Здравствуйте, всем!
С великой просьбой, прошу "асилить" этот пост до конца! Спасибо.
Имеется cisco2621MX с двумя FE10/100+внешн.NM8AM(8 аналоговых модемов)
Желозо попало в руки пару месяцев назад, до этого не приходилось сталкиваться...До сих пор разбираюсь.
Прочитав кучу инфы на cisco.com и здесь, разобрался с входящими звонками.И с ААА.
Причем пришлось поставить RADIUS только из-за того, что эта _дорогая_ железяка(IOS 12.3(4)T?) не умеет присваивать IP в зависимости от username :(.А как писАть access-list`ы если в них только IP адреса ?т.е. если зашел Вася, то он может забирать почту, а если Федя, то ему нельзя.Ну и т.д. Поставил freeradius, юзерам присваиваются адреса _конкрено_ какие надо мне ;),поигрался с cisco-AVPair(мощщщная штука- много можно ч\з это reply to cisco) и первый вопрос:читал, что cisco-AVPair умеет работать с access-list типа ip:inacl#3 permit any any
#3 это номер прописаный в самой cisco или свой внутренний? И что происходит, если на интерфейсе есть уже акл? В каком порядке взаимодействуют ACL`ы cisco и тот, что возвращает cisco-AVPair?????.Если "свой"(юзверя)? тогда как отличать стандартный от расширенного? Если это номер cisco, умеет ли "работать" cisco-AVPair с именованными листами (они удобнее в плане редактирования)??? В примерах cisco-AVPair везде номера #1 #2 #3 etc....Но самые непонятки у меня с _исходящим_ звоком на моего ISP.
Я много видел примеров и на cisco.com и зесь как выходить в инет, но там рассмативаются или ISDN или коммут. подключение с _постоянным_(static) IP. Или с одним интерфейсом.Но у меня есть и DialIn!
Я думал, что один ifface(f0\1) у меня будет с IP в моей сетке и второй (f0\0 с ip nat inside)тоже в моей сетке, который будет default gateway для других и который будет на Async33(асинхр. интерфейс) с ip unnumberred f0\0 и ip nat outside и ip address negotiated(от моего ISP). Но циска не хочет работать с 2-мя интерф., кот. в одной подсети!
пишет
% my.sub.net.0 overlaps with FastEthernet0/1
FastEthernet0/0: incorrect IP address assignment
Понятно, что предназначение железки - маршрутизация, но почему это догматично?
Видимо, я не понимаю сути!Допустим, я присвоил f0\0 10.0.0.1 (не с моей подсетки)(как во многих примерах) async33 получил _сейчас_ (бо динамический) адресс 217.12.34.56 и прописал я ip route 0.0.0.0 0.0.0.0 async33 и что?
Как мне прописать на серваке с DNS (адрес которого прописан как gateway на всех клиентах), что для _него_ дефолт гайтвэй 10.0.0.1 ????Чушь получается.Или мне оставить в покое fe0\0 (тогда зачем этот интерфейс _вообще_?), а роутить ч\з fe0\1, у кот. IP в моей подсети??Не.А если подключатся юзвери по DialIn у которых route ч\з этот (fe0\1) интерфейс(ip unnumberred f0\1)?. Совсем уже ересь несу :-\Сейчас Я выхожу в инет с модема, подкл. к серверу с DNS.(FreeBSD 6.1)
Там все _просто_.
по крону запускается в определенное время т.н. user ppp (не pppd в ядре)
Поднимается tun0, получает ip от ISP (negotiated), который прописыватся в таблицу маршрутизации на этом же сервере как default gateway.Все! Если неизвестен маршрут он посылается на tun0!
а в ppp.conf прописано следующее:
===========cut=========
nat enable yes
=========skiped==========
nat deny_incoming yes
set filter alive 0 permit 0 0 tcp estab
и
set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR # Add a (sticky) default route
===========end cut===================
Я думал, что пропишу на этом сервере def.gateway ip inteface f0\0 (из моей подсетки) и все, ан нет :(
Кстати, еще один попутный вопрос:как на циске прописать, чтобы line33 или async33 был up с 9:00 ДО 11 И С 13:00 ДО 16:00????Что то там есть типа worktime ? но это вроде в ACL`ах. Я не прав?
И что только 2 ACL`а (один in др. out) можно на одном интерфэйсе иметь? Как рулить то?
Помогите с ответами, а то "все смешалось в доме Облонских" ;)
Надо ткнуть в нужном направлении.Буду рад кусочкам конфига по даному вопросу...
Где то я что то пропустил и не "догнал"
Хотя можно ALL и сказать: "Читай примеры, там все написано!"Кстати, "вручную" я дозванивался до ISP, а толку то!Пакеты не ходят :(
хочется всретить НГ со спокойной душой :)
ps наверно, сумбурно все написано, но я уже в глубоком ступпоре :(
pps если нужен running-config - выложу.Заранее, 10х!
>
>читал, что cisco-AVPair умеет работать с access-list типа ip:inacl#3 permit any any
>
>#3 это номер прописаный в самой cisco или свой внутренний? И что
>происходит, если на интерфейсе есть уже акл? В каком порядке взаимодействуют
>ACL`ы cisco и тот, что возвращает cisco-AVPair?????.Если "свой"(юзверя)? тогда как отличать
>стандартный от расширенного? Если это номер cisco, умеет ли "работать" cisco-AVPair
>с именованными листами (они удобнее в плане редактирования)??? В примерах cisco-AVPair
>везде номера #1 #2 #3 etc....radreply
>>8 | test | Cisco-Avpair | += | ip:inacl#1=permit icmp any any
9 | test | Cisco-Avpair | += | ip:inacl#2=permit udp any any log 10 | test | Cisco-Avpair | += | ip:inacl#3=permit tcp any any log
Добавляются для async интерфейса,номера маршрутизатор ставит сам.Порядок
#1->#2->#3
Еще можно вот так
15 | eurologistics | Framed-Filter-Id | == | 52.in
16 | eurologistics | Framed-Filter-Id | == | 52.out
>radreply
>Добавляются для async интерфейса,номера маршрутизатор ставит сам.Порядок
>#1->#2->#3Спасибо, понял!
>Еще можно вот так
>15 | eurologistics | Framed-Filter-Id | == | 52.in
>16 | eurologistics | Framed-Filter-Id | == | 52.outКак я понял, что 52 это уже в номер cisco access-list?
А можно так :
>16 | eurologistics | Framed-Filter-Id | == | my_extanded_ACL.out
^^^^^^^^^^^
по именованому списку?Спасибо!
И-эх! ктобы про интерф-ми и IP с DialIn и DialOut подсказал...
Продолжаю ждать....
>>Еще можно вот так
>>15 | eurologistics | Framed-Filter-Id | == | 52.in
>>16 | eurologistics | Framed-Filter-Id | == | 52.out
>
>Как я понял, что 52 это уже в номер cisco access-list?
да>А можно так :
>>16 | eurologistics | Framed-Filter-Id | == | my_extanded_ACL.out
Так я не пробовал.Может по номеру extended сработает.Да,списки эти видны по
sh acc, когда юзер уже вошел.>И-эх! ктобы про интерф-ми и IP с DialIn и DialOut подсказал...
Таким бы ротиком да медку-смотрел медведь на экскаватор...
Все там решаемо-продолжайте думать.
debug примените в конце концов.
>>И-эх! ктобы про интерф-ми и IP с DialIn и DialOut подсказал...
>Все там решаемо-продолжайте думать.
Спасибо за моральную поддержку! ;)
>debug примените в конце концов.
debug не проблема. Я не могу на 2-х интерфейсах поставить IP из одной подсети!(см. выше)
даже secondary не дает.Ругается, что эта маска есть на int f0/1
Попробовал как хост прописать на int f0/0 с маской /32 - говорит маска не допустима ...ЛаТно, продолжаю думать....
а как поднимать\down int в определенное время? в cisco.com даже не знаю как запрос в поиске задать :(
>>>И-эх! ктобы про интерф-ми и IP с DialIn и DialOut подсказал...
>>Все там решаемо-продолжайте думать.
>Спасибо за моральную поддержку! ;)
>>debug примените в конце концов.
>debug не проблема. Я не могу на 2-х интерфейсах поставить IP из
>одной подсети!(см. выше)
>даже secondary не дает.Ругается, что эта маска есть на int f0/1
>Попробовал как хост прописать на int f0/0 с маской /32 - говорит
>маска не допустима ...
Естессно, так нельзя-чтобы в одном физ проводе было два интерфейса с одной сетью.Не понял, нафига это нужно.Когда пойму-что-то присоветую...
>
>ЛаТно, продолжаю думать....
>
>а как поднимать\down int в определенное время? в cisco.com даже не знаю
>как запрос в поиске задать :(
ftp://ftp.east.ru/pub/inet-admins/cisco.txtслово которое искать - snmp ...
>Не понял, нафига это нужно.Когда пойму-что-то присоветую...
надо прочитать мой 1 пост...
Вопрос один - как сделать, чтобы можно было и dialOut & DialIn?я хотел пробрасывать async 33 (DDR с ISP) на int f0\0 с IP в моей подсети, чтобы указать этот IP как default gateway на машине, на которой DNS и которая явл. gateway для всех машин в моей сети...
Видимо как то я неправильно объясняю... :(
Жду наводящих вопросов ...>ftp://ftp.east.ru/pub/inet-admins/cisco.txt
Этот FAQ у меня есть....
>слово которое искать - snmp ...
ничего не нашел как с помощью snmp up&down interface :( Плохо искал?
>хочется всретить НГ со спокойной душой :)Да, наверное, придется встречать НГ с мыслями о cisco :-\
Всех с Новым 2007 годом!
Пусть все ваши хотелки сбудутся!