• Как можно заблокировать доступ к определенной онлайн игре?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    В настройках.
    Ответ написан
    Комментировать
  • Есть ли ошибки в маршрутизации?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Вы смешиваете физическую и логическую схему в одну. На данный момент мне не до конца понятна логическая схема, для неё важны vlan, маршруты, IP-адреса, интерфейсы.
    Над маршрутизаторами ClearOS какие-то странные маршруты указаны, они были самостоятельно добавлены? Например, ClearOS1 должен считать, что у него за интерфейсом eth1 с адресом 192.168.1.1 находится сеть 10.1.1.0/24, правильно я понял?

    Пока похоже, что у вас две сети просто перемешаны между собой и не разделены на разные vlan. Ну или хотя бы не настроены secondary-IP, что, по-моему, не очень хорошо делать в этом случае.
    Ответ написан
  • Не работает Интернет при подключении кабеля локальной сети. Куда копать?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Ethernet:
    Вручную прописать
    IP-адрес 192.168.137.10
    Маска 255.255.255.0
    Основной шлюз: <пусто>

    Воткнуть модем в компьютер.

    При необходимости доступа в сеть WiFi (с планшетами и телефонами):
    Запустить cmd с правами администратора и выполнить команду
    route ADD <сеть_wi-fi> MASK <маска_сети_wi-fi> 192.168.137.20 1

    Дело не в Windows, а в маршрутизации и адресах, скорее всего.
    Ответ написан
    1 комментарий
  • Почему после включения IP Forwarding пропадает интернет?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Думаю, что причина в том, что оба интерфейса находятся в одной и той же сети (192.168.10.0/24).
    Нужно ещё проверить маршруты.
    Ответ написан
  • Создание сети в Cisco Packet Tracer, недоступность шлюза?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Раз пока нет других вариантов, то делаем стандартный траблшутинг в сети. В настройках роутера ничего плохого не заметил. Делим сеть на куски и проверяем каждый из них.

    Заходим на тот хост, с которого можем пинговать шлюз по умолчанию (например, PC4). Пингуем шлюз по умолчанию в своей сети, потом шлюз в двух соседних.
    Заходим на тот хост, с которого не пингуется шлюз по умолчанию (например, PC1). Пингуем соседние хосты в той же сети. Сначала, которые подключены к тому же коммутатору (например, PC2). Потом те, что подключены к другому коммутатору, до роутера (например, Laptop3).
    По ходу дела смотрим везде таблицы с ARP, проверяем где нет связности на 2 уровне. Если на пинги не отвечает, но виден MAC адрес, то уже неплохо.

    Проверяем настройки на коммутаторах.
    На маршрутизаторе смотрим всякие show ip interface brief, может быть, перепутали интерфейсы.

    А также в описании у вас сказано "LAN2 - 192.200.210.16/28", что не соотносится с другими данными.
    Ответ написан
  • Значение в поле MAC destination при использовании ненумерованного интерфейса?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    В теории должно быть так:
    Сначала отправляющий роутер попробует выяснить какой MAC адрес у хоста с нужным destination IP, то есть попробует отправить стандартный ARP request. Если никто не ответит, то статус для такого записи будет Incomplete, соответственно, никакого MAC адреса не будет.
    Чтобы другой хост ответил на ARP request, нужно чтобы у него самого был такой адрес или же включен proxy ARP.
    Если два роутера подключены друг к другу, то будет MAC адрес соседнего роутера в исходящих пакетах.

    Вот кто-то на практике попробовал:
    supportforums.cisco.com
    А тут ещё и про минусы такой затеи рассказывают:
    learningnetwork.cisco.com
    Ответ написан
    4 комментария
  • Как правильно разворачивать сетевую инфраструктуру с dhcp? С использованием отдельного оборудования или все на одном сервере?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Как уже отметили всё весьма индивидуально и зависит от имеющихся ресурсов, задач, планов на будущее и прочего.
    Если мы предполагаем небольшой офис, сильную ограниченность по деньгам и другим ресурсам, то я бы сделал что-то вроде этого:
    (1) Внешний роутер -> (2) Управляемый коммутатор -> (3) Компьютеры
                                         |
                            (4) Сервер AD + DHCP + ...

    Сервер с двумя сетевыми портами выставлять в интернет одним из портов плохо, потому что потенциальный злоумышленник получает доступ ко многим внутренним ресурсам, взломав лишь один сервер, который, судя по всему, на Windows.
    Внешний маршрутизатор пусть делает то, что умеет лучше всего - маршрутизирует. То есть балансировка по двум провайдерам, например, динамическая маршрутизация и т.п. Настраиваются как минимум широкие простые правила файрвола (ACL).
    На коммутаторе настраиваются несколько vlan и желательно тоже ACL. Распределение по vlan на основе выполняемых функций. Сервера отдельно, конечно.
    Функции внутренних сервисов лучше разделить на несколько серверов. Например, если нужен прокси-сервер, и если есть такая возможность, то лучше использовать отдельный сервер. Засунуть его в отдельный vlan, с чёткими ACL, получится некая DMZ.
    Ну а потом покупаем ещё хороший файрвол...
    Ответ написан
    Комментировать
  • Как сделать 2 Management Server CheckPoint in ClusterXL?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Отдельных иконок файрволлов в этом случае не будет, так как это по сути один объект 2200 Appliance с несколькими включенными программными модулями (Software Blades).

    В SmartDashboard нажать правой кнопкой мыши на дереве объектов, выбрать New -> Check Point -> Security Cluster -> Check Point Appliance/Open Server, выбрать Wizard Mode (более дружественный для новичков) или Classic Mode (мне больше нравится).
    Ввести название кластера, главный IP адрес, выбрать режим ClusterXL и High Availability или Load Sharing (HA предпочтительнее в этом случае). Далее необходимо добавить Cluster Members: Add -> Add Existing gateway.
    Потом нужно добавить кластерные интерфейсы, не забудьте про Topology в настройках интерфейсов.
    Ответ написан
    Комментировать