Форум NetworkDoc.Ru - Просмотр темы - Настройка Cisco PIX 515E

FAQ
OpenID
Вход | Регистрация

Имя пользователя:

Пароль:

Автоматически входить при каждом посещении

Регистрация

./ucp.php?mode=register Забыли пароль?

Сообщений: 11 • Страница 1 из 2 • 1, 2

sam_dim Профиль: Новый участник; Сообщения: 9; Зарегистрирован: 08 фев 2006, 19:59

sam_dim » 08 фев 2006, 20:04

Добрый день!

Есть Cisco PIX 515E R-DMZ (3FE), надо настроить ее с нуля.
В DMZ пока будет только почтовый сервер.
Опыта работы с Cisco раньше не было.

Подскажите пожалуйста какую-нибудь литературу (или ссылки) по пошаговой настройке, а то на www.cisco.com слишком много всего.

В принципе многое понятно, но что-то не выходит настроить NAT, не пойму что ей надо.

Спасибо.

Вернуться к началу

PavelKHTW Профиль: Активный пользователь; Сообщения: 716; Зарегистрирован: 13 апр 2004, 17:38

PavelKHTW » 08 фев 2006, 21:33

Цитата (sam_dim @ 8.02.2006 - 19:04)

Вернуться к началу

sam_dim Профиль: Новый участник; Сообщения: 9; Зарегистрирован: 08 фев 2006, 19:59

sam_dim » 09 фев 2006, 19:52

Цитата (PavelKHTW @ 8.02.2006 - 20:33)

Выкачай документацию на свою 515E - в ней все разжевано и с картинками

[/quote]

Я так делал, обратился, т.к. не помогло.

Если не сложно, объясните связку команд nat и global... точнее вот что:
для простоты пусть интерфейса 2 - inside и outside, надо чтобы пользователи внутр. сети ходили наружу, также, чтобы можно было изнутри пинговать машины в наружней сетке.

Есть команды:
global (outside) 1 interface
nat (inside) 1 0 0

т.е. весь трафик с внутреннего интерфейса бросается (натится) на внешний интерфейс. я правильно понимаю? нужны ли еще какие-либо команды? Нужно ли для того, чтобы все заработало дополнительно указать списки доступа (access-list)?

Спасибо.

Вернуться к началу

biruk Профиль: Активный пользователь; Сообщения: 1134; Зарегистрирован: 19 июл 2004, 11:30; Откуда: Москва

biruk » 13 фев 2006, 17:26

не правильно.
команда nat делает динамический список доступа, а для сервера в dmz нужна статика.

допустим:

Код

ip address outside 23.0.0.1 255.255.255.0
ip address DMZ 192.168.1.1
ip address inside 172.16.1.1

[/code]

сервер ствавишь в dmz с локальным ip 192.168.1.2 и хочешь чтобы снаружи его видели как 23.0.0.2

Код

static (DMZ,outside) 23.0.0.2 192.168.1.2 netmask 255.255.255.255 0 50

[/code]

а чтоб народ из локалки выходил в инет:

Код

global (outside) 1 interface
nat (inside) 1 172.16.1.0 255.255.255.0 0 0

[/code]

а если у тебя в локалке много сетей из диапазона 172.16-31.0.0 то тогда

Код

nat (inside) 1 172.16.0.0 255.240.0.0 0 0

[/code]

Trust me - i know what i’m doing © Sledge Hummer

Вернуться к началу

PavelKHTW Профиль: Активный пользователь; Сообщения: 716; Зарегистрирован: 13 апр 2004, 17:38

PavelKHTW » 13 фев 2006, 19:37

Цитата (sam_dim @ 9.02.2006 - 18:52)

Цитата (PavelKHTW @ 8.02.2006 - 20:33)

Выкачай документацию на свою 515E - в ней все разжевано и с картинками

[/quote]

Я так делал, обратился, т.к. не помогло.

[/quote]

Для тех кто в консольных командах не силен, есть еще и веб интерфейс - он на яве - клацайте и все поймете.

Вернуться к началу

biruk Профиль: Активный пользователь; Сообщения: 1134; Зарегистрирован: 19 июл 2004, 11:30; Откуда: Москва

biruk » 14 фев 2006, 19:10

Цитата

есть еще и веб интерфейс - он на яве - клацайте и все поймете.
[/quote]

чего-то я с ним не подружился

надысь босс надыбал где-то (а может купил) цисковскую прогу, которая красиво рисует сеть, но при этом работает по http

ну висит она на его машие, а я слечайно залез на коммутатор и вот:

Код

backbone>sh proc cpu sort
CPU utilization for five seconds: 26%/0%; one minute: 47%; five minutes: 49%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
158 83682796 25057934 3339 9.49% 20.62% 21.45% 0 HTTP CORE
139 11628084 63456692 183 0.46% 0.34% 0.33% 0 IP Input
128 17 22 772 0.31% 0.02% 0.00% 1 Virtual Exec
4 8890295 965647 9206 0.31% 0.13% 0.11% 0 Check heaps
110 19513736 13013929 1499 0.31% 0.16% 0.16% 0 HRPC qos request
39 1144940 434715025 2 0.15% 0.07% 0.07% 0 Fifo Error Detec
142 16256858 163943572 99 0.15% 0.17% 0.16% 0 Spanning Tree
134 3626728 9016439 402 0.15% 0.02% 0.00% 0 CDP Protocol
154 265902 2859842 92 0.15% 0.01% 0.00% 0 Cluster Base

[/code]

т.е. этот гребанный http жрет проц нипадецки!

Trust me - i know what i’m doing © Sledge Hummer

Вернуться к началу

PavelKHTW Профиль: Активный пользователь; Сообщения: 716; Зарегистрирован: 13 апр 2004, 17:38

PavelKHTW » 14 фев 2006, 22:55

Цитата (biruk @ 14.02.2006 - 18:10)

т.е. этот гребанный http жрет проц нипадецки!
[/quote]

Ну так чем чаще на него ходить, тем больше нагружен

А как прога называется? Может и я себе куплю

Вернуться к началу

Harry33 Профиль Сайт ICQ: Он здесь живет; Сообщения: 2394; Зарегистрирован: 19 дек 2003, 20:43; Откуда: Москва

Harry33 » 15 фев 2006, 13:09

Знания, которые нельзя применить - бесполезны

Вернуться к началу

PavelKHTW Профиль: Активный пользователь; Сообщения: 716; Зарегистрирован: 13 апр 2004, 17:38

PavelKHTW » 15 фев 2006, 13:33

Цитата (Harry33 @ 15.02.2006 - 12:09)

PavelKHTW
Если я правильно понял biruk то прога рисует связи между коммутаторами, покупать ее не надо она на халяву раздается циской, зовут сей чудо софт
Cisco Network Assistant
[/quote]

Эта у меня есть начиная с 1-й версии, но в ней есть ограничение на кол-во сетевых устройств - и мне она частично подходит, но поддержку PIX там я не видел.
Так что скорее всего не та.

Вернуться к началу

biruk Профиль: Активный пользователь; Сообщения: 1134; Зарегистрирован: 19 июл 2004, 11:30; Откуда: Москва

biruk » 15 фев 2006, 14:03

точно! Cisco Network Assistant
сейчас сунулся скачивать - просит логин cco.
Ну ладно, ввел - грит что уй нужно 4 часа для проверки. Вот уроды!

Вернуться к началу

Ответить

Сообщений: 11 • Страница 1 из 2 • 1, 2

Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)

Перейти:

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

Просмотр темы - Настройка Cisco PIX 515E

В помощь ИТ специалисту

Настройка Cisco PIX 515E

Кто сейчас на конференции