| 0
- 29.01.2015 - 22:14
|
Купил я таки эту хрень за 200 баксов : ) Cisco 857W-G-A-K9 Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T17, RELEASE SOFTWARE Таки поднял я ему atm-интерфейс, pppoe, nat и прочее, у меня есть интернет из LAN. Осталось 2 шага, в которые я уперся и не могу осилить. Прошу помощу. 1. Проброс портов через NAT. Делаю так (dialer 0 - мой интерфейс pppoe): my_hostname(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 my_hostname(config)#ip nat inside source list 1 interface dialer 0 overload my_hostname(config)#access-list 1 permit 0.0.0.0 255.255.255.255 my_hostname(config)#ip nat inside source static tcp 192.168.0.193 80 interface dialer 0 80 При попытке обратиться к вешнему IP по порту 80 тишина. При этом на LAN-интерфейсе конечно же стоит ip nat inside и nat вообще работает (на исходящие соединения). Внешний адрес из локальной сети пингуется исправно. Что ему еще надо? 2. Затык с wi-fi. Пытаюсь делать так: my_hostname(config)#interface dot11radio 0 my_hostname(config-if)#description WLAN my_hostname(config-if)#ssid <my_ssid> my_hostname(config-if-ssid)#vlan 1 my_hostname(config-if-ssid)#guest-mode my_hostname(config-if-ssid)#authentication open my_hostname(config-if-ssid)#encryption mode ciphers aes-ccm my_hostname(config-if-ssid)#authentication key-management wpa Получаю ошибку: Encryption mode cipher is not configured Далее учпешно проходят команды my_hostname(config-if-ssid)#wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxx my_hostname(config-if-ssid)#exit my_hostname(config-if)#no shutdown однако wi-fi нет, даже ssid не обнаруживается. Гуглеж дал то, что это из-за того, что я пихаю его в vlan 1, а настройки, которые я пытаюсь применить, для выделенного интерфейса. Я делаю это для того, чтобы WLAN и LAN были в единой сети без маршрутизации и чтобы DHCP работал сразу на ethernet и wi-fi. Как правильно настроить?     | | ||
| 41
- 31.01.2015 - 16:00
|
39-Rat > Цитата:
Цитата:
ATM это канальный уровень. Тут можно писать диссертации. В свое время считалось, что именно АТМ объединит видео, голос и данные в одну сеть, а благодаря фиксированной длине ячейки в 53 байте сети получат невиданную скорость. Однако стоимость железа оставалась не гуманной, а сопряжение с существующими ethernet сетями напоминало шаманские заклинания - LES/BUS, LECS, PNNI, UNI и пр. В итоге, от некогда могучей империи АТМ остался островок в виде aal5 и pvc, которые прикрутили к DSL. | | ||
| 42
- 31.01.2015 - 16:55
|
41-spiegel > спасибо : ) я когда-то 3 месяца успел поработать сетевым админом, читал всякие книги, и еще не все забыл. но всегда было интересно, каким боком наследие ATM всплыло в DSL. кстати запустил торрент, качает как и надо, то speedtest.net кривой видать. Но без upnp раздавать торрент не могу, а пробрасывать порт специально для него не хочу, вместе с отсутствием nat hairpin это ложка дегтя. Кстати nat hairpin вроде как должен работать, но у меня не получилось, наверное для него надо явно адреса задвать на нате, указать интерфейс dialer 0 уже не выйдет? | | ||
| 43
- 31.01.2015 - 16:58
|
по нату вот тут вроде пытались осилить, но так ничего и не вышло (вообще, даже с явным указанием адресов) http://forums.whirlpool.net.au/archive/1015045 | | ||
| 44
- 31.01.2015 - 17:15
|
У меня последний вопрос: как узнать данные по snmp? Поднял snmp-сервер, все настроил, он работает, например по OID 1.3.6.1.4.1.9.2.1.56.0 я читаю загрузку CPU. Но мне еще надо текущую скорость вх/исх байт на dialer0. Гуглеж ничего не дал кроме этой страницы: http://forums.cacti.net/post-53663.html Но там, во-первых, человек хочет снять данные с dialer 1, и, во-вторых, у него ничо не работает. Попробовал поменять 3е с конца число на 0, не работает. Как узнать нужный OID хотя бы? | | ||
| 45
- 31.01.2015 - 17:36
|
44-Rat >по нат можно еще через лупбэк попробовать. Для snmp можно использовать PRTG. Демо версия ограничена 10 сенсорами, что для домашнего использования вполне хватит, если нет - на торенте есть ломаная версия. Вполне продвинутый и в то же время готовый продукт без всяких танцев с бубнами. На нем же можно с NetFlow побаловаться. | | ||
| 46
- 31.01.2015 - 17:43
| 45-spiegel > про нат через петлю читал, но по-моему это не для этого, можн на побочный эффект только рассчитывать... но пожалуй мне уже хватит : ) большой нужды в этом нет. Про PRTG интересно, поизучаю. | | ||
| 47
- 31.01.2015 - 19:08
| 46-Rat >еще раз подумал, как решить вашу проблему с нат и нашел решение. Если еще есть интерес - могу выложить. | | ||
| 48
- 31.01.2015 - 21:21
| 47-spiegel > Есть, хотя бы ради спортивного интереса : ) В очередной настраивать эту железяку, если честно, уже подзадолбало. Но как минимум взглянул бы. | | ||
| 49
- 31.01.2015 - 22:01
|
48-Rat >на самом деле все просто, но внешний IP должен быть известен. В основе классическая схема, когда сервера типа www, ftp и пр. размещаются в DMZ. Для этого выделим порт f3 и привяжем к vlan2. Все, что связано с натом - убираем из конфигурации и заменяем на интерфейсах, где есть ip, на ip nat enable: interface FastEthernet3 switchport access vlan 2 ! interface Vlan2 ip address 172.16.1.1 255.255.255.0 ip nat enable ! ip nat source list 1 interface Dialer0 overload ip nat source static tcp 172.16.1.2 80 85.175.98.43 80 extendable ! access-list 1 permit 192.168.0.0 0.0.0.255 | | ||
| 50
- 31.01.2015 - 23:33
|
49-spiegel > новая модель nat hairpin как раз и приводится в статье из (43), но там тоже упоминается необходимость жестко задать адрес в нате для внешнего интерфейса. в принципе, это не такая проблема, хотя элегантность решения портится. но непонятно, зачем выделять отдельный vlan и порт? как я понял, это необязательно? к тому же выделить его не получится т.к. switchport то ли не поддерживается, то ли еще какая фигня, я не разобрался, но команда не распознается на этом железе, создать новый влан не получилось, хотя должно... в любом случае занимать еще один порт нет желания. вдруг я хочу иметь серверы из разных уголков LAN? тогда это неудобно. в принципе можно все переделать на ip nat enable (всего-то 2 интерфейса, di0 и bvi1) и переписать 3 строки ip nat source (1 на трансляцию вовне и 2 на проброс - www + ftp), но чо-то уже нет энтузиазма, эта хрень уже достала : ) тем более что а) желаемого решения все равно нет, при смене внешнего IP придется переконфигурировать и б) ребята по ссылке уже так пробовали на аналогичном оборудовании и шиш им, не подтвердилось. похоже моя киска не совсем настоящая... некоторые вещи не работают как надо, например тот же switchport mode, а еще на wi-fi не поддерживается wpa2 (даже не дает применить 2ю версию), при том что позволяет задать шифрование aes, которое есть только в wpa2... сколько там еще таких багофич, неизвестно : ) а вообще, в кискаех нет функции подмены загловков ip? если бы скажем для 80 порта менять адрес 85.175.98.43 на 192.168.0.193 на интерфейсе lan, то и нат крутить не надо, сразу бы шло на локальный адрес. | | ||
| 51
- 01.02.2015 - 13:48
| Никогда не куплю ничего из циско. Так драть мозг для настройки за бабло, которого железо не стОит - увольте. Хватило опыта с телефонией тоже. Ад, багофичи, дуроепство и айфонизация головного мозга (это же Циско!!1! Ты што!!) | | ||
| 52
- 01.02.2015 - 13:59
|
50-Rat >чтобы трафик прошел через роутер, и соответственно через нат, нужно чтобы хост обратился в другую сеть. И самое главное правило - внутренняя сеть и сеть серверов, имеющих доступ в инет, не располагается в одной подсети. 51-Фанат NASCAR > Циска не для домашней сети. Это все равно что купить камаз и ездить на нем в булочную. | | ||
| 53
- 01.02.2015 - 15:32
|
52-spiegel > внутренняя сеть и сеть серверов, имеющих доступ в инет, не располагается в одной подсети ну это да, некошерно получается. однако для дома сойдет : ) и правильно было бы поднять свой dns, и пользоваться им, а он бы выдавал правильный локальный адрес, и трафик не шел бы через маршрутизатор вообще, я верно мыслю? 51-Фанат NASCAR > ну как сказать, соединение с тырнетом стало стабильнее. намного уменьшились потери пакетов, уменьшился пинг. на самом деле там все просто, типовая конфигурация настраивается элементарно, если есть шаблон, вся проблема в том что циска не предлагает мануала по типовым конфигурациям. те мануалы что есть, там мозг сломать можно, написаны криво, без пояснения сути, а если суть поясняется (в отдельном 100500 стр. документе), то там закопаться можно. в этом плане да, циска не выдерживает ни малейшей критики. документация на уровне студенческого диплома, что за такие деньги уныло. на самом деле я купил этот девайс не из-за занудства, я просто устал менять вылетающие и глючащие роутеры производства мануфактуры им. дяди ляо. пока тьфу-тьфу, работает, но надо потестить его с месяц хотя бы, чтоб сделать выводы. грузится долго, нет upnp, нет обратной петли на внешний адрес - это обидно, но это мелочи. главное чтоб оно работало. | | ||
| 54
- 01.02.2015 - 17:07
| Цитата:
Но это все цветочки. Тут как то чекпойнт по ssh конфигурировал - вот где голову сломать можно и полное отсутствие информации в инете. Насчет dns - попробуйте на циске поднять. | | ||
| 55
- 03.02.2015 - 12:07
| 52-spiegel >поднимал сети под 200 точек, прекрасно живут без цисок. Телефония в цисках - вообще адов ад.. | | ||
| 56
- 03.02.2015 - 14:39
| 55-Фанат NASCAR > я разве спорил. В мире достаточно продвинутых производителей. Циска - хороший ширпотреб, всегда можно найти нужную информацию, достаточно гибкая конфигурация. Сети на циске, при грамотной настройке, работают стабильно. Один недостаток - цена. | | ||
| 57
- 05.02.2015 - 12:30
|
56-spiegel >тут бы я поспорил, но хз.. Вдруг я просто не проникся духом) Пока она для меня - как айфон. Дорого, бессмысленно и уже не надежно. Телефонов цискиных на покой отправил столько же, сколько дешевых длинков. | |
Интернет-форум Краснодарского края и Краснодара |
