форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"subinterface, dot1q, access-list"

Сообщение от mogul (ok) on 28-Фев-07, 10:57

помогите пожалуйста новичку собрана такая схема cisco 7206==modem---modem==cisco1721==catalyst2950==(2)pc на cisco7206 interface GigabitEthernet0/1     ip address 100.100.100.10 255.255.255.224 ! interface Serial6/6     no ip redirects     ip unnumbered GigabitEthernet0/1     no cdp enable ! ip route 90.90.90.0 255.255.255.252 Serial6/6 на cisco1721 interface FastEthernet0     no ip address     speed auto ! interface FastEthernet0.100     description GLOBAL     encapsulation dot1Q 100     ip address 90.90.90.1 255.255.255.252     ip access-group 100 in ! interface FastEthernet0.200     description LOCAL     encapsulation dot1Q 200     ip address 10.0.2.254 255.255.255.0     ip nat inside ! interface Serial0     description OUT     ip unnumbered FastEthernet0.100     ip nat outside     no cdp enable ! ip nat pool NAT 90.90.90.1 90.90.90.1 prefix-length 30 ip nat inside source list 1 pool NAT overload ip route 0.0.0.0 0.0.0.0 Serial0 access-list 1 permit 10.0.0.0 0.255.255.255 access-list 100 deny ip 90.90.90.0 0.0.0.3 10.0.0.0 0.255.255.255 access-list 100 permit ip any any на catalyst2950 interface FastEthernet0/1     switchport mode trunk     switchport trunk allowed vlan 100,200 ! interface FastEthernet0/2     switchport access vlan 100 ! interface FastEthernet0/3     switchport access vlan 200 ! задача основная: выделить 1 порт catalyst под машину с внешним адресом, которую будет видно из Интернета. 2 порты и последующие задейстовать под организацию доступа в сеть Интернет в пределах локальной сети через NAT. задача второстепенная: чтобы из сети 90.90.90.0/30 (конкретно с машины, подключенной к порту catalyst fas0/2, и имеющей ip 90.90.90.2) не была доступна сетка 10.0.0.0 255.0.0.0.0 (локальная), а наоборот, т.е 10.0.0.0->90.90.90.0 было всё доступно. что получается: 1. с основной задачей схема справляется 2. с данным access-list'ом (100) действительно сетка 10.0.0.0 не доступна с машины 90.90.90.2 3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина 90.90.90.2 (файрвол откл., с c1751 доступно) собственно в п. 3 и заключается моя проблема. кто знает как решить? спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "subinterface, dot1q, access-list"

Сообщение от sn (??) on 28-Фев-07, 15:54

>interface FastEthernet0.200 > description LOCAL > encapsulation dot1Q 200 > ip address 10.0.2.254 255.255.255.0 >access-list 1 permit 10.0.0.0 0.255.255.255 >3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина >90.90.90.2 (файрвол откл., с c1751 доступно) >собственно в п. 3 и заключается моя проблема. > >кто знает как решить? >спасибо. разницу в масках заметил? если 10 сетка реально побита, то пишешь ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "subinterface, dot1q, access-list"
	Сообщение от mogul (??) on 28-Фев-07, 18:10
	>>interface FastEthernet0.200 >> description LOCAL >> encapsulation dot1Q 200 >> ip address 10.0.2.254 255.255.255.0 > >>access-list 1 permit 10.0.0.0 0.255.255.255 > >>3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина >>90.90.90.2 (файрвол откл., с c1751 доступно) >>собственно в п. 3 и заключается моя проблема. >> >>кто знает как решить? >>спасибо. > >разницу в масках заметил? если 10 сетка реально побита, то пишешь > >ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети> я не понимаю причём тут этот роутинг? например, с ip 10.0.2.1 (шлюз 10.0.2.254) не доступен адрес 90.90.90.2. когда я пытаюсь пинговать 90.90.90.2 с 10.0.2.1, "пинги" до него всё-таки доходят, но ответ не возвращается, т.к срабатывает ACL 100 (source получается 90.90.90.2), что этим-же ACL запрещено...если я правильно понимаю
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "subinterface, dot1q, access-list"
	Сообщение от sn (??) on 01-Мрт-07, 08:45
	>>>interface FastEthernet0.200 >>> description LOCAL >>> encapsulation dot1Q 200 >>> ip address 10.0.2.254 255.255.255.0 >> >>>access-list 1 permit 10.0.0.0 0.255.255.255 >> >>>3. из сети 10.0.0.0 доступен адрес 90.90.90.1 (cisco1751), но не доступна машина >>>90.90.90.2 (файрвол откл., с c1751 доступно) >>>собственно в п. 3 и заключается моя проблема. >>> >>>кто знает как решить? >>>спасибо. >> >>разницу в масках заметил? если 10 сетка реально побита, то пишешь >> >>ip route 10.0.0.0 255.0.0.0 <ip-адрес маршрутера, который знает где остальные подсетки 10 сети> > >я не понимаю причём тут этот роутинг? >например, с ip 10.0.2.1 (шлюз 10.0.2.254) не доступен адрес 90.90.90.2. >когда я пытаюсь пинговать 90.90.90.2 с 10.0.2.1, "пинги" до него всё-таки доходят, >но ответ не возвращается, т.к срабатывает ACL 100 >(source получается 90.90.90.2), что этим-же ACL запрещено...если я правильно понимаю если с масками у тебя все в порядке, то тут надо посмотреть, что сначала отрабатывает acl или нат. с цискиным натом не очень дружу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]