Много лет работал только с FreeBSD и "строил" все только на ней.
Впервые пришлось столкнуться с Циской (861-я).
Задача тривиальная:
провайдер дает статический внешний IP по эзернету, нужно раздать интернет в локалке через NAT, ip-шники выдать с dhcp циски, прокинуть несколько портов внутрь локалки на серваки и поднять VPN-сервер для доступа в локалку для командировок.Посоветуйте статейки/ресурсы/книги для минимального и быстрого понимания Циски, достаточного для настройки под данную задачу.
СПАСИБО.
PS Умеет ли Циска менять MAC на WAN интерфейсе?
>[оверквотинг удален]
>интернет в локалке через NAT, ip-шники выдать с dhcp циски, прокинуть
>несколько портов внутрь локалки на серваки и поднять VPN-сервер для доступа
>в локалку для командировок.
>
>Посоветуйте статейки/ресурсы/книги для минимального и быстрого понимания Циски, достаточного для настройки под
>данную задачу.
>
>СПАСИБО.
>
>PS Умеет ли Циска менять MAC на WAN интерфейсе?cisco.com - есть все
ciscolabs.ru - есть большенство
>cisco.com - есть все
>ciscolabs.ru - есть большенствоВторая ссылка не открывается, а по первой - КУДА смотреть? Нужны конкретные примеры с комментариями...
>[оверквотинг удален]
>>
>>Посоветуйте статейки/ресурсы/книги для минимального и быстрого понимания Циски, достаточного для настройки под
>>данную задачу.
>>
>>СПАСИБО.
>>
>>PS Умеет ли Циска менять MAC на WAN интерфейсе?
>
>cisco.com - есть все
>ciscolabs.ru - есть большенствоВторая ссылка правильная такая: http://www.ciscolab.ru/
А на сайте cisco надо смотреть сюда:
http://www.cisco.com/en/US/products/hw/routers/ps380/product...
http://www.cisco.com/en/US/products/hw/routers/ps380/prod_co...
а также в Command Reference по 800-й серии, ну и конечно же в поиск. Также, не стоит забывать поиск по гуглу, тоже много интересного откроется. :)
Ну значит для раздачи Интернета тебе надо настроить динамический NAT с overload. DHCP настраивается вообще просто. ip dhcp pool POOLNAME, дальше разберёшься сам. Порты прокидываются статическим NAT-ом. Для доступа из командировок надо настроить Easy VPN server. Если ты чайник, то лучше это делать в SDM. Да и вообще все твои задачи делаются на SDM. Так что вперёд, ничего не бойся :)
MAC циска менять естественно умеет. Команда mac-address на интерфейсе :)
>Да и вообще все твои задачи делаются на SDM. Так что
>вперёд, ничего не бойся :)Спасибо, все получилось.
Мак поменял, DHCP настроил, NAT поднял - в инет вышел.
Дайте плиз пример конфига стандартных access-list - т.е. изнутри всех ходят наружу без ограничений, снаружи коннект на циску + проброс нескольких портов внутрь...Пытаюсь сам написать - вся связь пропадает... Какой принцип?
Как я понял, на каждый интерфейс можно "прицепить" по 2 листа - один наружу и один внутрь, т.е. всего должно быть 4 списка.
В каких и что именно писать?
>[оверквотинг удален]
>Мак поменял, DHCP настроил, NAT поднял - в инет вышел.
>Дайте плиз пример конфига стандартных access-list - т.е. изнутри всех ходят наружу
>без ограничений, снаружи коннект на циску + проброс нескольких портов внутрь...
>
>
>Пытаюсь сам написать - вся связь пропадает... Какой принцип?
>Как я понял, на каждый интерфейс можно "прицепить" по 2 листа -
>один наружу и один внутрь, т.е. всего должно быть 4 списка.
>
>В каких и что именно писать?Ну... скажем так... не должно быть, а может быть.... и вовсе не обязательно делать все 4 списка... даже вредно это, т.к. чем больше списков, тем медленнее бегает трафик...
Плюс к этому... не стоит увлекаться стандартными списками доступа, они сильно стесняют, юзайте лучше расширенные списки....
Попробуйте, например, прицепить такой список на вход внутреннего интерфейса циски:
access-list 100 permit ip <внутрення сеть> any
и такой на вход внешнего интерфейса циски:
access-list 150 permit tcp any <ip-адрес, используемый для PAT'а> establishedи теперь подумайте, почему интернет у вас вроде бы есть, но не бегает ни UDP, ни ICMP трафик. :)
Даю 2 наводки:
1. любой список доступа заканчивается в конце невидимым запретом
2. Подумайте над ключевым словом established.
Это и так понятно...
Не понятно - какие именно правила куда цеплять.
Например выход в инет для локалки? На out внутреннего интерфейса?
На прокидку портов внутрь правила вещать на IN внешнего?
Вроде так, но как только пишу такие правила - перестает работать все.
>Это и так понятно...
>Не понятно - какие именно правила куда цеплять.
>Например выход в инет для локалки? На out внутреннего интерфейса?
>На прокидку портов внутрь правила вещать на IN внешнего?
>Вроде так, но как только пишу такие правила - перестает работать все.
>И что же вам понятно, если вы путаетесь в IN и OUT? O_o
Вы не понимаете что такое out и что такое in у интерфесов.
Допустим есть 2 интерфейса А и В, А -внутренний, а В - внешний.
Если повесить список IN на интерфейс А, то будет фильтроваться трафик идущий из внутренней сети через этот интерфейс А. Если повесить список OUT на интерфейс А, то будет фильтроваться трафик, идущий из внешней сети через этот интерфейс А. Если повесить список IN на интерфейс B, то будет фильтроваться трафик идущий из внешней сети через этот интерфейс В. Если повесить список OUT на интерфейс В, то будет фильтроваться трафик, идущий из внутренней сети через этот интерфейс.
А дальше делайте выводы... какие вам списки применять и к каким интерфейсам цеплять и цеплять ли вообще....
>[оверквотинг удален]
>интернет в локалке через NAT, ip-шники выдать с dhcp циски, прокинуть
>несколько портов внутрь локалки на серваки и поднять VPN-сервер для доступа
>в локалку для командировок.
>
>Посоветуйте статейки/ресурсы/книги для минимального и быстрого понимания Циски, достаточного для настройки под
>данную задачу.
>
>СПАСИБО.
>
>PS Умеет ли Циска менять MAC на WAN интерфейсе?Я думаю, что Вам и нужно продолжать работать и "строить" с этой ОС...
если вы панталонщик, то нужно всегда все отрицать все что стоит больше 10$