.1 1 172.10.2.0 255.255.255.0 172.10.1.3 172.10.1.7 1 172.10.255.255 255.255.255.255 172.10.1.7 172.10.1.7 1 224.0.0.0 240.0.0.0 10.10.10.4 10.10.10.4 20 224.0.0.0 240.0.0.0 10.10.99.1 10.10.99.1 20 224.0.0.0 240.0.0.0 172.10.1.7 172.10.1.7 1 255.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 1 255.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 1 255.255.255.255 255.255.255.255 172.10.1.7 172.10.1.7 1 Основной шлюз: 10.10.10.1 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 172.10.2.0 255.255.255.0 172.10.1.3 1 Z:\>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : nsofisa01 Основной DNS-суффикс . . . . . . : nanosystem.local Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Порядок просмотра суффиксов DNS . : nanosystem.local LAN - NSOF - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection Физический адрес. . . . . . . . . : 00-30-48-63-CC-57 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 172.10.1.7 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 172.10.1.4 172.10.1.5 WAN - NT Group - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection Физический адрес. . . . . . . . . : 00-30-48-63-CC-56 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.10.4 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 10.10.10.1 NetBIOS через TCP/IP. . . . . . . : отключен LAN - MSOF - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PT Desktop Adapter Физический адрес. . . . . . . . . : 00-1B-21-22-64-D4 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 10.10.99.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 10.10.1.4 10.10.1.5 |
Мда.
Рисуем [ISA]172.10.1.7>----{172.10.1.0}----<VLAN101=172.10.1.3[Cisco]VLAN102=FE9=172.10.2.3>---{172.10.2.0}--- Поставим вопрос по другому. Трассируются ли из сети 172.10.2.0 интерфейсы 172.10.1.3 172.10.254.2 |
Это настройки клиента откудова трассируем
Z:\>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : nsofd01 Основной DNS-суффикс . . . . . . : nanosystem.local Тип узла. . . . . . . . . . . . . : гибридный IP-маршрутизация включена . . . . : нет WINS-прокси включен . . . . . . . : нет Порядок просмотра суффиксов DNS . : nanosystem.local local - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ethernet NIC Физический адрес. . . . . . . . . : 00-1D-7D-43-E7-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 172.10.1.21 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 172.10.1.3 DNS-серверы . . . . . . . . . . . : 172.10.1.4 172.10.1.5 Сама трассировка. Z:\>tracert 172.10.1.3 Трассировка маршрута к 172.10.1.3 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.10.1.3 Трассировка завершена. FE0 находится в дауне. а вообще трассировался. Это с клиента подсети 172.10.2.0 Z:\>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : nsofd01 Основной DNS-суффикс . . . . . . : nanosystem.local Тип узла. . . . . . . . . . . . . : гибридный IP-маршрутизация включена . . . . : нет WINS-прокси включен . . . . . . . : нет Порядок просмотра суффиксов DNS . : nanosystem.local nanosystem.local local - Ethernet адаптер: DNS-суффикс этого подключения . . : nanosystem.local Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ethernet NIC Физический адрес. . . . . . . . . : 00-1D-7D-43-E7-00 Dhcp включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 172.10.2.6 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 172.10.2.3 DHCP-сервер . . . . . . . . . . . : 172.10.2.3 DNS-серверы . . . . . . . . . . . : 172.10.1.4 172.10.1.5 Аренда получена . . . . . . . . . : 29 октября 2008 г. 13:41:37 Аренда истекает . . . . . . . . . : 6 ноября 2008 г. 13:41:37 Z:\>tracert 172.10.1.7 Трассировка маршрута к nsofisa01.nanosystem.local [172.10.1.7] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 172.10.2.3 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 ^C Z:\>tracert 172.10.1.3 Трассировка маршрута к 172.10.1.3 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.10.1.3 Трассировка завершена. Z:\>tracert 172.10.2.3 Трассировка маршрута к 172.10.2.3 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.10.2.3 Трассировка завершена. Z:\>tracert 172.10.1.1 Трассировка маршрута к 172.10.1.1 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.10.2.3 2 * 3 ms 8 ms 172.10.1.1 Трассировка завершена. |
1) Блин, ну работает маршрутизация на Cisco.
2) Цитата:
хотя маршрут есть Цитата:
Явно проблемы в ней. Должен также как на Cisco разрешен трафик из 172.10.0.0 |
http://s45.radikal.ru/i110/0810/1c/702bae3f60bf.jpg
вот скриншот с ИСА , кога компьютер находящийся в подсети 172.10.2.0 пытается достичь ISA или что-либо находягося за ней. |
aptv,
Правильно, ISA отклоняет соединения. Смотрите "Политика межсетевого экрана" |
Отклоняет, НО не прменяя при этом НИ ОДНОГО ПРАВИЛА!!!
|
Цитата:
Предлагаю дабы окончательно удостовериться "кто виноват", взять компьютер, присвоить ему IP ISA , воткунуть его за место ISA и проверить. === Кстати, у вас в приведенном экране есть строчка "Исходная сеть равно VLAN2" ? 1) У вас порты Cisco работают в AccessMode - пользовательском режиме. Т. е. VLAN теги не пропускаются, а входящие кадры, маркируются. Хотите что бы до ISA доходили VLAN теги - переведите порт Cisco в магистральный режим. 2) Опять же ISA сейчас должна принадлежать VLAN101 3) Но я бы програмному устройству разбор VLAN не доверил. Нагрузка большая будет |
там просто в самой иса я дал исходную подсеть и там промаркировал её vlan 2
. А как перевести в магистральный режим?+ что это даст? в Вланах с транками я простоне очень силён.. Знаю что транковый канал может в себе нести несколько Вланов. Да тут и так понятно что ISA....теперь уже.... толку ноль от таких перестановок....даже пробовать не стоит. она же чётко даёт знать в скриншоте что блокирует. Кстати, спасибо за подсказки в настройке циско. |
Цитата:
Каналы в коммутаторе делятся на: access mode - это к котрым подключаются конечные устройства. Trunck Mode - к которому подключается другой коммутатор до которого нужно транспортировать VLAN-теги. Просто объединение нескольких VLAN на одном AccessMode порту равносильно объединению двух независимых виртуальных свичей шнурком. Т. е. объединеные VLAN "вырождаются" в один общий. Пример. У вас есть 3COM. Причем вы жаждете Чтобы половина портов поддержала сеть 172.10.1.0 Другая половина 172.10.2.0 соответственно 1) Создаем на 3COM VLANs: 101, 102 2) Назначаем порты VLANs 3) Выбираем порты для связи двух устройств на Cisco и 3COM и переводим их в транковый режим. 4) Иногда приходится для транковых портов разрешать транспортировку только определенных VLANs Хотя с другой стороны если VLAN явно не создан на коммутаторе, то он его "зарежет" на входе любого порта Вот примеры http://forum.oszone.net/thread-98595.html |
Цитата:
Просто если ISA может выполнять функции полноценного коммутатора, она должна зарезать любые фреймы которые не тегированы 2м VLAN. А свои фреймы тегировать соответственно будет. Соответственно ее фреймы тегированные 2м VLAN будет резать Cisco (хотя для Cisco не факт, ща перечитаю алгоритм работы порта в AccessMode) Проверить можно подключив полноценный интерфейс 3-го уровня с присвоенным IP (FE0, 1) - им в таком режиме на фреймы Ethernet начихать. |
нет....нельзя.....при чём я просто её обозвал....для понимая.....тоестьона теги не ставит...
|
Вообще было бы удобно сделать ....но как это делать на моём 3коме....))))пока не разобрался...
+ вопрос с ИСА более актуален. |
Проблема с ИСА сервером что подтверждает данный скриншот.
http://s60.radikal.ru/i168/0810/d6/19a7acc2b28b.jpg При отлючении службы всё ок. Рулим темой на форуме майкрософт. Уважаемый kim-aa, спасибо за помощь! |
Закрываю тему.
|
| Время: 19:44. |
Время: 19:44.
© OSzone.net 2001-