forum.opennet.ru

Составление сообщения

Исходное сообщение

"FWSM - Не работает NAT"
Отправлено Evgeniy, 07-Июн-12 17:45

Доброе время суток!
Второй день бьюсь над проблемой и никак не могу победить. Суть вопроса:
Имеется:
Mod Ports Card Type                              Model
--- ----- -------------------------------------- ------------------
  1    4  CEF720 4 port 10-Gigabit Ethernet      WS-X6704-10GE
  2   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX
  3   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX
  4   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX
  5    2  Supervisor Engine 720 (Active)         WS-SUP720-3BXL
  7   48  CEF720 48 port 10/100/1000mb Ethernet  WS-X6748-GE-TX
  8    6  Firewall Module                        WS-SVC-FWM-1
  9    6  Firewall Module                        WS-SVC-FWM-1

upgrade fpd auto
version 12.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
service counters max age 5
service unsupported-transceiver
!
hostname Data_main
!
boot-start-marker
boot system bootflash:s72033-adventerprisek9-mz.122-33.SXH5.bin
boot-end-marker
ip subnet-zero
no ip source-route
ip cef accounting per-prefix
ip flow-cache timeout active 2
ip name-server 8.8.8.8
vtp domain curtinR4
vtp mode transparent
mls ip slb purge global
mls netflow interface
mls flow ip interface-full
no mls flow ipv6
mls qos
mls cef error action reset

redundancy
keepalive-enable
mode sso
main-cpu
  auto-sync running-config
spanning-tree mode pvst
spanning-tree extend system-id
diagnostic bootup level minimal
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
no errdisable detect cause gbic-invalid
fabric timer 15
!
vlan internal allocation policy ascending
vlan access-log ratelimit 2000
!
vlan 1000
name office
vlan 3000
name test_firewall
interface GigabitEthernet4/4
description --# int with real ip
switchport
switchport access vlan 1000
switchport trunk allowed vlan 1000
switchport mode access

interface GigabitEthernet4/48
description --# int to clients
switchport
switchport access vlan 3000
switchport mode access
interface Vlan1000
ip address 93.xxx.xxx.193 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
no ip mroute-cache
interface Vlan3000
no ip address

Про файрвол написано:
firewall multiple-vlan-interfaces
firewall module 8 vlan-group 2,
firewall vlan-group 2  1000,3000
Вроде как все правильно.
Заходим на  FWSM:
sh run
FWSM Version 3.1(4)
!
hostname FWSM
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1000
nameif outside
security-level 0
ip address 93.ххх.ххх.200 255.255.255.192
!
interface Vlan3000
nameif inside
security-level 100
ip address 192.168.100.2 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list Local_Net extended permit ip 192.168.100.0 255.255.255.0 any
access-list my_net extended permit ip 192.168.0.0 255.255.255.0 any
pager lines 24
logging enable
logging buffer-size 1048576
logging buffered informational
logging history informational
mtu outside 1500
mtu inside 1500
no failover
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400
global (outside) 333 93.157.8.201 netmask 255.255.255.255
nat (inside) 333 access-list my_net outside
route outside 0.0.0.0 0.0.0.0 93.157.8.193 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect smtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:914df07a05ef57ebcffab2808ae15e25
: end
И при всем при этом пинги не ходят. То есть я подключаю компьютер на прямую в 48 порт. Пингую 192.168.100.2 - пингуется прекрасно, но не далее. Я понимаю, что тут где-то всего лишь вопрос кривых рук...
Задача: Нужно, чтоб клиенты из сети 192.168.100.0/24 ходили в мир.
Подскажите, где я не прав?
Заранее благодарен!

Исходное сообщение
"FWSM - Не работает NAT" Отправлено Evgeniy, 07-Июн-12 17:45
Доброе время суток! Второй день бьюсь над проблемой и никак не могу победить. Суть вопроса: Имеется: Mod Ports Card Type Model --- ----- -------------------------------------- ------------------ 1 4 CEF720 4 port 10-Gigabit Ethernet WS-X6704-10GE 2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX 3 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX 4 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX 5 2 Supervisor Engine 720 (Active) WS-SUP720-3BXL 7 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX 8 6 Firewall Module WS-SVC-FWM-1 9 6 Firewall Module WS-SVC-FWM-1 upgrade fpd auto version 12.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug uptime service timestamps log datetime localtime service password-encryption service sequence-numbers service counters max age 5 service unsupported-transceiver ! hostname Data_main ! boot-start-marker boot system bootflash:s72033-adventerprisek9-mz.122-33.SXH5.bin boot-end-marker ip subnet-zero no ip source-route ip cef accounting per-prefix ip flow-cache timeout active 2 ip name-server 8.8.8.8 vtp domain curtinR4 vtp mode transparent mls ip slb purge global mls netflow interface mls flow ip interface-full no mls flow ipv6 mls qos mls cef error action reset redundancy keepalive-enable mode sso main-cpu auto-sync running-config spanning-tree mode pvst spanning-tree extend system-id diagnostic bootup level minimal diagnostic cns publish cisco.cns.device.diag_results diagnostic cns subscribe cisco.cns.device.diag_commands no errdisable detect cause gbic-invalid fabric timer 15 ! vlan internal allocation policy ascending vlan access-log ratelimit 2000 ! vlan 1000 name office vlan 3000 name test_firewall interface GigabitEthernet4/4 description --# int with real ip switchport switchport access vlan 1000 switchport trunk allowed vlan 1000 switchport mode access interface GigabitEthernet4/48 description --# int to clients switchport switchport access vlan 3000 switchport mode access interface Vlan1000 ip address 93.xxx.xxx.193 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress no ip mroute-cache interface Vlan3000 no ip address Про файрвол написано: firewall multiple-vlan-interfaces firewall module 8 vlan-group 2, firewall vlan-group 2 1000,3000 Вроде как все правильно. Заходим на FWSM: sh run FWSM Version 3.1(4) ! hostname FWSM enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Vlan1000 nameif outside security-level 0 ip address 93.ххх.ххх.200 255.255.255.192 ! interface Vlan3000 nameif inside security-level 100 ip address 192.168.100.2 255.255.255.0 ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list Local_Net extended permit ip 192.168.100.0 255.255.255.0 any access-list my_net extended permit ip 192.168.0.0 255.255.255.0 any pager lines 24 logging enable logging buffer-size 1048576 logging buffered informational logging history informational mtu outside 1500 mtu inside 1500 no failover icmp permit any outside icmp permit any inside no asdm history enable arp timeout 14400 global (outside) 333 93.157.8.201 netmask 255.255.255.255 nat (inside) 333 access-list my_net outside route outside 0.0.0.0 0.0.0.0 93.157.8.193 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect smtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:914df07a05ef57ebcffab2808ae15e25 : end И при всем при этом пинги не ходят. То есть я подключаю компьютер на прямую в 48 порт. Пингую 192.168.100.2 - пингуется прекрасно, но не далее. Я понимаю, что тут где-то всего лишь вопрос кривых рук... Задача: Нужно, чтоб клиенты из сети 192.168.100.0/24 ходили в мир. Подскажите, где я не прав? Заранее благодарен!

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доброе время суток!
> Второй день бьюсь над проблемой и никак не могу победить. Суть вопроса: 
 
> Имеется:

> Mod Ports Card Type         
>            
>           Model 
 
> --- ----- -------------------------------------- ------------------ 
>   1    4  CEF720 4 port 10-Gigabit 
> Ethernet      WS-X6704-10GE 
>   2   48  CEF720 48 port 10/100/1000mb Ethernet 
>  WS-X6748-GE-TX 
>   3   48  CEF720 48 port 10/100/1000mb Ethernet 
>  WS-X6748-GE-TX 
>   4   48  CEF720 48 port 10/100/1000mb Ethernet 
>  WS-X6748-GE-TX 
>   5    2  Supervisor Engine 720 (Active) 
>         WS-SUP720-3BXL 
>   7   48  CEF720 48 port 10/100/1000mb Ethernet 
>  WS-X6748-GE-TX 
>   8    6  Firewall Module   
>            
>           WS-SVC-FWM-1 
 
>   9    6  Firewall Module   
>            
>           WS-SVC-FWM-1

> upgrade fpd auto 
> version 12.2 
> no service pad 
> service tcp-keepalives-in 
> service tcp-keepalives-out 
> service timestamps debug uptime 
> service timestamps log datetime localtime 
> service password-encryption 
> service sequence-numbers 
> service counters max age 5 
> service unsupported-transceiver 
> !
> hostname Data_main 
> !
> boot-start-marker 
> boot system bootflash:s72033-adventerprisek9-mz.122-33.SXH5.bin 
> boot-end-marker

> ip subnet-zero 
> no ip source-route

> ip cef accounting per-prefix 
> ip flow-cache timeout active 2 
> ip name-server 8.8.8.8 
> vtp domain curtinR4 
> vtp mode transparent 
> mls ip slb purge global 
> mls netflow interface 
> mls flow ip interface-full 
> no mls flow ipv6 
> mls qos 
> mls cef error action reset

> redundancy 
>  keepalive-enable 
>  mode sso 
>  main-cpu 
>   auto-sync running-config 
> spanning-tree mode pvst 
> spanning-tree extend system-id 
> diagnostic bootup level minimal 
> diagnostic cns publish cisco.cns.device.diag_results 
> diagnostic cns subscribe cisco.cns.device.diag_commands 
> no errdisable detect cause gbic-invalid 
> fabric timer 15 
> !
> vlan internal allocation policy ascending 
> vlan access-log ratelimit 2000 
> !

> vlan 1000 
>  name office

> vlan 3000 
>  name test_firewall

> interface GigabitEthernet4/4 
>  description --# int with real ip 
>  switchport 
>  switchport access vlan 1000 
>  switchport trunk allowed vlan 1000 
>  switchport mode access

> interface GigabitEthernet4/48 
>  description --# int to clients 
>  switchport 
>  switchport access vlan 3000 
>  switchport mode access

> interface Vlan1000 
>  ip address 93.xxx.xxx.193 255.255.255.0 
>  no ip redirects 
>  no ip unreachables 
>  no ip proxy-arp 
>  ip flow ingress 
>  no ip mroute-cache

> interface Vlan3000 
>  no ip address

> Про файрвол написано: 
> firewall multiple-vlan-interfaces 
> firewall module 8 vlan-group 2, 
> firewall vlan-group 2  1000,3000

> Вроде как все правильно.

> Заходим на  FWSM:

> sh run 
> FWSM Version 3.1(4) 
> !
> hostname FWSM 
> enable password 8Ry2YjIyt7RRXU24 encrypted 
> names 
> !
> interface Vlan1000 
>  nameif outside 
>  security-level 0 
>  ip address 93.ххх.ххх.200 255.255.255.192 
> !
> interface Vlan3000 
>  nameif inside 
>  security-level 100 
>  ip address 192.168.100.2 255.255.255.0 
> !
> passwd 2KFQnbNIdI.2KYOU encrypted 
> ftp mode passive 
> access-list Local_Net extended permit ip 192.168.100.0 255.255.255.0 any 
> access-list my_net extended permit ip 192.168.0.0 255.255.255.0 any 
> pager lines 24 
> logging enable 
> logging buffer-size 1048576 
> logging buffered informational 
> logging history informational 
> mtu outside 1500 
> mtu inside 1500 
> no failover 
> icmp permit any outside 
> icmp permit any inside 
> no asdm history enable 
> arp timeout 14400 
> global (outside) 333 93.157.8.201 netmask 255.255.255.255 
> nat (inside) 333 access-list my_net outside 
> route outside 0.0.0.0 0.0.0.0 93.157.8.193 1 
> timeout xlate 3:00:00 
> timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 
> timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 
> timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 
> timeout uauth 0:05:00 absolute 
> no snmp-server location 
> no snmp-server contact 
> snmp-server enable traps snmp authentication linkup linkdown coldstart 
> telnet timeout 5 
> ssh timeout 5 
> console timeout 0 
> !
> class-map inspection_default 
>  match default-inspection-traffic 
> !
> !
> policy-map global_policy 
>  class inspection_default 
>   inspect dns maximum-length 512 
>   inspect ftp 
>   inspect h323 h225 
>   inspect h323 ras 
>   inspect rsh 
>   inspect smtp 
>   inspect sqlnet 
>   inspect skinny 
>   inspect sunrpc 
>   inspect xdmcp 
>   inspect sip 
>   inspect netbios 
>   inspect tftp 
> !
> service-policy global_policy global 
> prompt hostname context 
> Cryptochecksum:914df07a05ef57ebcffab2808ae15e25 
> : end

> И при всем при этом пинги не ходят. То есть я подключаю 
> компьютер на прямую в 48 порт. Пингую 192.168.100.2 - пингуется прекрасно, 
> но не далее. Я понимаю, что тут где-то всего лишь вопрос 
> кривых рук...
> Задача: Нужно, чтоб клиенты из сети 192.168.100.0/24 ходили в мир.

> Подскажите, где я не прав?

> Заранее благодарен!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру