ragazzi buongiorno sto studiando per la certifica ccna e sto provando le acl mamma mia sono un rompicapo pazzesco. e meglio lo shokun. comunque scherzi a parte. vorrei capire come potrei a far fare un ftp da un pc remoto. ipotizzando di avere due rouetr esterni che sono i provider e due router interni uno che è situato in un azienda e uno che è situato in una casa sto provando a fare ftp dalla casa ad un ipotetico server che sta nell azienda
io ho creato la seguente acl correggetemi se sbaglio:
access-list 103 permit tcp 202.10.10.0 0.0.0.3 192.168.1.0 0.0.0.7 eq ftp
access-list 103 permit ip any any
e chiaro che il 202.10.10.0 dovrebbe essere l ip pubblico.
io dal remoto riesco ad arrivare sull ip pubblico dell azienda ma non riesco a fare ftp perchè do sbaglio??? qualcuno mi puo aiutare please
acl e ftp
Moderatore: Federico.Lagni
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao
dovresti spiegare meglio dove hai messo quella ACL?
Immagino che stai lavorando su un simulatore.
Hai creato la route sul altro router alla rete 192.168.1.0 0.0.0.7?
Se dai dei parametri in più è possibile capire dove sbagli. Potrebbero esserci molti motivi.
P.S. quella ACL non blocca niente perciò non serve
dovresti spiegare meglio dove hai messo quella ACL?
Immagino che stai lavorando su un simulatore.
Hai creato la route sul altro router alla rete 192.168.1.0 0.0.0.7?
Se dai dei parametri in più è possibile capire dove sbagli. Potrebbero esserci molti motivi.
P.S. quella ACL non blocca niente perciò non serve
-
miguel0453
- Cisco fan
- Messaggi: 34
- Iscritto il: mar 03 mar , 2009 4:01 pm
grazie per avermi risposto si sto lavorando sul simulatore packet tracer.
ti allego lo sh run del router dove ce il server per fare fpt l ho nominato banca:interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.248
ip access-group 103 in
ip nat inside
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 172.16.0.1 255.255.0.0
ip nat inside
!
interface FastEthernet0/0.30
encapsulation dot1Q 30
ip address 10.10.10.1 255.0.0.0
ip nat inside
!
interface FastEthernet0/0.40
encapsulation dot1Q 40
ip address 192.168.100.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0/0
ip address 200.10.10.2 255.255.255.252
ip nat outside
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 200.10.10.0 0.0.0.3 area 0
!
ip nat inside source list 103 interface Serial0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
!
access-list 103 permit tcp 202.10.10.0 0.0.0.3 192.168.1.0 0.0.0.7 eq ftp
access-list 103 permit ip any any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
banca#
e ora ti allego lo sh run del router dove è collegato il pc per fare il collegamento all ftp:
Building configuration...
Current configuration : 677 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname casa
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0
ip address 201.10.10.2 255.255.255.252
ip nat outside
!
router rip
version 2
network 201.10.10.0
!
ip nat inside source list 101 interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 201.10.10.0 0.0.0.3
access-list 101 permit ip any any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
casa#
quindi ho simulato una situazione che si potrebbe sempre verificare e cioè che un utente dalla casa si vuole collegare al server ftp della banca.ho montato due router al centro simulandoli come modem dell isp e li ho configurati con il protocollo eigrp. come vedrai ho messo sul router della banca il protocollo di routing ospf mentre quello di casa rip.poi a entrambi i router ho creato ip route e ho fatto la stessa cosa anche per i router dell isp e cioè sulle interfacce seriali ho messo l ip route 0.0.0.0 0.0.0.0 ser.... funziona. me l hano insegnato in academy però questo non è il problema io vorrei arrivare dal pc della casa all ftp della banca come posso fare mi aiuti per favore?sto impazzendo
ti allego lo sh run del router dove ce il server per fare fpt l ho nominato banca:interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.248
ip access-group 103 in
ip nat inside
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 172.16.0.1 255.255.0.0
ip nat inside
!
interface FastEthernet0/0.30
encapsulation dot1Q 30
ip address 10.10.10.1 255.0.0.0
ip nat inside
!
interface FastEthernet0/0.40
encapsulation dot1Q 40
ip address 192.168.100.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0/0
ip address 200.10.10.2 255.255.255.252
ip nat outside
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 200.10.10.0 0.0.0.3 area 0
!
ip nat inside source list 103 interface Serial0/0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
!
access-list 103 permit tcp 202.10.10.0 0.0.0.3 192.168.1.0 0.0.0.7 eq ftp
access-list 103 permit ip any any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
banca#
e ora ti allego lo sh run del router dove è collegato il pc per fare il collegamento all ftp:
Building configuration...
Current configuration : 677 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname casa
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0
ip address 201.10.10.2 255.255.255.252
ip nat outside
!
router rip
version 2
network 201.10.10.0
!
ip nat inside source list 101 interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0
!
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 201.10.10.0 0.0.0.3
access-list 101 permit ip any any
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
casa#
quindi ho simulato una situazione che si potrebbe sempre verificare e cioè che un utente dalla casa si vuole collegare al server ftp della banca.ho montato due router al centro simulandoli come modem dell isp e li ho configurati con il protocollo eigrp. come vedrai ho messo sul router della banca il protocollo di routing ospf mentre quello di casa rip.poi a entrambi i router ho creato ip route e ho fatto la stessa cosa anche per i router dell isp e cioè sulle interfacce seriali ho messo l ip route 0.0.0.0 0.0.0.0 ser.... funziona. me l hano insegnato in academy però questo non è il problema io vorrei arrivare dal pc della casa all ftp della banca come posso fare mi aiuti per favore?sto impazzendo
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Caspita vuoi complicarti la vita!
Mancano le configurazioni dei router centrali, comunque hai nattato con PAT gli indirizzi 192.168.X.X. Perciò non potrà mai risponderti il server FTP.
Inoltre poi bisognerebbe vedere la propagazione delle route tra i diversi protocolli di routing (argomento CCNP ROUTE).
Io leverei i router intermedi ISP e se vuoi usare gli indirizzi privati come raggiungibili levi il NAT e crei le route statiche su i 2 router.
Ciao
Mancano le configurazioni dei router centrali, comunque hai nattato con PAT gli indirizzi 192.168.X.X. Perciò non potrà mai risponderti il server FTP.
Inoltre poi bisognerebbe vedere la propagazione delle route tra i diversi protocolli di routing (argomento CCNP ROUTE).
Io leverei i router intermedi ISP e se vuoi usare gli indirizzi privati come raggiungibili levi il NAT e crei le route statiche su i 2 router.
Ciao
-
miguel0453
- Cisco fan
- Messaggi: 34
- Iscritto il: mar 03 mar , 2009 4:01 pm
ciao grazie ho fatto come hai detto tu e funziona. io pero volevo capire il perchè non funzionera mai come sto facendo io perchè è uno scenario che si potrebbe presentare un giorno e non saprei come fare. io metto anche la configurazione dei due router isp e se hai qualche idea per aiutarmi a capire te ne saro davvero grato.
ISP#sh run
Building configuration...
Current configuration : 794 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ISP
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 202.10.10.2 255.255.255.252
!
interface Serial1/1
ip address 200.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router eigrp 100
network 202.10.10.0
network 200.10.10.0
auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/1
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
questa è l altra questa guarda verso la casa
ISP2#sh run
Building configuration...
Current configuration : 813 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ISP2
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 202.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/1
ip address 201.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router eigrp 100
network 202.10.10.0
network 201.10.10.0
auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/1
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
se mi puoi dare una mano a capire ti dico grazie.
ISP#sh run
Building configuration...
Current configuration : 794 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ISP
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 202.10.10.2 255.255.255.252
!
interface Serial1/1
ip address 200.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router eigrp 100
network 202.10.10.0
network 200.10.10.0
auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/1
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
questa è l altra questa guarda verso la casa
ISP2#sh run
Building configuration...
Current configuration : 813 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ISP2
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 202.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/1
ip address 201.10.10.1 255.255.255.252
clock rate 64000
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Vlan1
no ip address
shutdown
!
router eigrp 100
network 202.10.10.0
network 201.10.10.0
auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/1
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
se mi puoi dare una mano a capire ti dico grazie.
-
paolomat75
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao,
a prima occhiata vedo che hai usato rip e ospf dalla parte endpoint.
Invece eigrp parte ISP. Rip e ospf non hanno nessuno con cui scambiare informazioni.
Se usi lo stesso protocollo su entrambi non hai problemi.
In un caso reale, almeno se non lavori come specialist ISP questo problema non lo hai.
Per tua informazione gli ISP usano verso gli endpoint e altri ISP il protocollo BGP. Tramite quello scambiano le informazioni di routing.
Ora devo andare. Spero di averti chiarito un pò le idee.
Ciao
a prima occhiata vedo che hai usato rip e ospf dalla parte endpoint.
Invece eigrp parte ISP. Rip e ospf non hanno nessuno con cui scambiare informazioni.
Se usi lo stesso protocollo su entrambi non hai problemi.
In un caso reale, almeno se non lavori come specialist ISP questo problema non lo hai.
Per tua informazione gli ISP usano verso gli endpoint e altri ISP il protocollo BGP. Tramite quello scambiano le informazioni di routing.
Ora devo andare. Spero di averti chiarito un pò le idee.
Ciao
