forum.opennet.ru - "1841 и модуль HWIC-4ESW" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"1841 и модуль HWIC-4ESW"

Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"1841 и модуль HWIC-4ESW"		+/–
Сообщение от Xelaes (ok) on 04-Апр-10, 12:31
Здравствуйте. Провайдер выделил для подключения интернет восьми адресную сеть 1.1.1.0/29 1.1.1.1 является шлюзом у провайдера, остальные адреса можно использовать. Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW, версия IOS c1841-advipservicesk9-mz.124-25a.bin. Провод провайдера заходит в interface FastEthernet0/0/0 К interface FastEthernet0/0/3 подключено два устройства (с белыми IP 1.1.1.5, 1.1.1.6) к которым надо ограничить доступ из интернет. Ограничиваю в access-list 105. Но правило почему-то не срабатывает, пакеты до 1.1.1.5 доходят с любого хоста. Это особенность модуля 4ESW или что-то делаю не правильно? Конфиг прилагается: no aaa new-model ip cef ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! no spanning-tree vlan 1 no spanning-tree vlan 2 no spanning-tree vlan 3 ! interface FastEthernet0/0 ip address 10.0.1.2 255.255.255.0 ip nat inside ip virtual-reassembly speed auto full-duplex ! interface FastEthernet0/1 no ip address ip virtual-reassembly shutdown duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 2 no cdp enable ! interface FastEthernet0/0/1 switchport access vlan 3 no cdp enable ! interface FastEthernet0/0/2 switchport access vlan 3 no cdp enable ! interface FastEthernet0/0/3 switchport access vlan 2 no cdp enable ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 1.1.1.2 255.255.255.248 ip access-group 105 in ip nat outside ip virtual-reassembly no mop enabled ! interface Vlan3 ip address 10.0.2.1 255.255.255.0 ip nat inside ip virtual-reassembly no mop enabled ! ip default-gateway 1.1.1.1 no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 1.1.1.1 ip route 10.0.1.0 255.255.255.0 10.0.1.1 ip route 10.0.0.0 255.255.255.0 2.2.2.2 ! no ip http server no ip http secure-server ip nat inside source static tcp 1.1.1.2 22 interface Vlan2 22 ip nat inside source static 10.0.1.1 1.1.1.2 route-map nonat ip nat inside source static tcp 10.0.2.201 80 1.1.1.3 80 extendable ip nat inside source static tcp 10.0.2.202 80 1.1.1.4 80 extendable ! access-list 105 permit ip host 2.2.2.2 host 1.1.1.5 access-list 105 permit ip host 2.2.2.2 host 1.1.1.6 access-list 105 deny ip any host 1.1.1.5 access-list 105 deny ip any host 1.1.1.6 access-list 105 permit ip any any access-list 150 deny ip host 10.0.1.1 10.0.0.0 0.0.0.255 access-list 150 permit ip host 10.0.1.1 any no cdp run ! route-map nonat permit 10 match ip address 150 ! control-plane
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

1841 и модуль HWIC-4ESW, Gbyte, 13:11 , 04-Апр-10, (1)

1841 и модуль HWIC-4ESW, Xelaes, 13:31 , 04-Апр-10, (2)

1841 и модуль HWIC-4ESW, Gbyte, 18:59 , 04-Апр-10, (3)

1841 и модуль HWIC-4ESW, Xelaes, 22:00 , 04-Апр-10, (4)

1841 и модуль HWIC-4ESW, Gbyte, 22:27 , 04-Апр-10, (5)

1841 и модуль HWIC-4ESW, Xelaes, 16:14 , 05-Апр-10, (9)

1841 и модуль HWIC-4ESW, Gbyte, 19:21 , 05-Апр-10, (10)

1841 и модуль HWIC-4ESW, Xelaes, 23:08 , 06-Апр-10, (11)

1841 и модуль HWIC-4ESW, Gbyte, 07:03 , 07-Апр-10, (12)

1841 и модуль HWIC-4ESW, ShyLion, 07:26 , 05-Апр-10, (6)

1841 и модуль HWIC-4ESW, Valery12, 14:21 , 05-Апр-10, (7)

1841 и модуль HWIC-4ESW, Gbyte, 15:18 , 05-Апр-10, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 04-Апр-10, 13:11

делаешь не так.
если ты хочешь именно так сервера подключать, то тебе нужен VACL (если рутер его умеет).
если хочешь ACL, то убирай сервера в другой вилан и делай НАТ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Xelaes (ok) on 04-Апр-10, 13:31

>если ты хочешь именно так сервера подключать, то тебе нужен VACL (если
>рутер его умеет).
1841 VACL, видимо, не умеет
>если хочешь ACL, то убирай сервера в другой вилан и делай НАТ.
Вариант с натом не подходит, т.к. у тех двух устройств должен быть обязательно белый IP
Может есть еще какие-то решения без использования дополнительного оборудования?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 04-Апр-10, 18:59

>[оверквотинг удален]
>>рутер его умеет).
>
>1841 VACL, видимо, не умеет
>
>>если хочешь ACL, то убирай сервера в другой вилан и делай НАТ.
>
>Вариант с натом не подходит, т.к. у тех двух устройств должен быть
>обязательно белый IP
>
>Может есть еще какие-то решения без использования дополнительного оборудования?
Договорится с провайдером о делегировании маршрутизиции белой сети:
1. между с1841 и провайдером белая сеть с маской /30, можно больше
2. на вилан{номер вилана устройств} белая сеть с маской не меньше /29
3. провайдер у себя в таблице маршрутов записывает что {сеть устройств твоей компании} находистя за IP-адресом твоего с1841.
4. пишешь АСЛ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Xelaes (ok) on 04-Апр-10, 22:00

>Договорится с провайдером о делегировании маршрутизиции белой сети:
Можно попытаться.
К FastEthernet0/0 подключен коммутатор 3560.
Если у него несколько портов назначить в другой Vlan и в них подключить провод провайдера, те два устройства и обратно в роутер к FastEthernet0/0/0, а на коммутаторе сделать необходимое ограничение, будет ли такое решение безопасным?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 04-Апр-10, 22:27

>>Договорится с провайдером о делегировании маршрутизиции белой сети:
>
>Можно попытаться.
>
>К FastEthernet0/0 подключен коммутатор 3560.
>Если у него несколько портов назначить в другой Vlan и в них
>подключить провод провайдера, те два устройства и обратно в роутер к
>FastEthernet0/0/0, а на коммутаторе сделать необходимое ограничение, будет ли такое решение
>безопасным?
так если у тебя 3560ый есть почему на нем не развести интернет и лан? он всетаки L3 коммутатор и мозгов у него побольше будет... ну кроме впнов...
VACL в 3560 есть.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Xelaes (ok) on 05-Апр-10, 16:14

>так если у тебя 3560ый есть почему на нем не развести интернет
>и лан? он всетаки L3 коммутатор и мозгов у него побольше
>будет... ну кроме впнов...
Какая примерно схема должна получиться? Которую я предложил наделав колец или как-то более грамотно?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 05-Апр-10, 19:21

>>так если у тебя 3560ый есть почему на нем не развести интернет
>>и лан? он всетаки L3 коммутатор и мозгов у него побольше
>>будет... ну кроме впнов...
>
>Какая примерно схема должна получиться? Которую я предложил наделав колец или как-то
>более грамотно?
мы пока еще ни одной твоей схемы не видели, а ты очешь чтоб тебе уже сеть нарсовали...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Xelaes (ok) on 06-Апр-10, 23:08

>мы пока еще ни одной твоей схемы не видели, а ты очешь
>чтоб тебе уже сеть нарсовали...
Я на словах попытался объяснить, примерно так сделать?
3560:
interface GigabitEthernet0/1 - приходит провод провайдера
здесь сделать VACL
switchport access vlan 2
interface GigabitEthernet0/2 - уходит в 1841 в FE0/0/0
switchport access vlan 2
interface GigabitEthernet0/3 - устройства с белыми ip
switchport access vlan 2
interface GigabitEthernet0/4 - приходит от 1841 из FE0/0 локальные компьютеры
switchport access vlan 1
1841:
interface FastEthernet0/0 - уходит в 3560 в GE0/4 - сеть за натом
ip address 10.0.1.2 255.255.255.0
ip nat inside
interface FastEthernet0/0/0 - приходит от 3560 из GE0/4 с интернет
switchport access vlan 2
interface FastEthernet0/0/1 - устройства за натом
switchport access vlan 3
interface FastEthernet0/0/2 - устройства за натом
switchport access vlan 3
interface Vlan2 - интернет
ip address 1.1.1.2 255.255.255.248
ip nat outside
interface Vlan3 - устройства за натом
ip address 10.0.2.1 255.255.255.0
ip nat inside
ip default-gateway 1.1.1.1
Или лучше соединить GE0/2 и FE0/0/0 транком?
С провайдером пока выясняются технические возможности

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 07-Апр-10, 07:03

словами не надо.
Ты рисовать умеешь? :)
Ну там в визио, dia? - нарисуй нормальную схему, укажи на ней порты, ип-адреса, сети.
экспортируй в какой-нибудь jpg, выкладывай куда-нить в сеть...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "1841 и модуль HWIC-4ESW" +/–

Сообщение от ShyLion (ok) on 05-Апр-10, 07:26

>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW
HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане.
Проси у оператора еще линковочную сеть.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Valery12 (ok) on 05-Апр-10, 14:21

>>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW
>
>HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане.
>Проси у оператора еще линковочную сеть.
а кто мешает поместить эти сервера в ДМЗ и сделать static nat с нужными белыми адресами

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "1841 и модуль HWIC-4ESW" +/–

Сообщение от Gbyte (ok) on 05-Апр-10, 15:18

>>>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW
>>
>>HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане.
>>Проси у оператора еще линковочную сеть.
>
>а кто мешает поместить эти сервера в ДМЗ и сделать static nat
>с нужными белыми адресами
читайте весь трэд - человек просил без ната.
ктому же нат нагружает рутер.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "1841 и модуль HWIC-4ESW"		+/–
Сообщение от Gbyte (ok) on 04-Апр-10, 13:11
делаешь не так. если ты хочешь именно так сервера подключать, то тебе нужен VACL (если рутер его умеет). если хочешь ACL, то убирай сервера в другой вилан и делай НАТ.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Xelaes (ok) on 04-Апр-10, 13:31
	>если ты хочешь именно так сервера подключать, то тебе нужен VACL (если >рутер его умеет). 1841 VACL, видимо, не умеет >если хочешь ACL, то убирай сервера в другой вилан и делай НАТ. Вариант с натом не подходит, т.к. у тех двух устройств должен быть обязательно белый IP Может есть еще какие-то решения без использования дополнительного оборудования?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Gbyte (ok) on 04-Апр-10, 18:59
	>[оверквотинг удален] >>рутер его умеет). > >1841 VACL, видимо, не умеет > >>если хочешь ACL, то убирай сервера в другой вилан и делай НАТ. > >Вариант с натом не подходит, т.к. у тех двух устройств должен быть >обязательно белый IP > >Может есть еще какие-то решения без использования дополнительного оборудования? Договорится с провайдером о делегировании маршрутизиции белой сети: 1. между с1841 и провайдером белая сеть с маской /30, можно больше 2. на вилан{номер вилана устройств} белая сеть с маской не меньше /29 3. провайдер у себя в таблице маршрутов записывает что {сеть устройств твоей компании} находистя за IP-адресом твоего с1841. 4. пишешь АСЛ.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Xelaes (ok) on 04-Апр-10, 22:00
	>Договорится с провайдером о делегировании маршрутизиции белой сети: Можно попытаться. К FastEthernet0/0 подключен коммутатор 3560. Если у него несколько портов назначить в другой Vlan и в них подключить провод провайдера, те два устройства и обратно в роутер к FastEthernet0/0/0, а на коммутаторе сделать необходимое ограничение, будет ли такое решение безопасным?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Gbyte (ok) on 04-Апр-10, 22:27
	>>Договорится с провайдером о делегировании маршрутизиции белой сети: > >Можно попытаться. > >К FastEthernet0/0 подключен коммутатор 3560. >Если у него несколько портов назначить в другой Vlan и в них >подключить провод провайдера, те два устройства и обратно в роутер к >FastEthernet0/0/0, а на коммутаторе сделать необходимое ограничение, будет ли такое решение >безопасным? так если у тебя 3560ый есть почему на нем не развести интернет и лан? он всетаки L3 коммутатор и мозгов у него побольше будет... ну кроме впнов... VACL в 3560 есть.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Xelaes (ok) on 05-Апр-10, 16:14
	>так если у тебя 3560ый есть почему на нем не развести интернет >и лан? он всетаки L3 коммутатор и мозгов у него побольше >будет... ну кроме впнов... Какая примерно схема должна получиться? Которую я предложил наделав колец или как-то более грамотно?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Gbyte (ok) on 05-Апр-10, 19:21
	>>так если у тебя 3560ый есть почему на нем не развести интернет >>и лан? он всетаки L3 коммутатор и мозгов у него побольше >>будет... ну кроме впнов... > >Какая примерно схема должна получиться? Которую я предложил наделав колец или как-то >более грамотно? мы пока еще ни одной твоей схемы не видели, а ты очешь чтоб тебе уже сеть нарсовали...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Xelaes (ok) on 06-Апр-10, 23:08
	>мы пока еще ни одной твоей схемы не видели, а ты очешь >чтоб тебе уже сеть нарсовали... Я на словах попытался объяснить, примерно так сделать? 3560: interface GigabitEthernet0/1 - приходит провод провайдера здесь сделать VACL switchport access vlan 2 interface GigabitEthernet0/2 - уходит в 1841 в FE0/0/0 switchport access vlan 2 interface GigabitEthernet0/3 - устройства с белыми ip switchport access vlan 2 interface GigabitEthernet0/4 - приходит от 1841 из FE0/0 локальные компьютеры switchport access vlan 1 1841: interface FastEthernet0/0 - уходит в 3560 в GE0/4 - сеть за натом ip address 10.0.1.2 255.255.255.0 ip nat inside interface FastEthernet0/0/0 - приходит от 3560 из GE0/4 с интернет switchport access vlan 2 interface FastEthernet0/0/1 - устройства за натом switchport access vlan 3 interface FastEthernet0/0/2 - устройства за натом switchport access vlan 3 interface Vlan2 - интернет ip address 1.1.1.2 255.255.255.248 ip nat outside interface Vlan3 - устройства за натом ip address 10.0.2.1 255.255.255.0 ip nat inside ip default-gateway 1.1.1.1 Или лучше соединить GE0/2 и FE0/0/0 транком? С провайдером пока выясняются технические возможности
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Gbyte (ok) on 07-Апр-10, 07:03
	словами не надо. Ты рисовать умеешь? :) Ну там в визио, dia? - нарисуй нормальную схему, укажи на ней порты, ип-адреса, сети. экспортируй в какой-нибудь jpg, выкладывай куда-нить в сеть...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

6. "1841 и модуль HWIC-4ESW"		+/–
Сообщение от ShyLion (ok) on 05-Апр-10, 07:26
>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане. Проси у оператора еще линковочную сеть.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Valery12 (ok) on 05-Апр-10, 14:21
	>>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW > >HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане. >Проси у оператора еще линковочную сеть. а кто мешает поместить эти сервера в ДМЗ и сделать static nat с нужными белыми адресами
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "1841 и модуль HWIC-4ESW"		+/–
	Сообщение от Gbyte (ok) on 05-Апр-10, 15:18
	>>>Имеется роутер Cicso 1841 и установленный на нем модуль HWIC-4ESW >> >>HWIC-4ESW - это свитч, все порты по умолчанию в одном вилане. >>Проси у оператора еще линковочную сеть. > >а кто мешает поместить эти сервера в ДМЗ и сделать static nat >с нужными белыми адресами читайте весь трэд - человек просил без ната. ктому же нат нагружает рутер.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору