escalator9: november 2008

Særlig projekter er som regel korte bus specielle, ikke "meget speciel episode af Blomst" særligt. løbet af de sidste to dage, var vi lever kort bus sort .... Vi fik et opkald, at SECDEF var på vej og en masse medier blev der kommer med ham. ; Journalister har brug for "beskidte Internet" til at flytte deres video og andre diverse junk. Vi har en beskidt internetforbindelse på grundlag for Offentlige Anliggender Officer (PAO), der også har til at færdes video og junk. Så ......... Nu denne enkelt computer forbindelse behov for at få spredt ud til over en halv snes nyhedsbureauer i et lille værelse beliggende over 100 ft fra parabol og modem. Tilbage i USA, du bare købe en trådløs router og køre med det. Ikke så meget her. Først af alt har vi ikke en regering kreditkort til at købe ting, fordi vi ikke har en Afsnit 10 (forsvarsminister) budget - vi kun har en Afsnit 22 (Dept of State) budget, da vi gøre den uddannelse, udrustning, rådgivning og mentoring i Afghanistan, ikke den kinetiske mission med NATO. Så kan vi " t gå til PX og købe en trådløs router. Vi har nogle virkelig gamle routere og switches, at vi brug for nødsituationer, men hvad kan de gamle oplysningsforpligtelser's gøre? Da vi ikke normalt NAT (Network Address Translation) i militæret, der ved, hvordan du kan konfigurere routeren til at gøre det? (Alle NAT'ing Jeg har nogensinde set har været igennem en firewall vice en router - ingen ekstra Raptor firewall apparatet om ca). TECHIE ALERT: den fol diskussion vil være interessant at den Geeks i gruppen, alle andre kan bare acceptere, at pressen har internettet, og det var meget smertefuldt at få dem til det. Ikke-Geeks kan føle sig mere end behageligt ikke at læse yderligere) Vi confgured en Cisco 3650 switch med kun en standard VLAN og ikke layer 3 funktioner ( stum skifte. Vi havde en 3U høj Cisco 2600 (der er den rigtige, ikke engang 1U version, der kom ud i 2004) router. Vi oprettet DHCP på routeren. jeg ' ; m bruges til at oprette en rækkevidde på Linux eller på Windows 2000, men det var lidt anderledes. Jeg kunne ikke udelukkende oprettet en række, jeg var nødt til at definere en subnet rækkevidde, så udelukker vitale adresser fra anvendelsesområdet ligesom identitet ( 192.168.13.0 ) og gateway ( 192.168.13.1 ). Vi begrænset til halvdelen af en klasse C ( 255.255.255.128 ). Det gik okay, når jeg indså, at du har til at udstede conf t - service dhcp for at starte Damn ting. Næste indtil vi flyttede til NAT. Det er der liv fik grim. ( Jeg er ikke fan af NAT da den begrænser dit netværk ledelsen i et parti af scenarier, men det er selvfølgelig lidt abstrakt). Vi hentede Cisco vejledning om NAT. Virkelig god generel vejledning, men ordlyden er virkelig subtil om nogle centrale issues.1) Din NAT Pool er et sæt globale adresser, ikke local.2) Din adgang liste er en række lokale adresser, men ikke bruge "nogen" mulighed, ingen oversættelse tabel vil generere hvis du gør det, men de oplysningsforpligtelser vil lade dig gøre at mistake.3), hvis du ?-fokus på NAT, vil du sandsynligvis glemt at oprette en standard-gateway4) selv efter at du opretter en standard-gateway, NAT er at ignorere det. Du skal foretage en manuel (og ip-classless) 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx indrejse for NAT at opbygge sin oversættelse bordet. Okay, så alt det onde er forbi. Fra konsollen havn på den router, du kan ping www.google.com . yay! Du endelig har adgang til Internettet på din router. Lad os tjekke den bærbare computer. nr. glæde. den bærbare computer kan ikke engang pinge dit modem. Det er dårlig. Spend seks timer at læse hver Cisco NAT artiklen nogensinde skrevet ( routergeek.com simpelthen BJERGARTER!) Denne guide lært os nogle værdifulde små detaljer: Statiske NAT er easy.Dynamic en-til-en NAT er easy.Dynamic en-til-mange-NAT er ikke så let. Hvis du har mange globale IP-adresser, gøre en NAT-pool gerne i Cisco artiklen. Hvis du ikke se bort fra Cisco vejledning. Hvis du har to gloabl IPS, gøre en NATO pulje af en IP. Det ser temmelig dumme, når du konfigurerer det, men det kan fungere. Hvis ligesom i de fleste situationer, du har en IP og en IP kun, så skal du ikke foretage en NAT-puljen. DO ikke overdrage dine eneste globale IP TIL NAT STATEMENT. Du giver din globale IP-adressen på din uden interface. Du derefter skriv din NAT-erklæring til at bruge uden interface. Okay, selv da var vi ikke arbejder. nr. NAT Oversættelse tabellen er genereret. NAT debug gav os en fejl kun behandles i CCIE manual. ; Jep, ikke CCNA, CCNP, CCDP, eller CCDA manualer, de CCIE manual. Det er langt over mit hoved. Så bliver trætte og frustrerede, vi er hyret af NOC's hjælp. De gjorde det samme ting jeg gjorde for lang tid. Så vi i fællesskab besluttet at bygge en statisk NAT for at se, om jeg f'd op oprindelse eller routing. Boom! NAT-tabellen befolkede. NAT debug gav os tonsvis af positive info. WFT? Vi genopbygget adgang listen til at omfatte en hel klasse C vice bare halvdelen af klasse C. Boom! NAT holdes arbejder. Her er, hvad jeg gjorde forkert: for min adgang-liste erklæring, jeg brugte wildcard filter af 0.0.0.128 . Ser rart, men hvis du gør det matematiske, det burde have været 0.0.0.127 B/c filteret er en dem-supplement 255-128. Min dårlige. Det hele arbejder nu. Vi har mistet magten to gange efter gettign de ting at arbejde på grund af PAO's kameraet lyser blæser sikringer. Hver gang, før jeg kan genindlæse config til NVRAM, så vi fik at genopbygge Damn ændringer to gange mere. Parti's sjov, nedenfor er konfigurationsfilen for dine personlige forlystelser .... Cheers, Jody
PAO-Router # sh køre
Building konfiguration ... Nuværende konfiguration: 1377 bytes
!
! Standard ting, der fulgte op efter Mgr Wiz
!
Version 12.3
service tidsstemplerne debug datetime msek ; ;
service tidsstemplerne log datetime msek
ingen service password-kryptering ;
!
hostname PAO-Router
!
boot-start-markør
boot-end-markør
!
! Ja, jeg kender pw er i det åbne. Det er at gå væk
!
Give hemmelige 5 $ 1 $ Vtb4 $ Kb2vYuvJ9Kud22YI/PBME.
aktivere password root ;
!
ikke noget net-ur-deltage Formålet 0
ikke noget net-ur-deltage mål 1
ingen aaa new-model
ip subnet-nul ;
ip CEF
!
! Opsætning af DHCP-tjenester
! Pass gateway, en DNS (kan ikke ud til at indtaste en anden)
!
ip dhcp udelukkes-adresse 192.168.13.0 192.168.13.1
!
ip dhcp pool PAO-DHCP-POOL
netværk 192.168.13.0 255.255.255.0
; Default-router 192.168.13.1 ;
dns-server 203.196.128.48
!
! Navn server for routeren, ikke at videregive at DHCP-
! Jeg ved ikke, hvad de ip ips .. er - mere standard ting
!
ip name-server 58.147.128.7
ip name-server 203.196.128.48
ip ips po max-events 100 ;
! ikke tillader ftp
ikke ftp-server skrive aktivere
!
! Uden grænseflade til satellit modem
! IP taget fra PAO computer
!
interface FastEthernet0/0
ip-adresse 58.147.150.178 255.255.255.240 ;
ip nat uden
ip virtual-remontering
duplex auto
hastighed auto
!
! Inde interface til at skifte
!
Interface FastEthernet0/1
ip-adresse 192.168.13.1 255.255.255.0 ;
ip nat inside
ip virtual-reassembly
speed auto
half-duplex
no mop enabled
!
! I know, you expect a default-gateway statement here
! I tried it, it didn't work
!
ip classless
ip route 0.0.0.0 0.0.0.0 58.147.150.177
!
! web servers turned off for security
! Yes, telnet is still on
!
no ip http server
no ip http secure-server
!
!
! Since we have only one global IP, we designate fa0/0 as the global ip
! vice having an IP pool - THIS IS A KEY POINT TO REMEMBER
! Also, I know that "overload" is implied in the statement, but it
! is explicity written here for clarity
!
ip nat inside source list 13 interface FastEthernet0/0 overload
!
!This is the access list that cuased all the problems
! notice 0.0.0.127 vice 0.0.0.128
!
access-list 13 permit 192.168.13.0 0.0.0.127
!
!control-plane
!
line con 0
line aux 0
line vty 0 4
password toor
login
!
end
--
"...wrap your arms around your body armor, give it a big embrace, and LEARN TO LOVE THE SUCK!"
-- Sergeant First Class Jenkins, 13 JUL 08

lørdag den 29. november 2008

Geek sjovt

fredag den 28. november 2008

Fashion Feed konstaterer: 08/04/08

Circuit Parade i studiet

Global warming

Blog-arkiv