Cisco 2960 Switch, ASA 5520 Firewall
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 3 Sayfadan 1. Sayfa 123 SonuncuSonuncu
Toplam 22 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Cisco 2960 Switch, ASA 5520 Firewall

Merhaba arkadaşlar, Şu an Moğolistan'da bir proje üzerine çalışmaktayım. Konfigüre etmem gereken bir switch var elimde. Bunu acilen yetiştirmem lazım. Network şemasını resim halinde göndermeye çalıştım ama umarım olmuştur. ImageShack®

  1. #1
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart Cisco 2960 Switch, ASA 5520 Firewall

    Merhaba arkadaşlar,

    Şu an Moğolistan'da bir proje üzerine çalışmaktayım. Konfigüre etmem gereken bir switch var elimde. Bunu acilen yetiştirmem lazım. Network şemasını resim halinde göndermeye çalıştım ama umarım olmuştur.

    ImageShack® - Online Photo and Video Hosting


    Elimizde bir adet Cisco ASA 5520 firewall ve bir adet Cisco 2960 Switch var. Hayatımda hiç switch konfigürasyonu yapmadım. Firewall konusunda kendi yazılımında bişeyler kurcaladım. Şemada da göreceğiniz üzere Firewall'da 4 adet interface tanımlı. Bunlar: Mobicom VPN, NDC WAN, AMR Server ve Swicth (yani switche bağlı üç adet bilgisayar). firewall konfigürasyonuna göre AMR server internete çıkabiliyor, ve uzaktan erişime 3389 portu ile izin verilebiliyor. Statik bir IP tanımlı. Aynı zamanda MobicomVPN ile bağlantı kurabiliyor. Aynı şekilde Switch'e bağlı bilgisayarlar da internete çıkabiliyorlar ve MobicomVPN'e bağlanabiliyorlar. Fakar bu bilgisayarların AMR server ile bağlantılarını yapamadım. Switch tarafında bişeyleri ayarlamam gerektiğini düşünüyorum. Ama beceremedim. Konsoldan switch'e bağlanmayı başardım.
    Mevcut konfigürasyonda, switch'e bağlı bilgisayarlar 192.168.3.X iplerini alıyorlar.
    AMR Server 192.168.6.2 iç IP'sine sahip.
    MobicomVPN 192.186.5.X uzayında. Aynı zamanda bu VPN'in içine route edilmiş birden çok saha cihazı var (GPRS Modem) Her cihazın 10.85.0.X'li IP'si var. Bunlara erişimde AMR server ve Switch'e bağlı bilgisayarlarda bir sorun yok. Aynı zamanda bu cihazlar belli bir port aracılığı ile AMR Server'a bilgi gönderiyorlar. Bunda da bir problem yok.

    Kendi laptop'um ile switch'in portlarından birine bağlandım ve bana otomatik olarak 192.168.3.102 IP'sini verdi. Bu şekilde diğer bağlı bilgisayarları pingleyemedim.

    Konsoldan show running-config yazdığımda aşağıdakiler geliyor. Sanıyorum ki hiç bir konfigürasyon yapılmamış.


    Kod:
    Current configuration : 1266 bytes
    !
    version 12.2
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Switch
    !
    boot-start-marker
    boot-end-marker
    !
    !
    no aaa new-model
    system mtu routing 1500
    ip subnet-zero
    !
    !
    !
    !
    !
    !
    !
    !
    !
    spanning-tree mode pvst
    spanning-tree extend system-id
    !
    vlan internal allocation policy ascending
    !
    !
    !
    interface FastEthernet0/1
    !
    interface FastEthernet0/2
    !
    interface FastEthernet0/3
    !
    interface FastEthernet0/4
    !
    interface FastEthernet0/5
    !
    interface FastEthernet0/6
    !
    interface FastEthernet0/7
    !
    interface FastEthernet0/8
    !
    interface FastEthernet0/9
    !
    interface FastEthernet0/10
    !
    interface FastEthernet0/11
    !
    interface FastEthernet0/12
    !
    interface FastEthernet0/13
    !
    interface FastEthernet0/14
    !
    interface FastEthernet0/15
    !
    interface FastEthernet0/16
    !
    interface FastEthernet0/17
    !
    interface FastEthernet0/18
    !
    interface FastEthernet0/19
    !
    interface FastEthernet0/20
    !
    interface FastEthernet0/21
    !
    interface FastEthernet0/22
    !
    interface FastEthernet0/23
    !
    interface FastEthernet0/24
    !
    interface GigabitEthernet0/1
    !
    interface GigabitEthernet0/2
    !
    interface Vlan1
     ip address dhcp
     no ip route-cache
    !
    ip http server
    ip http secure-server
    !
    control-plane
    !
    !
    line con 0
    line vty 5 15
    !
    end
    Benim istediğim şeye gelince: Switch'e bağlı bilgisayarların birbirleriyle haberleşmesinin önemi yok ama mutlaka bu bilgisayarların AMR Server ile haberleşebilimesi gerekiyor.

    Bu konuda bana yardımcı olacak kişi ya da kişilere çok uzaklardan dua edeceğim. Çok çok edeceğim hem de

    Şimdiden teşekkürler....

    Cihan

  2. #2
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Değerli arkadaşlardan birisi - trunkmode - böyle bir öneride bulunmuş. Öncelikle kendisine cevap verdiği için teşekkür ederim.

    Merhaba,öncelikle uzakta olan size sevgiler selamlar.
    Anlaşılan ortamda bir dhcp server var siz switchporta taktığınızda vlan 1'e dahil olup 192.168.3.0 bloğundan
    ip adresi alıyorsunuz fakat bağlanmak istediğiniz AMR Server 192.168.6.0 bloğunda bu durumda Ip Routing yapmalısınız
    fakat bunu switchden yapamazsınız Layer 2 switch olduğu için . Bu durumda ASA'dan yapmanız gerekli sanırım ASA' yada erişiminiz
    var biraz dikkatle incelerseniz yapabileceğinizi sanıyorum. Kolay gelsin.

    Bunları denedim ama başarı sağlayamadım. Vlan 1'e dahil olup otomatik olarak 192.168.3.0 bloğundan ip alan bilgisayarlar neden birbirilerini göremiyor onu da anlamış değilim. Gerçi ana problem bu değil ama bu ip bloğunun 192.168.6.0 bloğu ile haberleşmesi için firewall'dan yaptığım ip routingler işe yaramıyor. Diğer interface'lerin birbirleriyle olan haberleşmerinde bir problem yok. Onları da ben konfigüre ettim ama bunda sorun çıkıyor. Lütfen yardımcı olun. Gerçekten çok az zamanım kaldı. Bunu bir an önce çözmem gerekiyor. server ile swithe bağlı bilgisayarların birbirleriyle haberleşmesi çok önemli. Çünkü adamlar olan biten herşeyi o bilgisayarlardan görecekler. Bu arada NAT ayarlarında da bir problem yok.

    Yardımlarınız için şimdiden teşekkürler.

    Herkese iyi çalışmalar.

    Cihan.

  3. #3
    hudaikoyuncu isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jan 2011
    Mesajlar
    39

    Standart

    Merhaba,

    Sanıyorum AMR-server ile switche bağlı PClerin haberleşememesinin sebebi security-level konusu ile ilgiliı. AMR-Serverin bağlı bulunduğu portun security-level değeri sanırsam switch uplinkinin bağlı bulunduğu portun security-levelından yüksek. Bu nedenle switchinize bağlı PCler AMR'e servera ulaşamıyordur. "Traffic from a lower to a higher security level is denied, by default, unless you explicitly permit it by configuring access control lists (ACLs)" ifadesinden de anlaşılacağı üzere erişime izin vermeye yönelik bir ACL yazarsanız sorunu çözebilirsiniz.

  4. #4
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı hudaikoyuncu Nickli Üyeden Alıntı Mesajı göster
    Merhaba,

    Sanıyorum AMR-server ile switche bağlı PClerin haberleşememesinin sebebi security-level konusu ile ilgiliı. AMR-Serverin bağlı bulunduğu portun security-level değeri sanırsam switch uplinkinin bağlı bulunduğu portun security-levelından yüksek. Bu nedenle switchinize bağlı PCler AMR'e servera ulaşamıyordur. "Traffic from a lower to a higher security level is denied, by default, unless you explicitly permit it by configuring access control lists (ACLs)" ifadesinden de anlaşılacağı üzere erişime izin vermeye yönelik bir ACL yazarsanız sorunu çözebilirsiniz.
    Security Level'lar aynı ve 0, onları değiştirmeyi de denedim. NAT ayarları da yapılmış durumda. ACL kısmını nerden yapacağımı bilmiyorum. Firewall'a ASDM üzerinden ulaşıyorum. Comman line interface de kullanabilirim. bu konuda bilgi verirseniz sevinirim. Ayrıca aynı level'daki interface'lerin haberleşmesine de izin verilecek şekilde konfigürasyonu yapmış durumdayım...

  5. #5
    hudaikoyuncu isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jan 2011
    Mesajlar
    39

    Standart

    Merhaba,

    Aynı levellera sahip interfacelerin haberleşmesini konfigure etmişsiniz. Bir daha deneyelim:

    Command line'da konfigurasyon moduna girerek

    same-security-traffic permit inter-interface

    komutunu çalıştırın. Bildiğime göre, bu komut sonrasında aksi bir ACL olmadığı sürece aynı security-level a sahip interfaceler birbiri ile haberleşebilir. Tekrar deneyin, haberleşmiyor ise büyük bir ihtimalle iki interface arasında erişimi engelleyici bir ACL vardır diye tahmin ediyorum.

    Çıkmak üzereyim. Hemen geri dönüş yaparsanız sevinirim.

  6. #6
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı hudaikoyuncu Nickli Üyeden Alıntı Mesajı göster
    Merhaba,

    Aynı levellera sahip interfacelerin haberleşmesini konfigure etmişsiniz. Bir daha deneyelim:

    Command line'da konfigurasyon moduna girerek

    same-security-traffic permit inter-interface

    komutunu çalıştırın. Bildiğime göre, bu komut sonrasında aksi bir ACL olmadığı sürece aynı security-level a sahip interfaceler birbiri ile haberleşebilir. Tekrar deneyin, haberleşmiyor ise büyük bir ihtimalle iki interface arasında erişimi engelleyici bir ACL vardır diye tahmin ediyorum.

    Çıkmak üzereyim. Hemen geri dönüş yaparsanız sevinirim.


    Dediğinizi yaptım ve son konfigürasyonu gönderiyorum. Değişen birşey olmadı maalesef.


    Kod:
    Result of the command: "show run"
    
    
    
    : Saved
    :
    ASA Version 7.0(8) 
    !
    hostname *********
    domain-name default.domain.invalid
    enable password ************* encrypted
    passwd ************ encrypted
    names
    dns-guard
    !
    interface GigabitEthernet0/0
     nameif Static_IP_Internet
     security-level 0
     ip address (xxx.xxx.xxx.xxx) 255.255.255.240 
    !
    interface GigabitEthernet0/1
     nameif MobicomVPN
     security-level 0
     ip address 192.168.5.2 255.255.255.0 
    !
    interface GigabitEthernet0/2
     nameif AMRServer
     security-level 0
     ip address 192.168.6.1 255.255.255.0 
    !
    interface GigabitEthernet0/3
     nameif AMRWorkstations
     security-level 0
     ip address 192.168.3.1 255.255.255.0 
    !
    interface Management0/0
     nameif management
     security-level 100
     ip address 192.168.0.1 255.255.255.0 
     management-only
    !
    ftp mode passive
    dns domain-lookup Static_IP_Internet
    dns name-server (xxx.xxx.xxx.xxx)
    dns name-server (xxx.xxx.xxx.xxx)
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface
    pager lines 24
    logging enable
    logging asdm informational
    mtu Static_IP_Internet 1500
    mtu MobicomVPN 1500
    mtu AMRServer 1500
    mtu AMRWorkstations 1500
    mtu management 1500
    no failover
    monitor-interface Static_IP_Internet
    monitor-interface MobicomVPN
    monitor-interface AMRServer
    monitor-interface AMRWorkstations
    monitor-interface management
    asdm image disk0:/asdm-508.bin
    no asdm history enable
    arp timeout 14400
    global (Static_IP_Internet) 1 interface
    global (MobicomVPN) 1 interface
    global (AMRServer) 1 interface
    global (AMRWorkstations) 1 interface
    nat (MobicomVPN) 1 192.168.5.0 255.255.255.0
    nat (AMRServer) 1 192.168.6.2 255.255.255.255
    nat (AMRWorkstations) 1 192.168.3.0 255.255.255.0
    nat (management) 0 0.0.0.0 0.0.0.0
    static (AMRServer,Static_IP_Internet) tcp interface 3389 192.168.6.2 3389 netmask 255.255.255.255 
    static (AMRServer,MobicomVPN) tcp interface 32010 192.168.6.2 32010 netmask 255.255.255.255 
    route Static_IP_Internet 0.0.0.0 0.0.0.0 180.149.64.225 1
    route MobicomVPN 10.85.0.0 255.255.248.0 192.168.5.1 1
    route MobicomVPN 10.2.31.0 255.255.255.0 192.168.5.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
    timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout uauth 0:05:00 absolute
    username mobicom password agLtpPA7lfnhLIv5 encrypted privilege 15
    http server enable
    http 0.0.0.0 0.0.0.0 Static_IP_Internet
    http 0.0.0.0 0.0.0.0 MobicomVPN
    http 0.0.0.0 0.0.0.0 AMRServer
    http 0.0.0.0 0.0.0.0 AMRWorkstations
    http 192.168.1.0 255.255.255.0 management
    http 192.168.0.0 255.255.255.0 management
    http 0.0.0.0 0.0.0.0 management
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    isakmp enable MobicomVPN
    isakmp policy 10 authentication pre-share
    isakmp policy 10 encryption des
    isakmp policy 10 hash md5
    isakmp policy 10 group 1
    isakmp policy 10 lifetime 28800
    telnet 0.0.0.0 0.0.0.0 MobicomVPN
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    dhcpd address 192.168.3.100-192.168.3.199 AMRWorkstations
    dhcpd dns (xxx.xxx.xxx.xxx)(xxx.xxx.xxx.xxx)
    dhcpd lease 3600
    dhcpd ping_timeout 50
    dhcpd enable AMRWorkstations
    !
    class-map inspection_default
     match default-inspection-traffic
    !
    !
    policy-map global_policy
     class inspection_default
      inspect dns maximum-length 512 
      inspect ftp 
      inspect h323 h225 
      inspect h323 ras 
      inspect rsh 
      inspect rtsp 
      inspect esmtp 
      inspect sqlnet 
      inspect skinny 
      inspect sunrpc 
      inspect xdmcp 
      inspect sip 
      inspect netbios 
      inspect tftp 
    !
    service-policy global_policy global
    Cryptochecksum:71cdc7ad50006710ee8d5d44348e0f1f
    : end

  7. #7
    hudaikoyuncu isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jan 2011
    Mesajlar
    39

    Standart

    show route komut çıktısını gönderir misiniz?

  8. #8
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı hudaikoyuncu Nickli Üyeden Alıntı Mesajı göster
    show route komut çıktısını gönderir misiniz?
    xxx şeklide olan yerler statik IP adresidir. Güvenlik için göstermek istemedim...


    Kod:
    Result of the command: "show route"
    
    
    S    0.0.0.0 0.0.0.0 [1/0] via (xxx.xxx.xxx.xxx), Static_IP_Internet 
    S    10.2.31.0 255.255.255.0 [1/0] via 192.168.5.1, MobicomVPN 
    S    10.85.0.0 255.255.248.0 [1/0] via 192.168.5.1, MobicomVPN 
    C    (xxx.xxx.xxx.xxx) 255.255.255.240 is directly connected, Static_IP_Internet
    C    192.168.3.0 255.255.255.0 is directly connected, AMRWorkstations
    C    192.168.5.0 255.255.255.0 is directly connected, MobicomVPN
    C    192.168.6.0 255.255.255.0 is directly connected, AMRServer

  9. #9
    hudaikoyuncu isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Jan 2011
    Mesajlar
    39

    Standart

    show access-list komutunu çalıştırın. komut çıktısını bir yere kopyalayın. PCden AMRServer'a 3-4 kez ulaşmayı deneyin. (Ping, http vs. hangi porttan hizmet veriyorsa ona göre bir erişim isteği yaratın.) Daha sonra show access-list komutunu tekrar çalıştırın. İlki ve sonraki komut çıktılarında hitcnt sayısının değiştiği bir deny tipi ACL varsa sorunu o ACL yaratıyordur.

    Bekliyorum.

  10. #10
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı hudaikoyuncu Nickli Üyeden Alıntı Mesajı göster
    show access-list komutunu çalıştırın. komut çıktısını bir yere kopyalayın. PCden AMRServer'a 3-4 kez ulaşmayı deneyin. (Ping, http vs. hangi porttan hizmet veriyorsa ona göre bir erişim isteği yaratın.) Daha sonra show access-list komutunu tekrar çalıştırın. İlki ve sonraki komut çıktılarında hitcnt sayısının değiştiği bir deny tipi ACL varsa sorunu o ACL yaratıyordur.

    Bekliyorum.
    sadece Server'a uzaktan bağlanabiliyorum. Bugün cumartesi olduğu için deneme şansım yok maalesef diğer bilgisayardan. Ama Server'dan o cihaza ping atmak istediğimde ise "No translation group found for icmp src AMRServer: 192.68.6.2 dst AMRWorkstations: 192.168.3.2 (type 8, code 0)" hatası alıyorum ASDM üzerindeki loglarda.
    Show access-list komutu için de önceki ve sonraki çıktılar arasında hiç bir fark yok, yani serverdan diğer bilgisayara ulaşmaya çalıştım. aşağıda onları da gönderiyorum.


    -----------------------------------------------------------------------------------
    Result of the command: "show access-list"

    access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
    alert-interval 300
    ---------------------------------------------------------------------------------------

    Result of the command: "show access-list"

    access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
    alert-interval 300
    ----------------------------------------------------------------------------------------

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok