你好serverfault Universe, 我不断发展和扩大的局域网目前正在使用C类地址。 我的networking由多个子网取决于网站/位置。 192.168.1.x是网站总部 192.168.5.x是辅助站点 第三是192.168.10.x,等等。 长话短说 – 我从之前的pipe理者那里inheritance了这个networkingdevise,这个pipe理者离开了十几个人开始的公司,现在只有300多名全职/兼职员工。 我们还没有客户端VPN访问; 但我们有站点到站点的VPN设置。 编辑 – 包括有关我目前的设置和未来规划的细节: 主站点和辅助站点(子网)有25台物理服务器。 分支站点有5个(每个域控制器)。 所以总的来说,我们预计未来三年这个数字将增长约50%。 我们目前有一个面向公众的Web服务器和Domino Web邮件服务器。 我已经为DMZ,客户端访问VPN和站点到站点VPN购买了Cisco ASA,以取代我们现有的现成(Linksys)VPN /路由器解决scheme。 我看到的唯一变化是使用Exchange(OWA)replaceDomino,我正在寻找添加可在Internet上访问的Cisco VPN服务器。 总的来说,我们主路由器的DHCP将150个IP出租给我的主要192.168.1.x子网上的客户端工作站,这个子网恰好与我的主服务器是同一个子网。 其他子网上其余站点的大约100个IP位于多个子网上。 我们的pipe理“networking”(HP ProLiant iLO)位于主要的1.x子网上。 目前还没有实施iSCSI SAN或VoIP的计划,但这些很有可能在下一步。 我们的MFP(打印机)都是静态IP,如果发生重新读取,可能需要重新映射。 我想为客人/访客添加访客访问WiFi。 但是,客户端访问VPN位于优先级列表的顶部。 它看起来像这样:192.168.1.x由使用地址10到40的服务器组成。使用40到50的打印机。工作站50到200.使用200到250的iLOpipe理地址。 我的问题是,为了准备外部客户端通过思科ASA访问我的networking,我想重新解决HQ站点问题,因为我知道192.168.1.x或192.168.0.x对于一家公司来说不是很好的select子网 – 当连接到我的局域网时,它可能与家庭用户的局域网冲突,我相信? 通过你的经验,有没有人有任何build议和提示,我可以如何进行重新处理我的子网。 如果我devise了这个networking,我将会使用10.0.0.0,所以我倾向于改变它。 谢谢。
我有一个困境。 我希望通过SFP +获得一个端到端的万兆以太网,但是我的戴尔服务器具有仅在10 / 100BASE-T上运行的iDRAC6。 我能find的最接近的是GLC-T收发器,但是只有1000BASE-T,并且不能和我所知道的100BASE-T一起工作。 如何通过SFP +将100BASE-T(iDRAC6)主机连接到Nexus 2232PP?
我们有安装了IPS模块的Cisco ASA 5510防火墙。 我们有一个客户,我们必须通过VPN连接到他们的networking,通过FTP交换文件。 我们在本地工作站上使用Cisco VPN客户端(版本5.0.01.0600),这些工作站位于防火墙之后并受到IPS的约束。 VPN客户端成功连接到远程站点。 但是,当我们开始FTP文件传输,我们只能上传150K到200K的数据,然后一切都停止。 一分钟后,VPN会话被丢弃。 我想我通过使用以下命令临时禁用IPS上的ASA上的服务策略来将此问题隔离为IPS问题: access-list IPS第1行extended permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 inactive 在这个命令发布后,我build立了VPN到远程站点,并成功传输整个文件。 虽然仍然连接到VPN和FTP会话,我发出命令启用IPS: access-list IPS line 1 extended permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 文件传输再次尝试,并再次成功,所以我closures了FTP会话,并重新打开它,同时保持相同的VPN会话打开。 这个文件传输也是成功的。 这告诉我,FTP程序没有被过滤或导致问题。 此外,我们使用FTP每天交换与许多网站的文件没有问题。 然后,我断开了访问列表处于非活动状态时build立的原始VPN会话,并重新连接了VPN会话,现在访问列表处于活动状态。 开始FTP传输后,文件在150K后停止。 对我来说,这似乎是IPS阻止,或者以某种方式干扰到远程站点的初始VPN设置。 这只是在最新的IPS签名更新被应用之后才开始发生(sig version 407.0)。 我们以前的版本是95天,因为系统没有自动更新。 任何想法可能会导致这个问题?
我的组织有一个Cisco ASA 5510,我已经作为我们办公室的防火墙/网关。 远程用户会寻找的大部分资源都存在于里面。 我已经实施了一般的交易 – 基本内部networking与出站NAT,一个主要的外部接口与公共服务的PAT池中的一些辅助公共IP,一对站点到另一个分支的站点到站点IPSec链接等。而我正在使用VPN。 我有WebVPN(无客户端SSL VPN)工作,甚至遍历站点到站点的链接。 目前,我正在离开一个传统的OpenVPN AS来实现胖客户端VPN。 我想要做的是对所有VPN的身份validation方法进行标准化,然后切换到Cisco的IPSec厚VPN服务器。 我想弄清楚这些VPN用户(胖客户端和无客户端)的身份validation的真正可能性。 我的组织使用Google Apps,我们已经使用dotnetopenauth来validation用户的内部服务。 我希望能够为瘦和厚的VPN做同样的事情。 或者,使用RSA公钥对(ssh-keygentypes)的基于签名的解决scheme将有助于识别用户@硬件。 我试图摆脱传统的用户名/密码身份validation,特别是如果它是思科内部(只是另一个密码设置pipe理,用户忘记)。 我知道我可以映射到现有的LDAP服务器上,但是我们只有大约10%的用户群(主要是Linux shell访问的开发者)创build了LDAP帐户。 我想我正在寻找的是一个中间件,思科认为它是一个LDAP服务器,但将与用户现有的OpenID标识接口。 我在思科看到的任何东西都表明它可以在本地完成这一任务。 但RSA公钥将是亚军,并且比独立的甚至LDAPauthentication要好得多。 这里真的有用吗?
我有许多IPSec隧道的Cisco 1800系列路由器(运行C181X-ADVIPSERVICESK9-M)。 我想将这个路由器添加到OSPF,并configuration它通告路由到可以通过IPSec隧道访问的远程子网(例如,如果我有隧道VPN1的访问列表,允许从我的networking到10.20.30.0/24的所有stream量通过该隧道,I希望路由器在OSPF中向10.20.30.0/24发布路由)。 这可以在Cisco IOS上实现,而无需向这些远程子网显式添加路由?
我有一个Cisco 877路由器,它使用ADSL线路,单个公共IP地址和NAT将我的networking连接到Internet; IOS版本是15。 一切正常,但我想configuration此路由器是一个VPN服务器,能够从外部连接到networking。 我试过寻找文档,但是我能find的所有东西都与877充当VPN 客户端 ,或者站点到站点的VPN有关; 我找不到任何有关让单个远程计算机访问内部networking的事情,这是我可以使用Windows的RRAS或ISA Server轻松完成的。 Cisco 877可以作为远程客户端计算机的VPN服务器吗? (看起来应该,但只是为了…) 它支持哪种types的VPN? 他们是否需要在客户端计算机上安装一些特殊的软件,或者是否可以使用标准的开箱即用的Windows计算机? 最后,如何设置这个? 编辑: 我知道877是SOHO路由器,并不是VPN服务器的最佳select, 但是这是我的家庭networking,我只有一台电脑(现在),我是唯一的用户。 我绝对不会购买企业级路由器,只是为了能够在工作时接触到我的电脑:-p 编辑2: 我真的坚持这一点,经过很多testing,我从来没有得到它的工作。 我为这个问题增加了一个奖励,这个奖励将被授予一个完全可行的解决scheme (而不是一些指向隐藏的思科文档或无关情景的指针)。 为了让人们帮助,这里是我目前的路由器configuration(剥夺了不相关的和私人的细节)。 让我们希望有人终于可以帮助我做到这一点。 要点: 四个以太网接口全部分配给VLAN 1。 内部networking是192.168.42.0/24,路由器的IP地址是192.168.42.1。 外部IP地址由ISP提供; 它是一个公共和静态的,完全可路由的。 NAT(当然)启用。 ADSL连接工作正常。 路由器是内部networking的DNS服务器,将查询转发给ISP的DNS。 networking中没有DHCP服务器。 有一个特权级别为15的单个用户帐户。 我想要的是: 路由器充当VPN服务器,使外部客户端能够访问内部networking。 L2TP将是首选,但即使是PPTP也可以。 如果可能的话,我希望这可以与Windows内置的VPN客户端(支持PPTP和L2TP)协同工作。 我不想在外部计算机上安装Cisco VPN客户端或类似的东西,以便他们能够连接。 这是configuration: version 15.0 service password-encryption hostname Cisco877 aaa new-model aaa authentication login default […]
我有一对C2960G-48交换机(运行IOS 12.2(46)SE,如果有所不同的话)有冗余的中继线。 在这些交换机上,有一些VLAN有时会带来相当大的stream量(足以使中继线完全饱和)。 我想放入一个每个VLAN交叉连接的电缆,以帮助承载负载,并避免饱和普通干线。 我不确定的一件事情是如何优先考虑生成树中的这个链路,以便它总是用于VLAN,如果可用的话,交换机将只回退到使用公共中继链路崩溃(电缆故障等)。 思科不是我的母语,我不想在这些交换机上做太多实验,因为来自他妈的童话的访问会带来后果(但是有两个这样的交换机供我玩与周围是不符合成本效益的)。 所以,我希望有人用手指可以指点我的方向。 Moah的相关信息,以了解具体情况: 中继端口在两台交换机上都是Gi0 / 4 [78]; 其中一个VLAN 104在两个交换机上的Gi0 / 3 [78]上。 我打算把Gi0 / 36放到VLAN 104中,然后在两个交换机的这个端口之间运行一个电缆。
在服务器上将两个网卡设置为两个不同的交换机,其中每个网卡具有不同的IP(但在同一networking上),然后交换机到路由器。 如何将路由器上的两个端口configuration为冗余,以便一个端口转到另一个交换机,另一个端口转到另一个交换机。 路由器是Cisco 3825,交换机是Dell Power connect 5324s。 这个想法是,只要服务器上的应用程序被configuration为与两个IP一起工作,任何1个NIC或1个交换机都可能会失败,并且服务仍然可用。 我知道路由器仍然是单点故障。 更新: 一点背景,我移动我的整个数据中心,没有太多时间来规划,所以这种冗余可能超出了我所能学习和做的时间。 但是,我将重新布线一切,也许会购买东西。 我几乎有足够的交换机将所有服务器连接到两台不同的交换机,并有一个3800和一个备用2800路由器。 如果我保持现在的configuration,但是将第二个NIC插入到每个服务器的冗余交换机中,然后将第二个NIC插入到第二个路由器中,就物理configuration而言,是否可以准备设置这种冗余? 可能这个configuration是限制在我的冗余选项,或者我走哪条路线,这基本上是物理布局?
我有一个连接到端口5061上的Lync Edge服务器的lync客户端。连接时出现无效的证书错误。 当我运行wireshark时,在TLS安装期间,在证书内部,我看到一个意外的发行者,具有Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file的RDN序列Cisco Inc, STG, _internal_pp_ctl_phoneprocy_file 我有点困惑,这可能意味着什么,为什么这是目前。 我从零开始构build了这个服务器,从来没有在任何地方安装过思科证书 我认为这是思科防火墙或交换机的一些function(因为思科呼叫pipe理器曾经存在于环境中) 任何人都可以提供解释和可能的补救措施? 预期的发行人是“用户信任”/“networking解决scheme”/“networking解决schemeauthentication机构”,因为我在此Lync主机上使用通配符证书。
如何将Cisco VPNUI客户端configuration为打开特定主机的快捷方式? 据我所知,该程序不需要一个命令行参数,或者呢? 问题是,VPNUI.exe不记得你曾经连接过的VPN的历史,因为大多数其他软件程序会这样做。