Здравствуйте, уважаемые.Столкнулся с непонятной ситуевиной. Есть Cisco 871, конфиг следующий:
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname *********
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
username ********* privilege 15 secret 5 ************
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip ssh time-out 60
ip ssh rsa keypair-name SSH_ALL
ip ssh version 2
no ftp-server write-enable
!
interface FastEthernet0
no ip address
no cdp enable
spanning-tree portfast
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
!
interface FastEthernet3
no ip address
no cdp enable
!
interface FastEthernet4
description $ES_WAN$
ip address 100.100.100.100 255.255.255.192
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.0.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 192.168.1.1 255.255.255.0
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.100
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip nat inside source list 10 interface FastEthernet4 overload
!
access-list 10 permit 192.168.0.0 0.0.0.255
access-list 100 permit ip host 192.168.0.2 host 192.168.0.1
access-list 100 deny tcp 192.168.0.0 0.0.0.255 any eq 135
access-list 100 deny tcp 192.168.0.0 0.0.0.255 any eq 445
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 deny tcp any host 100.100.100.100 eq 22
access-list 101 deny tcp any host 100.100.100.100 eq telnet
access-list 101 deny tcp any host 100.100.100.100 eq www
access-list 101 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
login local
no modem enable
transport preferred all
transport output all
line aux 0
transport preferred all
transport output all
line vty 0 4
privilege level 15
login local
transport preferred all
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
endГлюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать пинги.
2-е. SSH сконфигурен как написано, не дает подключиться, ругается.
3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...
Заранее спасибо
>3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...На интерфейсе
sw ac vl XXX>2-е. SSH сконфигурен как написано, не дает подключиться, ругается.
Как ругается? Что debug выдает?
>При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз
Может в компутере проблема?
>>3-е. А умеет эта киска прикручивать vlan-ы к fastethernet0-3? Очень хочется...
>
>На интерфейсе
>sw ac vl XXX
>
>>2-е. SSH сконфигурен как написано, не дает подключиться, ругается.
>
>Как ругается? Что debug выдает?
>
>>При включении машины внутри приватной сети, с нее выйти никуда нельзя до тех пор, пока не пропингаешь шлюз
>
>Может в компутере проблема?
Тоже самое на свиче SMC, влан не поднимается пока на интерфейс не придет пакет от компьютера на cisco 3662 с маком.
А Вас не смущает это:
>!
>interface FastEthernet4
> description $ES_WAN$
> ip address 100.100.100.100 255.255.255.192в сочетании с этим:
>ip route 0.0.0.0 0.0.0.0 100.100.100.100
Где некст хоп?
>А Вас не смущает это:
>
>
>>!
>>interface FastEthernet4
>> description $ES_WAN$
>> ip address 100.100.100.100 255.255.255.192
>
>в сочетании с этим:
>
>>ip route 0.0.0.0 0.0.0.0 100.100.100.100
>
>Где некст хоп?
Как вообще это работает?????
>>А Вас не смущает это:
>>>!
>>>interface FastEthernet4
>>> description $ES_WAN$
>>> ip address 100.100.100.100 255.255.255.192
>>
>>в сочетании с этим:
>>
>>>ip route 0.0.0.0 0.0.0.0 100.100.100.100
>>
>>Где некст хоп?
>
>
>Как вообще это работает?????Ошибся, извиняюсь.
нормальная строчка
ip route 0.0.0.0 0.0.0.0 100.100.100.99
Проблема не в этих адресах. Проблема, скорее всего, в НАТ-е.
>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.Какой адрес у машины внутренней сети?
Какой дефалт гейтвей на на ней?
>>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.
>
>Какой адрес у машины внутренней сети?
>Какой дефалт гейтвей на на ней?Рабочие станции - win XP, настройка следующая:
адрес: 192.168.0.11
маска: 255.255.255.0
шлюз: 192.168.0.1Выход на внешний мир пропадает после нескольких минут неактивности станции.
Пока решили проблему установкой программки "Пингер" на каждую винду, с поминутным пингованием шлюза и внешнего адреса. Но это же глюк! Иметь "кошку" под руками, и заниматься таким шаманизмом :(
>>>Глюк самый большой. При включении машины внутри приватной сети, с нее выйти никуда нельзя >до тех пор, пока не пропингаешь шлюз и внешний адрес Cisco. После пингов все с внешнего >мира прекрасно начинает бегать. После перезагрузки компьютера опять приходится запускать >пинги.
>>
>>Какой адрес у машины внутренней сети?
>>Какой дефалт гейтвей на на ней?
>
>Рабочие станции - win XP, настройка следующая:
>адрес: 192.168.0.11
>маска: 255.255.255.0
>шлюз: 192.168.0.1
>
>Выход на внешний мир пропадает после нескольких минут неактивности станции.
>
>Пока решили проблему установкой программки "Пингер" на каждую винду, с поминутным пингованием
>шлюза и внешнего адреса. Но это же глюк! Иметь "кошку" под
>руками, и заниматься таким шаманизмом :(И что, все имеют такой (один) адрес?
Давайте sh ver, и что у Вас на этом фейсе:
>interface FastEthernet0
>no ip address
>no cdp enable
>spanning-tree portfast?
Конфиг как делали? С очисткой заводской конфигурации? Включите лог, посмотрите, что там творится.
ip access-group 100 in
в этом скорее всего и грабли !!!
НАДО ip access-group 100 outссш не будет пускать пока не будет включена локальная авторизация
>ip access-group 100 in
>в этом скорее всего и грабли !!!
>НАДО ip access-group 100 out
>
>ссш не будет пускать пока не будет включена локальная авторизация
access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
какие сети вы пускаете через нат ?? определитесь
ip subnet zero ., добавте .
>>ip access-group 100 in
>>в этом скорее всего и грабли !!!
>>НАДО ip access-group 100 out
>>
>>ссш не будет пускать пока не будет включена локальная авторизация
>
>
>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>какие сети вы пускаете через нат ?? определитесь
>ip subnet zero ., добавте .
access-list 101 deny tcp any host 100.100.100.100 eq 22
access-list 101 deny tcp any host 100.100.100.100 eq telnet
access-list 101 deny tcp any host 100.100.100.100 eq www - здесь вы запретили вам отвечать по www - вы же выходите в мир с этим адресом и все ответы идут на него - или так задумано .
access-list 101 permit ip any any
>>>ip access-group 100 in
>>>в этом скорее всего и грабли !!!
>>>НАДО ip access-group 100 out
>>>
>>>ссш не будет пускать пока не будет включена локальная авторизация
>>
>>
>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>какие сети вы пускаете через нат ?? определитесь
>>ip subnet zero ., добавте .
>
>
>access-list 101 deny tcp any host 100.100.100.100 eq 22
>access-list 101 deny tcp any host 100.100.100.100 eq telnet
>access-list 101 deny tcp any host 100.100.100.100 eq www
>- здесь вы запретили вам отвечать по www - вы же
>выходите в мир с этим адресом и все ответы идут на
>него - или так задумано .
>access-list 101 permit ip any anyА на интерфейсы не надо добавлять настройкми vlan , по памяти непомню уже.
>>>>ip access-group 100 in
>>>>в этом скорее всего и грабли !!!
>>>>НАДО ip access-group 100 out
>>>>
>>>>ссш не будет пускать пока не будет включена локальная авторизация
>>>
>>>
>>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>>какие сети вы пускаете через нат ?? определитесь
>>>ip subnet zero ., добавте .
>>
>>
>>access-list 101 deny tcp any host 100.100.100.100 eq 22
>>access-list 101 deny tcp any host 100.100.100.100 eq telnet
>>access-list 101 deny tcp any host 100.100.100.100 eq www
>>- здесь вы запретили вам отвечать по www - вы же
>>выходите в мир с этим адресом и все ответы идут на
>>него - или так задумано .
>>access-list 101 permit ip any any
>
>А на интерфейсы не надо добавлять настройкми vlan , по памяти
>непомню уже.
Да и попробуй убрать Vlan 2
>>>>>ip access-group 100 in
>>>>>в этом скорее всего и грабли !!!
>>>>>НАДО ip access-group 100 out
>>>>>
>>>>>ссш не будет пускать пока не будет включена локальная авторизация
>>>>
>>>>
>>>>access-list 10 permit 192.168.0.0 0.0.0.255 вот это раз
>>>>какие сети вы пускаете через нат ?? определитесь
>>>>ip subnet zero ., добавте .
>>>
>>>
>>>access-list 101 deny tcp any host 100.100.100.100 eq 22
>>>access-list 101 deny tcp any host 100.100.100.100 eq telnet
-list 101 deny tcp any host 100.100.100.100 eq www
>>>- здесь вы запретили вам отвечать по www - вы же
>>>выходите в мир с этим адресом и все ответы идут на
>>>него - или так задумано .
>>>access-list 101 permit ip any any
>>
>>А на интерфейсы не надо добавлять настройкми vlan , по памяти
>>непомню уже.
>Да и попробуй убрать Vlan 2http://www.opennet.ru/openforum/vsluhforumID6/12060.html вот посмотри
У меня была подобная проблема, решается просто, для NAT-а нужен extended ACLip nat inside source list NAT_ISP interface FastEthernet4
ip access-list extended NAT_ISP
permit ip 192.168.0.0 0.0.0.255 any
!
Здравствуйте, уважаемые.Краткий отчет.
>У меня была подобная проблема, решается просто, для NAT-а нужен extended ACL
>
>
>ip nat inside source list NAT_ISP interface FastEthernet4
>ip access-list extended NAT_ISP
> permit ip 192.168.0.0 0.0.0.255 any
>!И это не помогло :( По прежнему на рабочих станция приходится пользоваться пингером.
Vlan-ы по рекомендации http://www.opennet.ru/openforum/vsluhforumID6/12060.html на FastEthernet 0-3 прикручиваются, но что-то непонятное происходит с адресами на vlan-ах, с рбочих станций не проходят даже пинги на шлюз.
Похоже придется переставлять IOS, этого еще не делалалось :(
Всем спасибо за советы.
З. Ы.: Сколько работаю, первый раз такой косяк с киской... Неужели и до них докатилась такая вот "китайственность"? :( Обидно...
> Похоже придется переставлять IOS, этого еще не делалалось :(
>
> Всем спасибо за советы.
>
> З. Ы.: Сколько работаю, первый раз такой косяк с киской...
>Неужели и до них докатилась такая вот "китайственность"? :( Обидно...Вы так и не показали sh ver, как делали конфигурацию, и что в логах. Не рано ли сдаетесь?
>ip nat inside source list NAT_ISP interface FastEthernet4
>ip access-list extended NAT_ISP
> permit ip 192.168.0.0 0.0.0.255 anyМне помогло !!! Спасибо.