форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"PIX525 VLANs, разные подсети и static routing"

Сообщение от anton_lva (ok) on 24-Ноя-06, 23:54

Есть PIX с двумя виртуальными интерфейсами смотрящими в инет, внешние адреса на интерфейсах, предположим, vlan10 - 195.1.1.10/24 и vlan20 - 220.2.2.20/24 Дефолтный маршрут идет на интерфейс vlan10, с него на роутер 195.1.1.1, статический маршрут для сети 220.2.2.20/24 - на роутер 220.2.2.1. Задача следующая - нужно, чтобы пользователи из мира, обращаясь на 195.1.1.10:80, транслировались на внутренний сервер в inside 192.168.1.10:80, а обращаясь на 220.2.2.20:21 на внутренний сервер в inside 192.168.1.15:21 Проблема в том, что обращения на 195.1.1.10:80 проходят нормально, а вот на 220.2.2.20:21 - нет. При этом, ошибка пикса выглядит так: PIX-3-710003: TCP access denied by ACL from x.x.x.x/65080 to vlan20:220.2.2.20/21 А при попытке пинга адреса 220.2.2.20 извне, появляется ошибка: PIX-6-110001: No route to x.x.x.x from 220.2.2.20 На пиксе прописан статический маршрут для сети 220.2.2.20/24, но что интересно, при просмотре его show route, он не показывается! А еще - при использовании софта версии 7.0(4) такой конфиг работает! Но в 7.0(4) есть проблема - при попытке поднятия динамических crypto-map`ов, железяка уходит в глубокую перезагрузку, поэтому было приянто решение обновить софт... Помогите, уже третий день вожусь, скоро у ума сойти можно! Вот часть конфига, касающаяся проблемы: ! PIX Version 7.2(2) ! interface Ethernet0 no nameif no security-level no ip address ! interface Ethernet0.10 vlan 10 nameif vlan10 security-level 0 ip address 195.1.1.10 255.255.255.0 ! interface Ethernet0.20 vlan 20 nameif vlan20 security-level 0 ip address 220.2.2.20 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 192.168.1.254 255.255.255.0 ! same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list INSIDE-NAT extended permit ip 192.168.1.0 255.255.255.0 any access-list ACL-OUT-10 extended permit tcp any host 195.1.1.10 eq www access-list ACL-OUT-20 extended permit tcp any host 220.2.2.20 eq ftp mtu vlan10 1500 mtu vlan20 1500 mtu inside 1500 ip verify reverse-path interface vlan10 nat-control global (vlan10) 1 interface nat (inside) 1 access-list INSIDE-NAT static (inside,vlan10) tcp 195.1.1.10 www 192.168.1.10 www netmask 255.255.255.255 static (inside,vlan20) tcp 220.2.2.20 ftp 192.168.1.15 ftp netmask 255.255.255.255 access-group ACL-OUT-10 in interface vlan10 access-group ACL-OUT-20 in interface vlan20 route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1 route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2 !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "PIX525 VLANs, разные подсети и static routing"

Сообщение от ra (??) on 25-Ноя-06, 11:40

Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает... Ток потом расскажешь, помогло аль нет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (ok) on 25-Ноя-06, 12:36
	>Попробуй двум дефолтным маршрутам поставить разные метрики. Может заработает... >Ток потом расскажешь, помогло аль нет... Дык разные метрики и стоят: >> route vlan10 0.0.0.0 0.0.0.0 195.1.1.1 1 <- метрика 1 >> route vlan20 0.0.0.0 0.0.0.0 220.2.2.1 2 <- метрика 2
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PIX525 VLANs, разные подсети и static routing"

Сообщение от chuvy (??) on 25-Ноя-06, 12:40

static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255 Может это надо добавить?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (ok) on 25-Ноя-06, 12:53
	>static (inside,vlan20) tcp 220.2.2.20 20(ftp-data) 192.168.1.15 20(ftp-data) netmask 255.255.255.255 > >Может это надо добавить? Не думаю, во-первых порт дефолтный и пикс его должен инспектить сам. А во-вторых - проблема все-таки не в неправильной статической трансляции... В любом случае - попробовал только что, не помогло :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от ra (??) on 25-Ноя-06, 17:45
	Да, не заметил метрики. А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и ФТП и ФТП-ДАТА... А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда будит понятно где раться нужно...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (ok) on 27-Ноя-06, 12:16
	>Да, не заметил метрики. >А ФТП-ДАТА тоже не поможет, под просто ФТП подразумиваются оба порта и >ФТП и ФТП-ДАТА... >А попробуй поменять метрики местами. Если заработает ФТП а ХТТП пропадёт, тогда >будит понятно где раться нужно... Ха, только что пробовал поменять - поднимается vlan20, зато падает vlan10  с теми же симптомами - no route... И сервисы - падает www, но поднимается ftp :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (ok) on 27-Ноя-06, 12:20
	Друзья, я ведь не один такой особенный, у кого пикс несколькими интерфейсами в мир смотрит? Может быть кто поделится своим куском рабочего конфига?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от ra (??) on 27-Ноя-06, 23:36
	Всё понятно.... Проблема в маршрутизации.... Тут остаётся только одно, а именно отказаться от default route. Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя есть рабочие станции в локалке, они не будут ходить в инет. Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол динамической маршрутизации поднять.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (??) on 28-Ноя-06, 07:36
	>Всё понятно.... Проблема в маршрутизации.... >Тут остаётся только одно, а именно отказаться от default route. >Уберёшь маршруты и ФТП и ХТТП заработают. Но тогда если у тебя >есть рабочие станции в локалке, они не будут ходить в инет. >Вот тут-то нужно подумать как всё замутить. Может какой нибудь протокол >динамической маршрутизации поднять. Если бы так просто... Роутер с братьями работает по eigrp, да и, боюсь, не поможет, даже если рип поднять.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "PIX525 VLANs, разные подсети и static routing"

Сообщение от ВОЛКА on 28-Ноя-06, 00:53

нельзя...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от anton_lva (??) on 28-Ноя-06, 07:37
	>нельзя... А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне бы только основную идею подсказать... :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "PIX525 VLANs, разные подсети и static routing"
	Сообщение от ВОЛКА on 28-Ноя-06, 10:01
	>>нельзя... > > >А вообще подобное можно сделать? Пусть средствами роутера, не суть важно. Мне >бы только основную идею подсказать... :) средствами рутера - можно, использую policy routing
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]