Comments 66
поднять RIP?
Пока не выветрилась вся водка выпитая за день связиста, предположу на вскидку.
Нужно в настройках обоих интерфейсов на ASA прописать: ip proxy-arp.
Нужно в настройках обоих интерфейсов на ASA прописать: ip proxy-arp.
CDP выключен? по умолчанию включен… :D
CDP / ODR…
CDP / ODR…
тобишь «router odr»
да, ODR — это выход, но разве это не dynamic routing?
да я больше забавляюсь :P
хотя CDP-то как раз по умолчанию включен…
хотя CDP-то как раз по умолчанию включен…
На ASAх, о которых изначально в задаче шла речь, CDP нет вовсе.
Кстати, если уж зашла речь: как без помощи ODR, т.к. это хоть и куцый, но протокол маршрутизации, а только используя CDP собирались связность организовать?
Кстати, если уж зашла речь: как без помощи ODR, т.к. это хоть и куцый, но протокол маршрутизации, а только используя CDP собирались связность организовать?
я не вижу в описании ASA :) кроме как посередине.
а ODR — сложно его все же динамикой назвать :) поделие… EIGRP впрочем хорош.
а так — ну например можно static NAT включить на подсетки :P
p.s. говорю же, развлекаюсь :)
а ODR — сложно его все же динамикой назвать :) поделие… EIGRP впрочем хорош.
а так — ну например можно static NAT включить на подсетки :P
p.s. говорю же, развлекаюсь :)
А что даст включение CDP, если посередине — АСА, которая про него ни сном ни духом? Даже если попробовать ODR — тоже нифигане выйдет
А статик нат на подсети… Можно. ПРедоставьте конфиг — вам это просто :) ВОт и обсудим:) Там есть несколько увесистых подводных камней :)
А статик нат на подсети… Можно. ПРедоставьте конфиг — вам это просто :) ВОт и обсудим:) Там есть несколько увесистых подводных камней :)
ASA вполне может быть вообще-то прозрачным фильтром, и CDP спокойненько через себя пропускать :P
а конфиги под циску — боюсь это мне скучно, последний раз когда было РЕАЛЬНО весело — когда упал на шеститоннике ACE модуль и не мог встать из-за того что трафик сразу валить начинал под 2 гигабита :) конфиг пришлось сносить и кусочками поднимать обратно.
перешли на F5 Viprion — после чего спим спокойно, и не проклинаем Cisco больше — просто вернули им обратно железа на сотни килодолларов :P
p.s. а что в вашем понимании «камни»? вышеописанный вариант со static будет прекрасно работать — или камень это то что не надо забывать про snat/dnat? :)
а конфиги под циску — боюсь это мне скучно, последний раз когда было РЕАЛЬНО весело — когда упал на шеститоннике ACE модуль и не мог встать из-за того что трафик сразу валить начинал под 2 гигабита :) конфиг пришлось сносить и кусочками поднимать обратно.
перешли на F5 Viprion — после чего спим спокойно, и не проклинаем Cisco больше — просто вернули им обратно железа на сотни килодолларов :P
p.s. а что в вашем понимании «камни»? вышеописанный вариант со static будет прекрасно работать — или камень это то что не надо забывать про snat/dnat? :)
Я тоже развлекаюсь :)
Про то, что АСУ можно в транспарент загнать я и сам как то не подумал :)
ПРавда и здесь CDP не поможет — железяки в разных подсетях. Не захотят ходить друг к другу.
ЗЫ Ещё одно слово, о котором надо внимательно подумать — f5. Есть чего почитать/ознакомиться/пощупать?
Про то, что АСУ можно в транспарент загнать я и сам как то не подумал :)
ПРавда и здесь CDP не поможет — железяки в разных подсетях. Не захотят ходить друг к другу.
ЗЫ Ещё одно слово, о котором надо внимательно подумать — f5. Есть чего почитать/ознакомиться/пощупать?
F5 :))))
есть, учитывая что я собственно их в Россию и притащил в бОльшой степени :)
на rootconf я легкую презентацию делал собснно…
скоро парочку Viprion в России впервые будут закуплены.
а так — лучшее место для общения это https://devcentral.f5.com/
Регистрация free.
Если нужна реальная демонстрация чего-то, можно сделать доступ в F5 labs.
Ну и в общем-то сейчас решаем вопрос доступности железок в Мск в лаборатории.
Кстати, F10 тоже ОЧЕНЬ рекомендую присмотреться…
www.force10networks.com
есть, учитывая что я собственно их в Россию и притащил в бОльшой степени :)
на rootconf я легкую презентацию делал собснно…
скоро парочку Viprion в России впервые будут закуплены.
а так — лучшее место для общения это https://devcentral.f5.com/
Регистрация free.
Если нужна реальная демонстрация чего-то, можно сделать доступ в F5 labs.
Ну и в общем-то сейчас решаем вопрос доступности железок в Мск в лаборатории.
Кстати, F10 тоже ОЧЕНЬ рекомендую присмотреться…
www.force10networks.com
Дай доступ. Будем расширять кругозор, а то в узколобии обвиняют, очки пририсовывают :)
А чем Ф5 — прорыв? Козыри какие?
А чем Ф5 — прорыв? Козыри какие?
Ты пока на девцентрале потуси лучше, почитай.
F5 сравнивать с Cisco — как мерседес с жигулями.
ЦИскины L7 решения и рядом не валялись, по фичесету и производительности.
Скажем так, аналогов тому же Viprion просто в мире не существует — решение построенное на blade технологии, до 40 гигабит L7 трафика балансировка и фильтрация…
Цискино решение GSS — угребище полное, они в итоге за несколько лет так баги и не поправили в результате чего мы ушли на F5 GTM. На котором сидят facebook, юзают в гугле и тд и тп ;)
Но это надо погрузиться в тему глубоко :)
Намекну, что в России спецы по F5 big-ip будут скоро в цене неслабой…
На рынке app delivery циско вообще аутсайдер полный.
F5, Citrix NetScaler, Крещендо в определенной мере… Ну и где-то там cisco плетется ;)
F5 сравнивать с Cisco — как мерседес с жигулями.
ЦИскины L7 решения и рядом не валялись, по фичесету и производительности.
Скажем так, аналогов тому же Viprion просто в мире не существует — решение построенное на blade технологии, до 40 гигабит L7 трафика балансировка и фильтрация…
Цискино решение GSS — угребище полное, они в итоге за несколько лет так баги и не поправили в результате чего мы ушли на F5 GTM. На котором сидят facebook, юзают в гугле и тд и тп ;)
Но это надо погрузиться в тему глубоко :)
Намекну, что в России спецы по F5 big-ip будут скоро в цене неслабой…
На рынке app delivery циско вообще аутсайдер полный.
F5, Citrix NetScaler, Крещендо в определенной мере… Ну и где-то там cisco плетется ;)
Доступ не жалко, но он просто time eval. — тобишь когда конкретно захочется пощупать, сделаем на пару недель.
Это он самый и есть.
надломил мозг
т.е. в конфиге нет ничего кроме указанных строк, значит надо что-то сделать в exec?
а что можно в exec? — show, clear, ping, trace, debug, (другое не относящееся к задаче), все остальное специфично от версии IOS
т.е. в конфиге нет ничего кроме указанных строк, значит надо что-то сделать в exec?
а что можно в exec? — show, clear, ping, trace, debug, (другое не относящееся к задаче), все остальное специфично от версии IOS
Нет, это значит «что то» надо сделать на ASA (ну или если вместо нее там поставить рутер).
подождите, если в условии задачи требуется не трогать роутеры 10.X.X.1, то на них один маршрут
без использования cdp/irp пакеты дропнуться, т.е. должен быть какойто левый сервис который работает на центральном маршрутизаторе и обрабатывается роутерами по сторонам
кстати, в условии задачи не задан L2
C 10.X.X.0/24 is directly connected, SomeInterface0
без использования cdp/irp пакеты дропнуться, т.е. должен быть какойто левый сервис который работает на центральном маршрутизаторе и обрабатывается роутерами по сторонам
кстати, в условии задачи не задан L2
езернет. Да, это важно. Обычно прямыми линиями на цискиных диаграммах именно он обозначается.
Ничего больше использовать не надо. Ни CDP, ни IRP. Но мыслите верно :)
Ничего больше использовать не надо. Ни CDP, ни IRP. Но мыслите верно :)
значит бродкаст ;)
dhcp, tftp отпадает.
блин, интересно
блин, интересно
каким тогда спрашивается образом, можно добавить из-вне строку в таблицу маршрутизации любой ОС? Но так как BOOTP/DHCP/CDP/IRP отпадает — ИМХО это не реально.
Ну или какой-нибудь хитрый и «левый» сервис типа «special-service-for-inject-routes» который нужно устанавливать отдельно.
Короче мозг сломан окончательно.
Ну или какой-нибудь хитрый и «левый» сервис типа «special-service-for-inject-routes» который нужно устанавливать отдельно.
Короче мозг сломан окончательно.
играет ли роль, если по бокам будет обычный linux?
А на АСА маршрутизация между интерфейсами включена?
Хотя больше интересно, что будет делать станция, если ей надо обратиться к машинке в lругой сети, а адреса дефолтового роутера нет.
Собственно куда слать ARP?
Собственно куда слать ARP?
NAT(не знаю как цисководы это называют), точнее SNAT на обоих интерфейсах?
Попробуйте логически (без команд, если не известны) написать алгоритм, что и как надо настроить.
Здравый смысл говорит, что на хостах подключенных к этой циске, она все-таки стоит шлюзом по-умолчанию.
Далее варианта два:
1) Сказать циске, что это одна сеть, поменять маску на меньшую и объединить два интерфейса. Но по условию задачи, маску я так понял менять нельзя.
2) На циске, статически транслировать адреса из одной сети в адреса другой сети. Но это тоже не пройдет по условию задачи.
3) Транслировать адреса динамически, т.е. S-NAT. Пакеты пришедшие из другой сети, хосты будут видеть как пакеты от циски.
Далее варианта два:
1) Сказать циске, что это одна сеть, поменять маску на меньшую и объединить два интерфейса. Но по условию задачи, маску я так понял менять нельзя.
2) На циске, статически транслировать адреса из одной сети в адреса другой сети. Но это тоже не пройдет по условию задачи.
3) Транслировать адреса динамически, т.е. S-NAT. Пакеты пришедшие из другой сети, хосты будут видеть как пакеты от циски.
нат0 на асе? не?
Скажите, а можно ли послать хитрый arp пакет с асы на машинку(циску), типа МАК_АСЫ=ИП_ЦИСКИ_В_ДРУГОЙ_СЕТИ?
Типо легального arp спуфинга)
Типо легального arp спуфинга)
даже если это и реально, то нужно рассылать по каждому адресу (матрица 254*254) такие сообщения по крону?
Коллеги, вы уходите в сторону. Поэтому малость подскажу:
надо, чтобы крайние циски увидели друг друга. Т.е. если сидя на одной вам удалось попасть по телнету например, на другую, то вы победили.
Для этого ДОСТАТОЧНО настроить ТОЛЬКО ASA. (Ну или если вам приятнее вместо неё видеть рутер — пусть будет)
Мало того: тут спрашивали, можно ли вместо крайних ретов поставить линукс/виндовз. Можно, НО тогда у этих хостов НЕ ДОЛЖНО быть дефолтного шлюза (как у цисок нет дефолтного маршрута)
надо, чтобы крайние циски увидели друг друга. Т.е. если сидя на одной вам удалось попасть по телнету например, на другую, то вы победили.
Для этого ДОСТАТОЧНО настроить ТОЛЬКО ASA. (Ну или если вам приятнее вместо неё видеть рутер — пусть будет)
Мало того: тут спрашивали, можно ли вместо крайних ретов поставить линукс/виндовз. Можно, НО тогда у этих хостов НЕ ДОЛЖНО быть дефолтного шлюза (как у цисок нет дефолтного маршрута)
Мы пришли к выводу, что если дефолтового шлюза не будет на крайних машинах, они не смогут отправить пакет в другую подсеть, те просто дропнут его.
Соответственно решения нет, как мне кажется.
Я рассматривал задачу именно попадания на другую машинку путем подключения по ip другой машинки.
Или может быть так, что настроен какой-нибудь нат 1 в 1. И тогда например когда я попробую подключится к 10.у.у.2 с 10.у.у.1, то аса затранслирует 10.у.у.2 в 10.х.х.1 и по факту я попаду на машину по телнету, правда по другому адресу, который будет натится.
Соответственно наверно можно настроить подобный нат 10.у.у.2 в 10.х.х.1 и 10.у.у.1 в 10.х.х.2.
Тогда при запросе на 2 ипшник своей подсети с любой из машин, мы получим от циски асы арп ответ, что это она с таким маком. Потом она просто натит без оверфлова.
Такое возможно?
Соответственно решения нет, как мне кажется.
Я рассматривал задачу именно попадания на другую машинку путем подключения по ip другой машинки.
Или может быть так, что настроен какой-нибудь нат 1 в 1. И тогда например когда я попробую подключится к 10.у.у.2 с 10.у.у.1, то аса затранслирует 10.у.у.2 в 10.х.х.1 и по факту я попаду на машину по телнету, правда по другому адресу, который будет натится.
Соответственно наверно можно настроить подобный нат 10.у.у.2 в 10.х.х.1 и 10.у.у.1 в 10.х.х.2.
Тогда при запросе на 2 ипшник своей подсети с любой из машин, мы получим от циски асы арп ответ, что это она с таким маком. Потом она просто натит без оверфлова.
Такое возможно?
Ну конечно!
Ведь нигде не сказано, что надо попасть по родному адресу :)
Это одна из любимых наколок в лабах CCIE Security :) Понятно, что эта задачка много проще, но хитрость именно в этом :)
Опишите, как настроить АСУ или рутер. Потом расскажу, откуда эта задачка родилась :)
Ведь нигде не сказано, что надо попасть по родному адресу :)
Это одна из любимых наколок в лабах CCIE Security :) Понятно, что эта задачка много проще, но хитрость именно в этом :)
Опишите, как настроить АСУ или рутер. Потом расскажу, откуда эта задачка родилась :)
Мне проверять негде)
Но однозначно надо сначала настроить binat)
При экспериментах с Packet Tracer он не ответил на arp запрос, несмотря на то, что на нем было
ip nat inside source static 10.10.0.2 10.10.1.1
Ну я больше сказать ничего не могу, надо пробовать, вдруг какие баги вылезут. Я на циске нат не настраивал, потому что плохо они нат делают.
В общем лично мне надо попробовать, с ходу не скажу.
Может кто другой напишет
Но однозначно надо сначала настроить binat)
При экспериментах с Packet Tracer он не ответил на arp запрос, несмотря на то, что на нем было
ip nat inside source static 10.10.0.2 10.10.1.1
Ну я больше сказать ничего не могу, надо пробовать, вдруг какие баги вылезут. Я на циске нат не настраивал, потому что плохо они нат делают.
В общем лично мне надо попробовать, с ходу не скажу.
Может кто другой напишет
UFO just landed and posted this here
Вот. Это вторая половинка задачи. Если первая делается по большому счёту 2 командами и одним ACL на интерфейсе (ASA), а можно и вообще 2 командами обойтись, то вторая половинка — из разряда поразмышлять: как, когда возможно, а когда — нет.
Скажем так: относительно красивое решение есть, когда надо дать доступ из сети, у которой дефолтным шлюзом стоит НЕ ASA (или вообще нет шлюза) к хосту в другой сети.
Скажем так: относительно красивое решение есть, когда надо дать доступ из сети, у которой дефолтным шлюзом стоит НЕ ASA (или вообще нет шлюза) к хосту в другой сети.
задача очень глупа…
я разочарован
можно таким образом подключится при помощи консоли, которая подключена с одной стороны к Async порту центрального роутера и к консоли второго роутера, в задаче это не запрещалось. т.е. например
telnet ASA 2001
я разочарован
можно таким образом подключится при помощи консоли, которая подключена с одной стороны к Async порту центрального роутера и к консоли второго роутера, в задаче это не запрещалось. т.е. например
telnet ASA 2001
Других подключений нет, как видите на картинке.
Но перед тем, как возопить: «Боже, как глупа задача, как глуп составитель» напишите конфиг, где В ОБЕ СТОРОНЫ работает. А не только в одну. Вель дефолтных гейтвеев нет у обоих рутеров.
В этом и была ПРОСТАЯ задача, над которой в частности Вы бились несколько дней.
А условие поставлено корректно. То, что Вы в нем прочитали лишнее говорит о… ну, например, пририсовывании нимба мне :))
Не надо ругаться :) Если эта задача проста для Вас — прекрасно! Более сложная уже готова. А пока можете прочитать и попробовать без подсказки решить задачки с нашего форума «Задачки на сообразительность»
WBR, Сергей
Но перед тем, как возопить: «Боже, как глупа задача, как глуп составитель» напишите конфиг, где В ОБЕ СТОРОНЫ работает. А не только в одну. Вель дефолтных гейтвеев нет у обоих рутеров.
В этом и была ПРОСТАЯ задача, над которой в частности Вы бились несколько дней.
А условие поставлено корректно. То, что Вы в нем прочитали лишнее говорит о… ну, например, пририсовывании нимба мне :))
Не надо ругаться :) Если эта задача проста для Вас — прекрасно! Более сложная уже готова. А пока можете прочитать и попробовать без подсказки решить задачки с нашего форума «Задачки на сообразительность»
WBR, Сергей
честно говоря картинки так и не увидел (верней увидел только сейчас)
что я бы сделал на линуксе:
да нимб присутсвовал ;) — ожидал от Вас задачку более интригующую ;)
что я бы сделал на линуксе:
ip addr add 10.0.1.2/24 dev eth0
ip addr add 10.0.2.2/24 dev eth1
iptables -A PREROUTING -t nat -i eth0 -d 10.0.1.2 -j DNAT --to-destination 10.0.2.2
iptables -A PREROUTING -t nat -i eth1 -d 10.0.2.2 -j DNAT --to-destination 10.0.1.2
iptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 10.0.1.2
iptables -A POSTROUTING -t nat -o eth1 -j SNAT --to-source 10.0.2.2
да нимб присутсвовал ;) — ожидал от Вас задачку более интригующую ;)
а еще Вы мне напомнили задачу
«в прихожей 8 туфель, сколько играет детей в комнате?»
и непонятно, сколько одноногих детей играет, сколько детей прошло не разбувшись и сколько вообще туфель стояло до их прихода
PS: хотя я большой любитель сделать хитрый SNAT/DNAT
«в прихожей 8 туфель, сколько играет детей в комнате?»
и непонятно, сколько одноногих детей играет, сколько детей прошло не разбувшись и сколько вообще туфель стояло до их прихода
PS: хотя я большой любитель сделать хитрый SNAT/DNAT
UFO just landed and posted this here
Как я понял, задачку уже отгадали на сайте, где оригинал.
А можно еще какую-нибудь задачку на подобие? :)
А можно еще какую-нибудь задачку на подобие? :)
Там, где оригинал, можно размяться: есть простенькие с виду задачки. Там же и решения.
Новую задачку опубликую чуть позже. Она чуть сложнее. Пока же силы брошены на новую серию «Курса молодого бойца». Следите за анонсами :)
Новую задачку опубликую чуть позже. Она чуть сложнее. Пока же силы брошены на новую серию «Курса молодого бойца». Следите за анонсами :)
Sign up to leave a comment.
Простая задачка. Для тех, кому уже не интересно читать про консоль :)