Salve,
io ho buttato in una mensola un bel router Cisco 1601 aggiornato da me alla versione dell'os 12.2.
Però mi dispiace lasciarlo lì ad ammuffire, voi che siete esperti cosa potrei farci con sto apparecchio?
Avendo una sola porta Ethernet e la porta aui collegata alla stessa quindi non posso con un transiver recuperarmi una seconda porta ethernet la cosa diventa ardua.
Leggendo sul vostro forum ho scluso la possibilità di utilizzarlo per gestire la connessione internet quindi andrei sull'idea di utilizzarlo come firewall interno alla mia lan, secondo voi con una sola posta ethernet è possibile?
Ciao e Auguri!
Router Cisco 1600
Moderatore: Federico.Lagni
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
-
Asimov
- Cisco fan
- Messaggi: 39
- Iscritto il: lun 22 mar , 2004 11:22 am
- Località: Cividale
Si, è possibilissimo e diventa ancora più efficiente impiegando le VLAN.
Senza le VLAN basta attaccare ad uno switch (mi raccomando, non hub) i tuoi computer, il 1600 e un router che dia connettività.
A questo punto ti organizzi con 2 subnet di cui una contiene il router connettività e il 1600 e l'altra che contiene tutte le macchine e anche il 1600. Il 1600 è quindi in comune, a questo punto non ti rimane che forwardare o addirittura nattare.
E' la stessa soluzione che avevo pensato per il mio 2500!
Se hai bisogno d'aiuto, io ormai sono un'esperto su questo!
Comunque, con le VLAN riesce meglio, tutto è da vedere se quello IOS le supporta
Senza le VLAN basta attaccare ad uno switch (mi raccomando, non hub) i tuoi computer, il 1600 e un router che dia connettività.
A questo punto ti organizzi con 2 subnet di cui una contiene il router connettività e il 1600 e l'altra che contiene tutte le macchine e anche il 1600. Il 1600 è quindi in comune, a questo punto non ti rimane che forwardare o addirittura nattare.
E' la stessa soluzione che avevo pensato per il mio 2500!
Se hai bisogno d'aiuto, io ormai sono un'esperto su questo!
Comunque, con le VLAN riesce meglio, tutto è da vedere se quello IOS le supporta
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
se non sbaglio per le vlan devo avere anche lo switch compatibile con esse, il mio non lo è 
ti spiego come è composta la mia lan: c'è un router della d-link che fornisce la connettività internet tramite un modem ethernet, lo stesso ha incluso uno switch di 4 porte dove sono collegati due microhub della cisco (uno per piano) dove poi vengono collegati i pc.
Ora vediamo se ho capito quello che devo fare:
devo collegare il mio 1601 nello switch della d-link.
Poi per il router che da connettività assegno un indirizzo ip del tipo 192.168.1.x (netmask 255.255.255.0) mentre per tutti pc un indirizzo tipo 192.168.2.x (stessa netmask)
Sul 1601 assegno all'interfaccia ethernet un indirizzo della prima rete 192.168.1.x e un indirizzo ip secondario della seconda rete 192.168.2.x
Ora però non capisco come fare per forwardare o nattare le due reti visto che sul 1601 risulta sempre la stessa interfaccia.
Ciao e grazie per la prima risposta.
ti spiego come è composta la mia lan: c'è un router della d-link che fornisce la connettività internet tramite un modem ethernet, lo stesso ha incluso uno switch di 4 porte dove sono collegati due microhub della cisco (uno per piano) dove poi vengono collegati i pc.
Ora vediamo se ho capito quello che devo fare:
devo collegare il mio 1601 nello switch della d-link.
Poi per il router che da connettività assegno un indirizzo ip del tipo 192.168.1.x (netmask 255.255.255.0) mentre per tutti pc un indirizzo tipo 192.168.2.x (stessa netmask)
Sul 1601 assegno all'interfaccia ethernet un indirizzo della prima rete 192.168.1.x e un indirizzo ip secondario della seconda rete 192.168.2.x
Ora però non capisco come fare per forwardare o nattare le due reti visto che sul 1601 risulta sempre la stessa interfaccia.
Ciao e grazie per la prima risposta.
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Allora, la cosa è un po' più complicata, ma ci siamo quasi.
Il trucco sta nell'assegnare 2 indirizzi IP alla stessa interfaccia del router.
Provo a fare un esempio:
router d-link: 192.168.0.1
router cisco: 192.168.0.2 e 192.168.1.1
computers: 192.168.1.2, 192.168.1.3 ecc.
tutti questi, collegati allo switch. Se lo switch non si fa problemi di sorta (tecnicamente dovrebbe funzionare, ma sai, alcuni produttori
)
A questo punto, dovrai assegnare a tutti i computer 192.168.1.1 come default gateway mentre il router 1600 dovrà avere 192.168.0.1 come default gateway.
Per finire, aggiungi nel router d-link una rotta per 192.168.1.0 attraverso 192.168.0.2
Adesso puoi aggiungere tutte le regole di firewalling che vuoi!
Se ci dovessero essere problemi, facci sapere... mentre se dovesse essere un successo, facci sapere lo stesso!
Il trucco sta nell'assegnare 2 indirizzi IP alla stessa interfaccia del router.
Provo a fare un esempio:
router d-link: 192.168.0.1
router cisco: 192.168.0.2 e 192.168.1.1
computers: 192.168.1.2, 192.168.1.3 ecc.
tutti questi, collegati allo switch. Se lo switch non si fa problemi di sorta (tecnicamente dovrebbe funzionare, ma sai, alcuni produttori
)A questo punto, dovrai assegnare a tutti i computer 192.168.1.1 come default gateway mentre il router 1600 dovrà avere 192.168.0.1 come default gateway.
Per finire, aggiungi nel router d-link una rotta per 192.168.1.0 attraverso 192.168.0.2
Adesso puoi aggiungere tutte le regole di firewalling che vuoi!
Se ci dovessero essere problemi, facci sapere... mentre se dovesse essere un successo, facci sapere lo stesso!
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
Ciao, non ci siamo ancora....
allora ho configurato così:
d-link -> 192.168.1.1
1600 -> 192.168.1.10
1600 -> 192.168.2.1 (secondario)
pc -> 192.168.2.22 gw -> 192.168.2.1
Dall'ios del 1600 posso pingare tutte e due le reti e anche l'esterno attraverso il gw e finquà tutto a posto
sul d-link ho impostato nella tabella di routing che per rete 192.168.2.0 netmask 255.255.255.0 deve utilizzare il gateway 192.168.1.10
Dal pc ho provato a pingare un indirizzo esterno (212.216.112.112) ma non ricevo nessuna risposta.......
ho attivato il debug sul 1600 per vedere che succede e mi appare questo:
01:17:04: IP: s=192.168.2.22 (Ethernet0), d=212.216.112.112 (Ethernet0), g=192.168.1.1, len 60, forward
01:17:04: IP: s=192.168.1.1 (Ethernet0), d=192.168.2.22 (Ethernet0), g=192.168.2.22, len 56, forward
e questo si ripete per ogni ping.
Cosa c'è che non va?
Ciao
allora ho configurato così:
d-link -> 192.168.1.1
1600 -> 192.168.1.10
1600 -> 192.168.2.1 (secondario)
pc -> 192.168.2.22 gw -> 192.168.2.1
Dall'ios del 1600 posso pingare tutte e due le reti e anche l'esterno attraverso il gw e finquà tutto a posto
sul d-link ho impostato nella tabella di routing che per rete 192.168.2.0 netmask 255.255.255.0 deve utilizzare il gateway 192.168.1.10
Dal pc ho provato a pingare un indirizzo esterno (212.216.112.112) ma non ricevo nessuna risposta.......
ho attivato il debug sul 1600 per vedere che succede e mi appare questo:
01:17:04: IP: s=192.168.2.22 (Ethernet0), d=212.216.112.112 (Ethernet0), g=192.168.1.1, len 60, forward
01:17:04: IP: s=192.168.1.1 (Ethernet0), d=192.168.2.22 (Ethernet0), g=192.168.2.22, len 56, forward
e questo si ripete per ogni ping.
Cosa c'è che non va?
Ciao
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
mmm... curioso.
Comunque, hai detto al 1600 che il default gateway è 192.168.1.1? mi sembra di capire di sì, ma è meglio essere sicuri.
E' strano, perché il router fa esattamente ciò che deve e, a parte per quell'anomalia di cui sopra, tutto sembra filare. Il guaio potrebbe essere localizzato in una fase successiva (in switching) per un problema di risoluzione ARP dello switch un po' low-end.
Dici che non ricevi niente, ricevi almeno "richiesta scaduta" o "rete irraggiungibile"? oppure proprio silenzio?
Comunque, opportuno un debug ip packet detail e un debug sugli icmp.
Allora, la prima cosa che non mi torna è la sorgente di questo secondo messaggio. Dovrebbe essere il destinatario del ping, non 192.168.1.1. Le possibilità per questo risultato sono 2: il d-link esegue un doppio nat per mascherare gli ip sorgente esterni (improbabile... spero di no!), oppure il d-link ritorna un host/network unreachable... sarebbe da fare un debug con dettagli per vedere il contenuto dell'icmp.01:17:04: IP: s=192.168.1.1 (Ethernet0), d=192.168.2.22 (Ethernet0), g=192.168.2.22, len 56, forward
Comunque, hai detto al 1600 che il default gateway è 192.168.1.1? mi sembra di capire di sì, ma è meglio essere sicuri.
E' strano, perché il router fa esattamente ciò che deve e, a parte per quell'anomalia di cui sopra, tutto sembra filare. Il guaio potrebbe essere localizzato in una fase successiva (in switching) per un problema di risoluzione ARP dello switch un po' low-end.
Dici che non ricevi niente, ricevi almeno "richiesta scaduta" o "rete irraggiungibile"? oppure proprio silenzio?
Comunque, opportuno un debug ip packet detail e un debug sugli icmp.
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
ciao
allora prima di tutto il gateway è impostato perchè dal router pingo server esterni tranquillamente.
ho provato a fare qualcune prove con il ping esteso del router
mettendo come sorgente l'ip della rete dei pc e attivando il debug sui pacchetti icmp mi da questo messaggio:
00:07:59: ICMP: redirect rcvd from 192.168.1.1 -- for 212.216.112.112 use gw 224.39.4.246
Sul pc dove eseguo il ping mi da "richiesta scaduta"
allora prima di tutto il gateway è impostato perchè dal router pingo server esterni tranquillamente.
ho provato a fare qualcune prove con il ping esteso del router
mettendo come sorgente l'ip della rete dei pc e attivando il debug sui pacchetti icmp mi da questo messaggio:
00:07:59: ICMP: redirect rcvd from 192.168.1.1 -- for 212.216.112.112 use gw 224.39.4.246
Sul pc dove eseguo il ping mi da "richiesta scaduta"
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
molto curioso.
Un messaggio di redirect serve ad un router per avvertire un host che c'è un gateway migliore, diverso dal default gateway, per raggiungere una destinazione. La domanda è... perché? non esiste rotta migliore visto che abbiamo splittato le subnet... ritorna la domanda se il fatto che il router d-link sia anche uno switch. Proverò a documentarmi.
Ti faccio sapere
Un messaggio di redirect serve ad un router per avvertire un host che c'è un gateway migliore, diverso dal default gateway, per raggiungere una destinazione. La domanda è... perché? non esiste rotta migliore visto che abbiamo splittato le subnet... ritorna la domanda se il fatto che il router d-link sia anche uno switch. Proverò a documentarmi.
Ti faccio sapere
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
Il router in questione è un D-link DI-604, dalle specifiche tecniche ha uno switch integrato. altro non so.
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Ok, allora...
le mie "fonti" confermano che la cosa si può fare anche con switch non gestiti che non supportano le VLAN. Io avevo già avuto modo di farlo con uno switch Cisco 2950 e la cosa funzionava senza problemi.
Forse però quello che non avevo valutato quando ho letto la tua domanda era il fattore hardware. Forse, e dico forse, il fatto che il d-link sia un ibrido può creare qualche disguido.
Continua comunque a tenere d'occhio questo post. Faremo degli esperimenti nei prossimi giorni con un setup analogo.
le mie "fonti" confermano che la cosa si può fare anche con switch non gestiti che non supportano le VLAN. Io avevo già avuto modo di farlo con uno switch Cisco 2950 e la cosa funzionava senza problemi.
Forse però quello che non avevo valutato quando ho letto la tua domanda era il fattore hardware. Forse, e dico forse, il fatto che il d-link sia un ibrido può creare qualche disguido.
Continua comunque a tenere d'occhio questo post. Faremo degli esperimenti nei prossimi giorni con un setup analogo.
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
MiG, mi spiace ammettere che dopo attenti esperimenti, il setup in questione non sembra funzionare. Per quanto la teoria sia impeccabilmente corretta, l'hardware non appare collaborativo. Siamo quasi certi che il problema sia di fatto l'aspetto di "ibrido" del d-link.
Le reazioni di quest'ultimo sono... come dire... completamente imprevedibili se non casuali.
Le reazioni di quest'ultimo sono... come dire... completamente imprevedibili se non casuali.
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
ok, non è andata...
però se io riuscissi a procurarmi, magari aspettando qualche fiera, uno switch cisco che supporti le vlan e lasciare il d-link solo al lavoro di gateway per internet la cosa funzionerebbe?
Se si, c'è il pericolo che il 1600, che utilizzerei come ponte fra le vlan, mi faccia da collo di bottiglia?
però se io riuscissi a procurarmi, magari aspettando qualche fiera, uno switch cisco che supporti le vlan e lasciare il d-link solo al lavoro di gateway per internet la cosa funzionerebbe?
Se si, c'è il pericolo che il 1600, che utilizzerei come ponte fra le vlan, mi faccia da collo di bottiglia?
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
Mod Theirish: un utente non più registrato ha affermato che la serie 1600 non supporta le VLAN
si che le supporta
si che le supporta
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Purtroppo le VLAN sono supportate solo se in presenza di porte FastEthernet.
Una cosa che mi è venuta in mente ma al momento non posso provare, è che il problema sia in realtà del 1600. Infatti, il router è in grado di fare farwarding tra i due indirizzi (primario e secondario) sulla stessa interfaccia, ma potrebbe esserci un problema di split horizon, quindi potrei dirti di provare con no ip split-horizon
Una cosa che mi è venuta in mente ma al momento non posso provare, è che il problema sia in realtà del 1600. Infatti, il router è in grado di fare farwarding tra i due indirizzi (primario e secondario) sulla stessa interfaccia, ma potrebbe esserci un problema di split horizon, quindi potrei dirti di provare con no ip split-horizon
-
MiG-29
- Cisco fan
- Messaggi: 35
- Iscritto il: gio 23 dic , 2004 7:27 pm
- Località: Udine
- Contatta:
Rieccomi qua, son ritornato alla carica.
Ho capito che il 1601 lo terrò come soprammobile.
Un conoscente mi ha dato disponibilità a vendermi un Cisco 1605R.
Prima di buttarmi a capofitto su quel apparecchio, siccome non voglio che faccia la fine del suo fratello sull'altro lato della mensola vorrei chiedere un informazione a voi che siete parecchio esperti in materia:
il 1605 che ha di default una ethernet lato lan e una ethernet lato wan posso utilizzarlo per condividere la connessione e comandare il modem ethernet tramite il protocollo pppoe?
Ciao e grazie.
Ho capito che il 1601 lo terrò come soprammobile.
Un conoscente mi ha dato disponibilità a vendermi un Cisco 1605R.
Prima di buttarmi a capofitto su quel apparecchio, siccome non voglio che faccia la fine del suo fratello sull'altro lato della mensola vorrei chiedere un informazione a voi che siete parecchio esperti in materia:
il 1605 che ha di default una ethernet lato lan e una ethernet lato wan posso utilizzarlo per condividere la connessione e comandare il modem ethernet tramite il protocollo pppoe?
Ciao e grazie.
