Проблема с деревом, исчез IPX на одном участке.Как вылечить?

[Андрей Старков]

Надо как-то заставить сервер светиться внешним адресом.

Это точно. Я решил уже было поставить в сервера в центре по второй сетевухе где нет, подключить их в VLAN который у меня этот VDMZ чтобы они знали о существовании еще одного своего адреса и рекламировали его.
Но по идее то первопричина в том, что мои все сети должны быть за файерволом от сети вышестоящей конторы, а получилось коряво, одна из моих сетей, в которой физически поставлен PIX тоже от остальных спрятана. Позвонил мужикам - да, дело новое, сделали немного не правильно. Короче буду ждать пару недель а сам в это время читать талмут по PIXу - глядишь может сам надумаю что делать

[Сергей.М.]

сеть в "центре" действительно спрятана за NATом и напрямую недоступна. Но все ресурсы из нее, которые необходимы ВСЕМ отображаются в VDMZ зону. Т.е если сервер имеет адрес 193.125.150.5 для все сетей он доступен по адресу 192.168.12.5
Сам сервер знает только о своем адресе в сети 193.125 соответсвенно именно его он рекламирует через SLP и объект сервер в дереве.
В DNS прописаны оба его адреса. с других серверов ping ИМЯ_СЕРВЕРА идет, nslookup ИМЯ_СЕРВЕРА возвращает его IP из VDMZ зоны, все правильно, другие адреса недоступны.

Вся проблема как я понимаю выделена жирным. На PIXе сейчас ничего не закрыто. Т.Е. если ресурсы выведены в VDMZ то доступ к ним полный отовсюду. из "центра" все остальные сети доступны полностью.

SET NCP OVER UDP = OFF и
SET NCP PROTOCOL PREFERENCES = TCP UDP установил на всех серверах и сегодня ночью еще все перегрузил (кроме одного)

Думал чтобы сам сервер знал обо всех своих адресах (и рекламировал их) прописать ему как то 2 адреса, но оба адреса должны быть из одной подсети, а у меня они абсолютно разные. Проблема остается!

Вы помоему не понимаете о чем говорите и не хотите меня понять. PIX всегда использует НАТ в своей работе, на этом построен ASA, его механизм работы. Все дело в том как применять НАТ: транслировать в какойто пул адресов или адреса в самих себя. И ВСЕГДА доступ с интерфейса с меньшим security level на больший закрыт. Для организации доступа необходимо использование сочетание команд static и access-list. А доступ из "центра" ко всем остальным подсетям у вас скорей всего есть из-за того что эта центральная сеть находится за inside интерфесом, с наивысшим security level. Доступ с интерфейса с большим security level на меньший по умолчанию открыт, достаточно лиш правильно настроить НАТ.
Вообщем вперед на www.cisco.com и учимся работать с PIX, иначе так и будете переодически глюки ловить.

[Сергей.М.]

Надо как-то заставить сервер светиться внешним адресом.

Это точно. Я решил уже было поставить в сервера в центре по второй сетевухе где нет, подключить их в VLAN который у меня этот VDMZ чтобы они знали о существовании еще одного своего адреса и рекламировали его.
Но по идее то первопричина в том, что мои все сети должны быть за файерволом от сети вышестоящей конторы, а получилось коряво, одна из моих сетей, в которой физически поставлен PIX тоже от остальных спрятана. Позвонил мужикам - да, дело новое, сделали немного не правильно. Короче буду ждать пару недель а сам в это время читать талмут по PIXу - глядишь может сам надумаю что делать

Скорее чтобы остальные сервера знали "внешний" адрес сервера а не реальный.

[Андрей Старков]

2Сергей.М. - вы действительно АБСОЛЮТНО правы
я в одном из первых постов сразу сказал "я ничего не знаю о Cisco PIX" - мне ее привезли, поставили, неделю мы настраивали. Потом на неделю я уехал и теперь спустя еще неделю я полностью осознал, что надо оставить все как есть пусть с проблемами и ЧИТАТЬ САМОМУ.
Хотя по иерархии предприятия моя зона ответсвенности заканчивается на коммутаторе, подключенном к ПИКСу. ПИКС это уже головная контора.

Талмут распечатал, сегодня сброширую и вперед

Будут вопросы по ПИКсу задать можно?

[Сергей.М.]

Задавайте. Правда у меня все пиксы с версией 6.Х, на 7.Х пока не переходил, но думаю разберемся. Принципы остались теже, синтаксис команд несколько изменился.