https://www.opennet.me/openforum/vsluhforumID6/15024.html Приветствую. Появилась циска 871-K9. Т.к. я работал в основном с цисковскими полноценными маршрутизаторами 1700, 1800, 2600 и 2800 и их полноценными коммутаторами Catalyst, то проблемы, возникшие у меня с 871 с NAT'ом, мне абсолютно не понятны.<br><br>Вопросик &#8470;1.<br>На официальном сайте Cisco в Data Sheets про 871 циску написано, что эта циска вроде бы поддерживает хотя бы 2 Vlan'а. И один Vlan можно вроде бы выделить под DMZ. http://www.cisco.com/en/US/products/hw/routers/ps380/products_data_sheet0900aecd8028a976.html<br><br>Мне необходимо иметь 2 Vlan'а на строенном коммутаторе 871 циски. Один Vlan должен пойти под сеть DMZ, а второй под частную корпоративную сеть, причем пользователи, находящиеся в частной корпоративной сети не должны видеть сервер, находящийся в DMZ. Объясните, пожалуйста, как создать 2 Vlan'а на 871 циски и отнести их к разным сетям?<br><br><br>Вопросик &#8470;2.<br>Т.к. я не понял, как создать 2 разных Vlan'а с разными ip-подсетями на 871-й циски, то я решил временно повесить на один интерфейс Vla https://www.opennet.me/openforum/vsluhforumID6/15024.html#5 Mon, 10 Dec 2007 08:01:48 GMT &gt;Для этой модели больше одного vlan может только advipservicesk9 у вас такой? <br>&gt;<br><br>да я вроде юы уже понял<br>я делал на обычном k9<br>вот сейчас залил эдвансд иос k9 и вроде бы все появилось<br> https://www.opennet.me/openforum/vsluhforumID6/15024.html#4 Mon, 10 Dec 2007 07:19:39 GMT Для этой модели больше одного vlan может только advipservicesk9 у вас такой?<br> https://www.opennet.me/openforum/vsluhforumID6/15024.html#3 Sun, 09 Dec 2007 13:24:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;- ip access-group 102 in <br>&gt;&gt;Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем <br>&gt;&gt;проблема?? Это у меня где-то крыша съехала или траблы у циски?? <br>&gt;&gt;<br>&gt;<br>&gt;так с ходу, icmp слегка не ip :) если хочется секурности проще <br>&gt;разрещающий acl на вход-выход сделать, либо FW настроить. <br>&gt;<br>&gt;а маршрутизация так и должна работать, вполне нормально это все, и от <br>&gt;класса железа не зависит. <br><br>Неа, ip охватывает icmp в цисковских ACLs. Ладно, попробую в понедельник залить ему самую навороченную операционку, которая тока есть для этой модели.<br> https://www.opennet.me/openforum/vsluhforumID6/15024.html#2 Sun, 09 Dec 2007 11:12:11 GMT &gt;- access-list 102 deny ip any 10.10.10.0 0.0.0.255 <br>&gt;и вешаю его на wan-интерфейс 871 циски: <br>&gt;- interface fastethernet 4 <br>&gt;- ip access-group 102 in <br>&gt;Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем <br>&gt;проблема?? Это у меня где-то крыша съехала или траблы у циски?? <br>&gt;<br><br>так с ходу, icmp слегка не ip :) если хочется секурности проще разрещающий acl на вход-выход сделать, либо FW настроить.<br><br>а маршрутизация так и должна работать, вполне нормально это все, и от класса железа не зависит.<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID6/15024.html#1 Sat, 08 Dec 2007 05:11:08 GMT &gt;[оверквотинг удален]<br>&gt;(т.е.с адреса 205.205.205.6) на адрес комьютера 10.10.10.4, то пинг тоже идет <br>&gt;(сквозь NAT), причем идет и в другую частную сеть 10.12.12.0 Делаю <br>&gt;еще один список доступа: <br>&gt;- access-list 102 deny ip any 10.10.10.0 0.0.0.255 <br>&gt;и вешаю его на wan-интерфейс 871 циски: <br>&gt;- interface fastethernet 4 <br>&gt;- ip access-group 102 in <br>&gt;Пинг с циски 1721 в корпоративную сеть все равно идет!! В чем <br>&gt;проблема?? Это у меня где-то крыша съехала или траблы у циски?? <br>&gt;<br><br>Конфиг огласи<br>