Ciao,
sono nuovo del forum e colgo l'occasione dei saluti a tutti per presentare subito un quesito.
Ho configurato in precedenza un Cisco 827 per una adsl Smart 5 di Telecom, un singolo IP statico e nat abilitato.
Ora e' sorta l'esigenza di modificare la configurazione per gestire una subnet aggiuntiva di 8 ip senza nat.
Ho letto un po' di documentazione in giro per Internet ma ancora non mi sono chiari alcuni concetti:
- che parametri imposto come ip della ethernet e ip della atm0.1
- cosa me ne faccio del precedente ip statico utilizzato con il nat
- come modifico eventualmente le access-list
Sarebbe bello se qualcuno avesse una configurazione da farmi studiare un po'.
Grazie in anticipo per qualsiasi aiuto.
Cudin
827 e subnet 8 ip static
Moderatore: Federico.Lagni
-
MrCisco
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Ciao! Un cordiale benvenuto da parte di tutti!
Allora, questo è un problema che abbiamo già affrontato su questo forum e ci ha creato non pochi fastidi.
Nella atm0.1 va settato l'ip point-to-point che ti ha fornito telecom. Riguardo a questo ip, l'ho sentito chiamare anche gateway wan.
Poi, devi buttare via un indirizzo pubblico della gamma assegnatati per applicarlo all'interfaccia ethernet.
Non rimane quindi che assegnare i rimanenti indirizzi ai pc.
Attenzione però, c'è una piccola questione da tenere conto... l'indirizzo ip point-to-point è inusabile direttamente, in altre parole, non riuscirai mai a pingare nulla dal router, quindi qualsiasi strumento di analisi attiva (ping, traceroute ecc.) non è affidabile per stabilire se la cosa funziona o no. Devi configurare il tutto e provare da una macchina collegata.
Per le access-list, la questione è un po' più complicata, vediamo se interviene theirish.
Se vuoi maggiori delucidazioni puoi dare un'occhiata alla discussione
http://www.ciscoforums.it/viewtopic.php?t=158
Se dovessi trovare ancora problemi, puoi postare i tuoi dati specifici e vedremo di darti una mano.
Facci sapere se funziona o se riscontri anomalie.
In bocca al lupo
Allora, questo è un problema che abbiamo già affrontato su questo forum e ci ha creato non pochi fastidi.
Nella atm0.1 va settato l'ip point-to-point che ti ha fornito telecom. Riguardo a questo ip, l'ho sentito chiamare anche gateway wan.
Poi, devi buttare via un indirizzo pubblico della gamma assegnatati per applicarlo all'interfaccia ethernet.
Non rimane quindi che assegnare i rimanenti indirizzi ai pc.
Attenzione però, c'è una piccola questione da tenere conto... l'indirizzo ip point-to-point è inusabile direttamente, in altre parole, non riuscirai mai a pingare nulla dal router, quindi qualsiasi strumento di analisi attiva (ping, traceroute ecc.) non è affidabile per stabilire se la cosa funziona o no. Devi configurare il tutto e provare da una macchina collegata.
Non ho ben capito. Intendi l'indirizzo ip statico del precedente abbonamento? Beh, se la linea è unica immagino non sia più assegnato a voi.osa me ne faccio del precedente ip statico utilizzato con il nat
Per le access-list, la questione è un po' più complicata, vediamo se interviene theirish.
Se vuoi maggiori delucidazioni puoi dare un'occhiata alla discussione
http://www.ciscoforums.it/viewtopic.php?t=158
Se dovessi trovare ancora problemi, puoi postare i tuoi dati specifici e vedremo di darti una mano.
Facci sapere se funziona o se riscontri anomalie.
In bocca al lupo
-
Cudin
- n00b
- Messaggi: 3
- Iscritto il: gio 20 gen , 2005 3:29 pm
- Località: Villa Verucchio (RN) - ITALY
Ciao MrCisco,
innanzitutto grazie per i consigli.
Ho configurato il tutto come mi hai detto ed effettivamente funziona.
Mi ha portato fuori strada la configurazione lasciatami da Telecom, che oltre ai dati della subnet prevedeva:
. indirizzo IP interfaccia ATM
. netmask
. indirizzo gateway
Infatti questi tre parametri erano usati in precedenza per fare nat, con una static route settata sull'indirizzo del gateway.
Invece adesso i comandi di nat li ho tolti e la static route e' settata sull'ìindirizzo IP della I/F ATM
Mi rimane ancora il dubbio di come faccia l'interfaccia esterna del Cisco a sapere qual'e' il suo gateway, dato che non l'ho specificato da nessuna parte. Inoltre, in alcuni post mi e' parso di capire che per le configurazioni punto-punto sia opportuno impostare sulla atm0.1 il comando "ip unnumbered" senza definire l'indirizzo ip. Devo ancora indagare un po' per smaltire la nebbia a riguardo.
Adesso sono dietro alle access-list per hardenare un po' il router, i consigli di theirish non mi dispiacerebbero.
Se v'interessa posso postarvi la mia configurazione per una comparazione, ma ritengo non sia ancora definitiva.
Inoltre, volevo approfondire il comando "bandwidth" per capire se mi puo' essere d'aiuto per ottimizzare la banda.
Cudin
innanzitutto grazie per i consigli.
Ho configurato il tutto come mi hai detto ed effettivamente funziona.
Mi ha portato fuori strada la configurazione lasciatami da Telecom, che oltre ai dati della subnet prevedeva:
. indirizzo IP interfaccia ATM
. netmask
. indirizzo gateway
Infatti questi tre parametri erano usati in precedenza per fare nat, con una static route settata sull'indirizzo del gateway.
Invece adesso i comandi di nat li ho tolti e la static route e' settata sull'ìindirizzo IP della I/F ATM
Mi rimane ancora il dubbio di come faccia l'interfaccia esterna del Cisco a sapere qual'e' il suo gateway, dato che non l'ho specificato da nessuna parte. Inoltre, in alcuni post mi e' parso di capire che per le configurazioni punto-punto sia opportuno impostare sulla atm0.1 il comando "ip unnumbered" senza definire l'indirizzo ip. Devo ancora indagare un po' per smaltire la nebbia a riguardo.
Adesso sono dietro alle access-list per hardenare un po' il router, i consigli di theirish non mi dispiacerebbero.
Se v'interessa posso postarvi la mia configurazione per una comparazione, ma ritengo non sia ancora definitiva.
Inoltre, volevo approfondire il comando "bandwidth" per capire se mi puo' essere d'aiuto per ottimizzare la banda.
Cudin
-
MrCisco
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Per quanto riguarda il comando bandwidth, serve solo a impostare la banda a disposizione. Immagino che l'impiego che volevi farne tu fosse tipo traffic shaping. Dipendentemente dal risultato che vuoi ottenere, forse puoi giocare con le priority list
-
Cudin
- n00b
- Messaggi: 3
- Iscritto il: gio 20 gen , 2005 3:29 pm
- Località: Villa Verucchio (RN) - ITALY
Ok, quindi se non faccio traffic shaping il comando bandwidth non mi serve a nulla, giusto?
Un'altro dubbio: ha senso caricare il router di access-list anti spoofing, anti pacchetti frammentati, anti tutto quando poi subito a valle c'e' un firewall che fa altrettanto se non meglio?
Pensavo di limitare la security sul router solamente a quegli accorgimenti che proteggano esclusivamente il router stesso da accessi non autorizzati, demandando la protezione della rete al firewall.
Grazie
Cudin
Un'altro dubbio: ha senso caricare il router di access-list anti spoofing, anti pacchetti frammentati, anti tutto quando poi subito a valle c'e' un firewall che fa altrettanto se non meglio?
Pensavo di limitare la security sul router solamente a quegli accorgimenti che proteggano esclusivamente il router stesso da accessi non autorizzati, demandando la protezione della rete al firewall.
Grazie
Cudin
-
MrCisco
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: mar 29 giu , 2004 12:12 pm
Ha senso nel momento in cui il router offre dei servizi verso l'esterno, per esempio un account di configurazione remota via SSH.
In linea di massima, quindi, potresti alleggerire la sicurezza del router , ma sai, io preferisco esagerare piuttosto che peccare in qualcosa
Importante è anche però, che firewall c'è a valle?
In linea di massima, quindi, potresti alleggerire la sicurezza del router , ma sai, io preferisco esagerare piuttosto che peccare in qualcosa
Importante è anche però, che firewall c'è a valle?
