Cisco 2911

@TROYA_net · Регистрация: 21.08.2017

Author24 — интернет-сервис помощи студентам

Кликните здесь для просмотра всего текста

hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn JTV1843TENK
!
!
vtp mode transparent
username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
ip address 192.168.1.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description === Internet ===
ip address 192.168.0.254 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
access-list 1 permit any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end

Что не так?
не пингуется и все тут (

@deniskv · 22.08.2017, 08:41

ip nat inside source list 1 interface GigabitEthernet0/1 overload
у вас outside это gig0/1 а не gig0/0

@TROYA_net · 22.08.2017, 11:07 **[ТС]**

Взлетело вот так:

Кликните здесь для просмотра всего текста

! Last configuration change at 06:24:26 UTC Tue Aug 22 2017
! NVRAM config last updated at 06:26:08 UTC Tue Aug 22 2017
! NVRAM config last updated at 06:26:08 UTC Tue Aug 22 2017
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
!
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn JTV1843TENK
!
!
vtp mode transparent
username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
ip address 192.168.1.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description === Internet ===
ip address 172.16.0.254 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 172.16.0.1
!
ip access-list extended nat
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end

Помогите настроить время пожалуйста!

@insect_87 · 22.08.2017, 11:51

http://www.rublin.org/article/... r-na-cisco

@TROYA_net · 22.08.2017, 12:02 **[ТС]**

Почему не прокатывает такое ?

mos-gw0(config)#access-list 2 permit 3.3.3.3
mos-gw0(config)#access-list 2 permit 4.4.4.4
mos-gw0(config)#access-list 2 deny any

@insect_87 · 22.08.2017, 12:50

потому что так надо:

Код

access-list 2 permit host 3.3.3.3
access-list 2 permit host 4.4.4.4
access-list 2 deny any

@TROYA_net · 22.08.2017, 13:50 **[ТС]**

Странно но если назвать лист цифрой то работает а я хочу назвать time1 и так не прокатывает(

@deniskv · 22.08.2017, 13:52

именной начинается ip access-list

@TROYA_net · 22.08.2017, 15:04 **[ТС]**

ip access-list time1 permit host 3.3.3.3
не берет (

Добавлено через 3 минуты
И вот это не берет
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

@insect_87 · 22.08.2017, 17:40

Сообщение от TROYA_net

не берет

опять неправильно, пользуйся "?"

Код

ip access-list standard time1
permit host 3.3.3.3

есть листы стандартные (используется только адрес источника), есть расширенные (адреса источника и приемника + выбор протокола, а так же порты источника и назначения), есть и другие, вот ниже список

Не по теме:

router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list

router(config)#ip access-list ?
extended Extended Access List
helper Access List acts on helper-address
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List

Не по теме:

router(config)#ip access-list standard time1
router(config-std-nacl)#permit host 3.3.3.3

@TROYA_net · 25.08.2017, 11:45 **[ТС]**

Физически в порт 0/1 подключен пачкорд который идет в ноут, на сетевухе которого айпи 172.16.0.2 - инета нема и шлюз 172.16.0.1 не пингуется. Почему?

Кликните здесь для просмотра всего текста

ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh port 5217 rotary 1
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/0.101
description kassy
encapsulation dot1Q 101
ip address 172.16.0.1 255.255.255.0
ip access-group kassy-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
no cdp enable
!
interface GigabitEthernet0/0.102
description misha
encapsulation dot1Q 102
ip address 172.16.1.1 255.255.255.0
ip access-group misha-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
no cdp enable
!
interface GigabitEthernet0/1
description === Internet ===
ip address 192.168.1.254 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
ip access-list extended isp-in
deny tcp any host 172.16.0.0 eq 22
ip access-list extended kassy-out
permit ip 172.16.0.0 0.0.0.255 any
ip access-list extended nat
permit ip 172.16.0.0 0.0.0.255 any
!
access-list 1 permit 192.168.1.2

!
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
rotary 1
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
ntp access-group peer 2
ntp access-group serve 3
ntp master 2
ntp update-calendar

@insect_87 · 25.08.2017, 11:51

Сообщение от TROYA_net

Физически в порт 0/1 подключен пачкорд который идет в ноут, на сетевухе которого айпи 172.16.0.2 - инета нема и шлюз 172.16.0.1 не пингуется.

а адрес на интерфейсе этого порта

Сообщение от TROYA_net

interface GigabitEthernet0/1
description === Internet ===
ip address 192.168.1.254 255.255.255.0

это как вообще?

да даже если в 0/0 воткнул - то он на саб-интерфейсы разделен, а сетевой адаптер твоего пк понимает 802.1q?

@TROYA_net · 08.10.2017, 15:36 **[ТС]**

Наконец добралась до продолжения настройки - появился умный свич в схеме)
Но опять я что то делаю не так! Нет инета ((((

Кликните здесь для просмотра всего текста

Last configuration change at 15:09:05 MSK Sun Oct 8 2017 by cisco
! NVRAM config last updated at 15:09:06 MSK Sun Oct 8 2017 by cisco
! NVRAM config last updated at 15:09:06 MSK Sun Oct 8 2017 by cisco
version 15.1
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname xxxxxxxxx
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 16386
logging rate-limit 100 except warnings
logging console critical
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
clock timezone MSK 3 0
clock calendar-valid
!
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp bootp ignore
!
!
no ip bootp server
ip domain name bd-net.domain
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login block-for 60 attempts 3 within 20
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn JTV1843TENK
!
!
archive
log config
logging enable
hidekeys
vtp mode transparent
username cisco privilege 15 secret 4 vamdIKIiB345qIQVaEOJwxxxxxxxxxxxx3UCPl8EwUHgHhK2
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh port 5325 rotary 1
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/0.101
description kassy
encapsulation dot1Q 101
ip address 192.168.0.254 255.255.255.0
ip access-group kassy-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.102
description misha
encapsulation dot1Q 102
ip address 172.16.1.1 255.255.255.0
ip access-group nat out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
no cdp enable
!
interface GigabitEthernet0/1
description === Internet ===
ip address 172.16.0.36 255.255.255.0
ip access-group nat in
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list 10 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 172.16.0.1
!
ip access-list extended kassy-out
permit ip 192.168.0.0 0.0.0.255 any
deny ip any any
ip access-list extended nat
permit tcp any any
permit udp any any
deny ip any any
!
access-list 10 permit 192.168.0.0 0.0.0.255
access-list 10 deny any
!
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
rotary 1
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
ntp access-group peer 2
ntp access-group serve 3
ntp master 2
ntp update-calendar
ntp server 78.140.251.2 source GigabitEthernet0/1
ntp server 89.109.251.21 prefer source GigabitEthernet0/1

end

@insect_87 · 09.10.2017, 08:24

в какой подсети интернета нет? в 172.16.1.0/24?
настройки свитчей и схему сети бы еще

@TROYA_net · 20.10.2017, 13:58 **[ТС]**

В прошлый раз разобралась....сама себе все запретила и хотела что б все работало)))) С циски инет не пинговался даже.....

Пару дней бьюсь над непоняткой новой. Создала сабинтерфейсы и теперь по ssh не могу попасть на циску. Вроде все правильно, но не пашет ((( Пытаюсь заломиться с 192.168.4.10.

Кликните здесь для просмотра всего текста

tula-17mos-gw0#SHOW RUN
Building configuration...

Current configuration : 5668 bytes
!
! No configuration change since last restart
version 15.1
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname блаблабла
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 16386
logging rate-limit 100 except warnings
logging console critical
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
clock timezone MSK 3 0
clock calendar-valid
!
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp bootp ignore
!
!
no ip bootp server
ip domain name яяя.domain
ip name-server 8.8.8.8
ip name-server 8.8.4.4

login block-for 60 attempts 3 within 20
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn блаблабла
!
!
archive
log config
logging enable
hidekeys
vtp mode transparent
username cisco privilege 15 secret 4 vamdIKIiBVвкпвкпвкпкпквкпвк
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh port 2222 rotary 1
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/0.101
description kassy
encapsulation dot1Q 101
ip address 192.168.10.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.102
description Guest
encapsulation dot1Q 102
ip address 192.168.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
no cdp enable
!
interface GigabitEthernet0/0.103
description Tipografiya
encapsulation dot1Q 103
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.104
description Misha
encapsulation dot1Q 104
ip address 192.168.4.1 255.255.255.0
ip access-group manager-out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.777
description manager
encapsulation dot1Q 777
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/1
description === Internet ===
ip address 172.16.0.254 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 172.16.0.1
!
ip access-list extended manager-out
permit ip host 192.168.4.10 any
ip access-list extended nat
permit ip any any
permit tcp any any eq 2222
!
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
rotary 1
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
ntp access-group peer 2
ntp access-group serve 3
ntp master 2
ntp update-calendar
ntp server 78.140.251.2 source GigabitEthernet0/1
ntp server 89.109.251.21 prefer source GigabitEthernet0/1
ntp server 89.109.251.22 source GigabitEthernet0/1
ntp server 95.128.246.34 source GigabitEthernet0/1
ntp server 91.207.136.55 source GigabitEthernet0/1
ntp server 87.229.205.75 source GigabitEthernet0/1
ntp server 95.213.132.250 source GigabitEthernet0/1
end

@insect_87 · 20.10.2017, 14:10

Сообщение от TROYA_net

Пару дней бьюсь над непоняткой новой. Создала сабинтерфейсы и теперь по ssh не могу попасть на циску.

из какой сети по какому адресу?
адрес маршрутизатора, по которому нужно попасть по SSH, пингуется?

@TROYA_net · 27.10.2017, 12:03 **[ТС]**

Проблема решена....У меня было разрешение на конкретный айпишник для ссш. Я так подсократила конфиг что б сюда выложить что этого тут не видно даже)))))

@TROYA_net · 08.11.2017, 17:03 **[ТС]**

Товарищи!
Помогите разобраться с ACL листами. Как правильно написать лист для влана который находится на саб интерфейсе например 172.16.0.1 с таким правилом:
Внутри 10.10.10.0/24 шляемся куда хотим,а так же в инет! Еще есть доступ айпишнику скажем 192.168.1.2 для админа.

ip access-list extended Guest_out
permit ip host 192.168.1.2 any
permit ip 10.10.10.0 0.0.0.255 any

закрывает доступ в инет и не пускает к себе 192.168.1.2
Что не так то?

@insect_87 · 10.11.2017, 09:05

Сообщение от TROYA_net

10.10.10.0/24

а где вообще такая сеть? как она связана с роутером? в конфиге роутера вообще о ней нет упоминания

@TROYA_net · 10.11.2017, 10:03 **[ТС]**

Building configuration...

Кликните здесь для просмотра всего текста

Current configuration : 6787 bytes
!
! Last configuration change at 16:56:26 MSK Wed Nov 8 2017 by cisco
! NVRAM config last updated at 16:56:29 MSK Wed Nov 8 2017 by cisco
! NVRAM config last updated at 16:56:29 MSK Wed Nov 8 2017 by cisco
version 15.1
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname gw0
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 16386
logging rate-limit 100 except warnings
logging console critical
enable secret 4 CTuWxDblokGsetDFgrthe6huoGD36Xwt03k
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
clock timezone MSK 3 0
clock calendar-valid
!
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp bootp ignore
!
!
no ip bootp server
ip domain name bd-net.domain
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login block-for 60 attempts 3 within 20
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn JTV1843TENK
!
!
archive
log config
logging enable
hidekeys
vtp mode transparent
username cisco privilege 15 secret 4 O34boWD8vhlP1H4sr0hIm23467890
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh port 22 rotary 1
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/0.100
description xxxx
encapsulation dot1Q 100
ip address 172.16.0.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.102
description Guest
encapsulation dot1Q 102
ip address 10.10.10.1 255.255.255.0
ip access-group Guest_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.777
description manager
encapsulation dot1Q 777
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/1
description === Internet ===
ip address 91.y.y.y 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 91.y.y.y
!
ip access-list extended nat
permit ip any any
!
access-list 1 permit 192.168.1.2
!
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 1 in
privilege level 15
rotary 1
transport input ssh
transport output ssh
!
scheduler allocate 20000 1000
ntp access-group peer 2
ntp access-group serve 3
ntp master 2
ntp update-calendar
ntp server 78.140.251.2 source GigabitEthernet0/1

end

Добавлено через 2 минуты
Непрвильно написала то что хочу в прошлый раз. Не могу настроить следующее:

Как правильно написать лист для влана который находится на саб интерфейсе interface GigabitEthernet0/0.102 с таким правилом:
Внутри 10.10.10.0/24 шляемся куда хотим,а так же в инет! Еще есть доступ айпишнику 192.168.1.2 для админа.

Вот так не помогает (
ip access-list extended Guest_out
permit ip host 192.168.1.2 any
permit ip 10.10.10.0 0.0.0.255 any

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
		1
	Cisco 2911 21.08.2017, 20:35. Показов 5362. Ответов 102 Метки нет (Все метки) Кликните здесь для просмотра всего текста hostname Router ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ! ! multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn JTV1843TENK ! ! vtp mode transparent username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2 ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === ip address 192.168.1.1 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description === Internet === ip address 192.168.0.254 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface GigabitEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 192.168.0.1 ! access-list 1 permit any ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end Что не так? не пингуется и все тут ( 0

@deniskv 87 / 86 / 31 Регистрация: 01.07.2015 Сообщений: 243
	22.08.2017, 08:41	2
	ip nat inside source list 1 interface GigabitEthernet0/1 overload у вас outside это gig0/1 а не gig0/0 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	22.08.2017, 11:07 [ТС]	3
	Взлетело вот так: Кликните здесь для просмотра всего текста ! Last configuration change at 06:24:26 UTC Tue Aug 22 2017 ! NVRAM config last updated at 06:26:08 UTC Tue Aug 22 2017 ! NVRAM config last updated at 06:26:08 UTC Tue Aug 22 2017 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ! ip dhcp pool LAN network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 ! ! multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn JTV1843TENK ! ! vtp mode transparent username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2 ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === ip address 192.168.1.1 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description === Internet === ip address 172.16.0.254 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 172.16.0.1 ! ip access-list extended nat permit ip 192.168.1.0 0.0.0.255 any ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end Помогите настроить время пожалуйста! 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.08.2017, 11:51	4
	http://www.rublin.org/article/... r-na-cisco 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	22.08.2017, 12:02 [ТС]	5
	Почему не прокатывает такое ? mos-gw0(config)#access-list 2 permit 3.3.3.3 mos-gw0(config)#access-list 2 permit 4.4.4.4 mos-gw0(config)#access-list 2 deny any 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.08.2017, 12:50	6
	потому что так надо: Код access-list 2 permit host 3.3.3.3 access-list 2 permit host 4.4.4.4 access-list 2 deny any 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	22.08.2017, 13:50 [ТС]	7
	Странно но если назвать лист цифрой то работает а я хочу назвать time1 и так не прокатывает( 0

@deniskv 87 / 86 / 31 Регистрация: 01.07.2015 Сообщений: 243
	22.08.2017, 13:52	8
	именной начинается ip access-list 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	22.08.2017, 15:04 [ТС]	9
	ip access-list time1 permit host 3.3.3.3 не берет ( Добавлено через 3 минуты И вот это не берет ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic ip inspect name INSPECT_OUT icmp router-traffic 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.08.2017, 17:40	10
	Сообщение от TROYA_net не берет опять неправильно, пользуйся "?" Код ip access-list standard time1 permit host 3.3.3.3 есть листы стандартные (используется только адрес источника), есть расширенные (адреса источника и приемника + выбор протокола, а так же порты источника и назначения), есть и другие, вот ниже список Не по теме: router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list dynamic-extended Extend the dynamic ACL absolute timer rate-limit Simple rate-limit specific access list router(config)#ip access-list ? extended Extended Access List helper Access List acts on helper-address log-update Control access list log updates logging Control access list logging resequence Resequence Access List standard Standard Access List Не по теме: router(config)#ip access-list standard time1 router(config-std-nacl)#permit host 3.3.3.3 0

	10.11.2017, 10:03

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	25.08.2017, 11:45 [ТС]	11
	Физически в порт 0/1 подключен пачкорд который идет в ноут, на сетевухе которого айпи 172.16.0.2 - инета нема и шлюз 172.16.0.1 не пингуется. Почему? Кликните здесь для просмотра всего текста ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh port 5217 rotary 1 ip ssh version 2 ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === no ip address no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto no cdp enable no mop enabled ! interface GigabitEthernet0/0.101 description kassy encapsulation dot1Q 101 ip address 172.16.0.1 255.255.255.0 ip access-group kassy-out out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets no cdp enable ! interface GigabitEthernet0/0.102 description misha encapsulation dot1Q 102 ip address 172.16.1.1 255.255.255.0 ip access-group misha-out out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets no cdp enable ! interface GigabitEthernet0/1 description === Internet === ip address 192.168.1.254 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! ip access-list extended isp-in deny tcp any host 172.16.0.0 eq 22 ip access-list extended kassy-out permit ip 172.16.0.0 0.0.0.255 any ip access-list extended nat permit ip 172.16.0.0 0.0.0.255 any ! access-list 1 permit 192.168.1.2 ! no cdp run ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 1 in privilege level 15 rotary 1 transport input ssh transport output ssh ! scheduler allocate 20000 1000 ntp access-group peer 2 ntp access-group serve 3 ntp master 2 ntp update-calendar 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	25.08.2017, 11:51	12
	Сообщение от TROYA_net Физически в порт 0/1 подключен пачкорд который идет в ноут, на сетевухе которого айпи 172.16.0.2 - инета нема и шлюз 172.16.0.1 не пингуется. а адрес на интерфейсе этого порта Сообщение от TROYA_net interface GigabitEthernet0/1 description === Internet === ip address 192.168.1.254 255.255.255.0 это как вообще? да даже если в 0/0 воткнул - то он на саб-интерфейсы разделен, а сетевой адаптер твоего пк понимает 802.1q? 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	08.10.2017, 15:36 [ТС]	13
	Наконец добралась до продолжения настройки - появился умный свич в схеме) Но опять я что то делаю не так! Нет инета (((( Кликните здесь для просмотра всего текста Last configuration change at 15:09:05 MSK Sun Oct 8 2017 by cisco ! NVRAM config last updated at 15:09:06 MSK Sun Oct 8 2017 by cisco ! NVRAM config last updated at 15:09:06 MSK Sun Oct 8 2017 by cisco version 15.1 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption service sequence-numbers ! hostname xxxxxxxxx ! boot-start-marker boot-end-marker ! ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 16386 logging rate-limit 100 except warnings logging console critical ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common clock timezone MSK 3 0 clock calendar-valid ! no ipv6 cef no ip source-route no ip gratuitous-arps ip cef ! ! ! ip dhcp bootp ignore ! ! no ip bootp server ip domain name bd-net.domain ip name-server 8.8.8.8 ip name-server 8.8.4.4 login block-for 60 attempts 3 within 20 multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn JTV1843TENK ! ! archive log config logging enable hidekeys vtp mode transparent username cisco privilege 15 secret 4 vamdIKIiB345qIQVaEOJwxxxxxxxxxxxx3UCPl8EwUHgHhK2 ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh port 5325 rotary 1 ip ssh version 2 ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === no ip address no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto no cdp enable no mop enabled ! interface GigabitEthernet0/0.101 description kassy encapsulation dot1Q 101 ip address 192.168.0.254 255.255.255.0 ip access-group kassy-out out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.102 description misha encapsulation dot1Q 102 ip address 172.16.1.1 255.255.255.0 ip access-group nat out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets no cdp enable ! interface GigabitEthernet0/1 description === Internet === ip address 172.16.0.36 255.255.255.0 ip access-group nat in no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list 10 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 172.16.0.1 ! ip access-list extended kassy-out permit ip 192.168.0.0 0.0.0.255 any deny ip any any ip access-list extended nat permit tcp any any permit udp any any deny ip any any ! access-list 10 permit 192.168.0.0 0.0.0.255 access-list 10 deny any ! no cdp run ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 1 in privilege level 15 rotary 1 transport input ssh transport output ssh ! scheduler allocate 20000 1000 ntp access-group peer 2 ntp access-group serve 3 ntp master 2 ntp update-calendar ntp server 78.140.251.2 source GigabitEthernet0/1 ntp server 89.109.251.21 prefer source GigabitEthernet0/1 end 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	09.10.2017, 08:24	14
	в какой подсети интернета нет? в 172.16.1.0/24? настройки свитчей и схему сети бы еще 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	20.10.2017, 13:58 [ТС]	15
	В прошлый раз разобралась....сама себе все запретила и хотела что б все работало)))) С циски инет не пинговался даже..... Пару дней бьюсь над непоняткой новой. Создала сабинтерфейсы и теперь по ssh не могу попасть на циску. Вроде все правильно, но не пашет ((( Пытаюсь заломиться с 192.168.4.10. Кликните здесь для просмотра всего текста tula-17mos-gw0#SHOW RUN Building configuration... Current configuration : 5668 bytes ! ! No configuration change since last restart version 15.1 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption service sequence-numbers ! hostname блаблабла ! boot-start-marker boot-end-marker ! ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 16386 logging rate-limit 100 except warnings logging console critical ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common clock timezone MSK 3 0 clock calendar-valid ! no ipv6 cef no ip source-route no ip gratuitous-arps ip cef ! ! ! ip dhcp bootp ignore ! ! no ip bootp server ip domain name яяя.domain ip name-server 8.8.8.8 ip name-server 8.8.4.4 login block-for 60 attempts 3 within 20 multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn блаблабла ! ! archive log config logging enable hidekeys vtp mode transparent username cisco privilege 15 secret 4 vamdIKIiBVвкпвкпвкпкпквкпвк ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh port 2222 rotary 1 ip ssh version 2 ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === no ip address no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto no cdp enable no mop enabled ! interface GigabitEthernet0/0.101 description kassy encapsulation dot1Q 101 ip address 192.168.10.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.102 description Guest encapsulation dot1Q 102 ip address 192.168.0.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets no cdp enable ! interface GigabitEthernet0/0.103 description Tipografiya encapsulation dot1Q 103 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.104 description Misha encapsulation dot1Q 104 ip address 192.168.4.1 255.255.255.0 ip access-group manager-out out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.777 description manager encapsulation dot1Q 777 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/1 description === Internet === ip address 172.16.0.254 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 172.16.0.1 ! ip access-list extended manager-out permit ip host 192.168.4.10 any ip access-list extended nat permit ip any any permit tcp any any eq 2222 ! no cdp run ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 1 in privilege level 15 rotary 1 transport input ssh transport output ssh ! scheduler allocate 20000 1000 ntp access-group peer 2 ntp access-group serve 3 ntp master 2 ntp update-calendar ntp server 78.140.251.2 source GigabitEthernet0/1 ntp server 89.109.251.21 prefer source GigabitEthernet0/1 ntp server 89.109.251.22 source GigabitEthernet0/1 ntp server 95.128.246.34 source GigabitEthernet0/1 ntp server 91.207.136.55 source GigabitEthernet0/1 ntp server 87.229.205.75 source GigabitEthernet0/1 ntp server 95.213.132.250 source GigabitEthernet0/1 end 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	20.10.2017, 14:10	16
	Сообщение от TROYA_net Пару дней бьюсь над непоняткой новой. Создала сабинтерфейсы и теперь по ssh не могу попасть на циску. из какой сети по какому адресу? адрес маршрутизатора, по которому нужно попасть по SSH, пингуется? 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	27.10.2017, 12:03 [ТС]	17
	Проблема решена....У меня было разрешение на конкретный айпишник для ссш. Я так подсократила конфиг что б сюда выложить что этого тут не видно даже))))) 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	08.11.2017, 17:03 [ТС]	18
	Товарищи! Помогите разобраться с ACL листами. Как правильно написать лист для влана который находится на саб интерфейсе например 172.16.0.1 с таким правилом: Внутри 10.10.10.0/24 шляемся куда хотим,а так же в инет! Еще есть доступ айпишнику скажем 192.168.1.2 для админа. ip access-list extended Guest_out permit ip host 192.168.1.2 any permit ip 10.10.10.0 0.0.0.255 any закрывает доступ в инет и не пускает к себе 192.168.1.2 Что не так то? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	10.11.2017, 09:05	19
	Сообщение от TROYA_net 10.10.10.0/24 а где вообще такая сеть? как она связана с роутером? в конфиге роутера вообще о ней нет упоминания 0

@TROYA_net 0 / 0 / 0 Регистрация: 21.08.2017 Сообщений: 58
	10.11.2017, 10:03 [ТС]	20
	Building configuration... Кликните здесь для просмотра всего текста Current configuration : 6787 bytes ! ! Last configuration change at 16:56:26 MSK Wed Nov 8 2017 by cisco ! NVRAM config last updated at 16:56:29 MSK Wed Nov 8 2017 by cisco ! NVRAM config last updated at 16:56:29 MSK Wed Nov 8 2017 by cisco version 15.1 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption service sequence-numbers ! hostname gw0 ! boot-start-marker boot-end-marker ! ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 16386 logging rate-limit 100 except warnings logging console critical enable secret 4 CTuWxDblokGsetDFgrthe6huoGD36Xwt03k ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common clock timezone MSK 3 0 clock calendar-valid ! no ipv6 cef no ip source-route no ip gratuitous-arps ip cef ! ! ! ip dhcp bootp ignore ! ! no ip bootp server ip domain name bd-net.domain ip name-server 8.8.8.8 ip name-server 8.8.4.4 login block-for 60 attempts 3 within 20 multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn JTV1843TENK ! ! archive log config logging enable hidekeys vtp mode transparent username cisco privilege 15 secret 4 O34boWD8vhlP1H4sr0hIm23467890 ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh port 22 rotary 1 ip ssh version 2 ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === no ip address no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto no cdp enable no mop enabled ! interface GigabitEthernet0/0.100 description xxxx encapsulation dot1Q 100 ip address 172.16.0.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.102 description Guest encapsulation dot1Q 102 ip address 10.10.10.1 255.255.255.0 ip access-group Guest_out out no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/0.777 description manager encapsulation dot1Q 777 ip address 192.168.1.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip nat inside ip virtual-reassembly in no cdp enable ! interface GigabitEthernet0/1 description === Internet === ip address 91.y.y.y 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 91.y.y.y ! ip access-list extended nat permit ip any any ! access-list 1 permit 192.168.1.2 ! no cdp run ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 1 in privilege level 15 rotary 1 transport input ssh transport output ssh ! scheduler allocate 20000 1000 ntp access-group peer 2 ntp access-group serve 3 ntp master 2 ntp update-calendar ntp server 78.140.251.2 source GigabitEthernet0/1 end Добавлено через 2 минуты Непрвильно написала то что хочу в прошлый раз. Не могу настроить следующее: Как правильно написать лист для влана который находится на саб интерфейсе interface GigabitEthernet0/0.102 с таким правилом: Внутри 10.10.10.0/24 шляемся куда хотим,а так же в инет! Еще есть доступ айпишнику 192.168.1.2 для админа. Вот так не помогает ( ip access-list extended Guest_out permit ip host 192.168.1.2 any permit ip 10.10.10.0 0.0.0.255 any 0