Mystray, Да, видимо на вашем huawei нет отдельно настраиваемого параметра IP MTU. Соответственно указывается значения mtu в контексте mtu=hw mtu=ip mtu.
Что значит на Cisco нет пользователей. У вас же она в качестве FireWall используется? Соответственно будите видеть source:port/dest:port+URL. Если IP адреса натятся до нее, то будите видеть тоже самое но с постоянным source. Если у вас есть специализированное железо под ваши задачи(ASA+FirePower), то лучше использовать его. Если хочется делать свой велосипед(сделать контент-фильтрацию на freebsd), то воспользуйтесь squid.
Адаптер гостевой ОС не получает IP, значит ему не отвечают на DHCPdisc/req. Если хосты в твоей сети получают IP по DHCP, то смотри в настройки сети VirtualBox. Правильно ли выбран адаптер, который ты добавляешь в bridge и т.д. Я тебе все что нужно разжевал. Если что то непонятно, просто перечитай комменты еще раз.
Сетевой мост(bridge) - это взаимодействие разных сегментов сети по L2. То есть добавляя адаптер гостевой ОС в мост ты добавляешь его в плоскость LAN сегмента своей сети. Как-будто включил еще один комп и вставил его в ближайшее коммутирующее устройство. Если у тебя настроен DHCP сервер, то гостевая ОС получит IP из DHCP пула, если нет, то задай его статически. В твоем случае гостевая ОС win7. Задай статически IP из LAN сегмента ... Для всего остального есть mastercard(google)
В user acttivities у вас будет кто куда и как ходит, на основе этого задаете политики фильтрации контента. Поисковик по интересующим вас вопросам и cisco.com вам помогут. Или обратитесь к тому кто интегрировал сервис.
Можете отметить мой ответ решением. 2960 отличные комки для доступа, но терминировать vlan(SVI) стоит на уровень выше, для удобства управления, меньше сегментов и т.п., все зависит от необходимого функционала. Как я уже говорил, нет необходимости делать кольцо, так как это не добавляет в схеме резервирования. Если вы ходите засейвить линки между железками, то используйте агрегирование trunk портов. И, как уже говорил, отталкивайтесь от того, что точка отказа это активное устройство.
P.S. STP выключать не надо, но и не надо строить L2 кольца
Конфа для access:
global:
spanning-tree mode rapid-pvst
access interface:
spanning-tree portfast
spanning-tree bpduguard enable
Вы неверно схему читаете. В этом схеме у вас 2 провайдера/внеш.канала : первый 123,123,123,7, второй 62,62,62,7. Два физ.фаервола у вас на схема это кластер или failover stack. С точки зрения L1 это тоже самое что предложил вам я.
Так что ответ на вашу задачу это остается тем же.
А где я написал что нужно на внешнем сервисе что-то делать? Трансляция конечно создастся вы же команду ввели. Но работать не будеть, по выше указанным мной причинам. Понятия nat outside-outside нет, когда вы задаете nat nvi, то просто указываете что на что должно натиться. И максимум на что вы можете обратиться при вашей реализации это IP из подсети вашего External interface, но никак не внешний IP
В активном режиме клиент сообщает серверу порт listening и сервер инициирует сессию с 20 порта на этот порт. Если на других точках у вас активный режим на этот же сервер работает, то на стороне проблемного клиента SIP лочит outside трафик на 20 порт
Через какое соответсвие мака??? Повторяю, если у хоста(Win) задан IP статически он отправляет ARP на 0.0.0.0. Видит, что такой IP занят и ОС назначет ему IP из диапазона 169.254.0.0/16. Никакого соответствия МАС хоста и заданного ему IP в ARP таблице не будет
Вы внимательно условия задачи прочтите. Появляется host в сети с IP(задан статически), который уже назначен другому хосту в этой сети. Так как такой IP уже есть, ОС назначит ему IP из пула 169.254.0.0/16, выше я все описал. Поэтому сразу говорил, что задача не так проста как кажется
Задублировал комментарий к ответу, чтоб в уведомлениях отразилось.
Ничего сверхъестественного:
router - cisco 2811
switch - 2960 lan base
host - PC win 7
Короче решение родилось)).
В ARP таблице маршрутизатора будет только одно соответсвие MAC/IP, так как хост при включении шлет ARP на 0.0.0.0 и обнаруживает, что IP который назначен ему уже есть в сети, далее он назначает себе IP сети 169.254.0.0/16. И никакого соответствия МАС и IP для этого хоста я в ARP не обнаружу.
Что я сделал: Поднял L3 на роутере из диапазона 169.254.0.0/16, комп отдает мне arp:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 169.254.0.1 - 0006.52bd.XXXX ARPA Vlan1000
Internet 169.254.248.116 1 001f.c68b.XXXX ARPA Vlan1000
Я натю на этот интерфейс outside и анонсирую маршрут 169.254.248.116/32 с роутера себе.
И по RDP проваливаюсь на этот хост и соотвественно меняю/смотрю искомый IP
Короче решение родилось)).
В ARP таблице маршрутизатора будет только одно соответсвие MAC/IP, так как хост при включении шлет ARP на 0.0.0.0 и обнаруживает, что IP который назначен ему уже есть в сети, далее он назначает себе IP сети 169.254.0.0/16. И никакого соответствия МАС и IP для этого хоста я в ARP не обнаружу.
Что я сделал: Поднял L3 на роутере из диапазона 169.254.0.0/16, комп отдает мне arp:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 169.254.0.1 - 0006.52bd.XXXX ARPA Vlan1000
Internet 169.254.248.116 1 001f.c68b.XXXX ARPA Vlan1000
Я натю на этот интерфейс outside и анонсирую маршрут 169.254.248.116/32 с роутера себе.
И по RDP проваливаюсь на этот хост и соотвественно меняю/смотрю искомый IP
