CCIE.pl

Niestety ale pozbyć się split-tunnel ACL'ek na asa i przenieśc do ACS'a się nie da, nie ma takiego pola dla AVP.

Pewnie w sofcie można zasymulować: Zauważyłeś że nie ma informacji o wspieranych konfiguracjach portu?

Jedno z rozwiązań.
Poprzez TACACS autentykujesz dostęp administracyjny do urządzenia
Poprzez RADIUS dostęp VPN.
ACS obsługuje oba protokoły jednocześnie.

vswif0 to softwarowy interface więc o co chodzi?

Zawsze możesz zmienić konfigurację połączeń. Na asa kasujesz interfejsy vlan, tworzysz 1 nowe połączenie pomiędzy asa inside a FWSM nazwijmy go FW-DMZ Dla userów VPN definiujesz podsieci np: 192.168.a.0/24 dla odpowiadającego vlanu a z adresacją 10.0.a.0/24 192.168.b.0/24 dla odpowiadającego vlanu b...

Dla przelączników definiujesz interface vlan w vlanie określonym jako mgmt najlepiej nie nr 1 chyba ze na trunkach native vlan masz inny niż 1. Na routerze/firewallu który jest defaultem dla przełączników w vlanie mgmt definiujesz access-listy określajace kto i czym może się dostać do vlanu mgmt. Re...

Port ID potrzebujesz wtedy gdy masz takie same koszty do roota na wielu portach. W twoim przypadku przeanalizuj którędy do roota wybrał by drogę SWB gdyby wszystkie porty miały taką samą prędkośc a nie BID jest wcześniej brany ?? Zagadza się, zły przykład podałem. Mam inny lepszy :). Gdyby za SWB 2...

Port ID potrzebujesz wtedy gdy masz takie same koszty do roota na wielu portach.
W twoim przypadku przeanalizuj którędy do roota wybrał by drogę SWB gdyby wszystkie porty miały taką samą prędkośc

Tego potrzebujesz?
http://www.cisco.com/en/US/docs/app_ntw ... #wp1006398

Z konfiguracji z tego przełącznika nie wynika aby pomiędzy vlanami była możliwa komunikacja.


Podeślij rysunek topologii połączeń, adresację oraz informacje gdzie są podłączone serwery.
Wtedy istnieje szansa że ktoś ci pomoże.

Bez tych danych ja się nie podejmuję wróżyć z fusów.

mario_s pisze:b) tylko switch 2924 ma vlany, zadne inne urzadzenie

To po co ci trunk?

Pytanie pomocnicze, pomiędzy przełącznikami masz L3 czy L2?

a) Chyba jednak nie przejrzałeś materiałów które podałem.
b)
Za tymi przełącznikami masz inne urządzenia z vlanami?

Masz 3 możliwości: - wychodzenie userów VPN'owych przez ASA (zdefiniowanie puli adresów na asa która zostanie puszczona w zdalnej sieci) - wychodzenie userów przez proxy które ma defaulta przez FWSM'a - puszczenie internetu z jego lokalnej sieci (spilt tunnel) 3 propozycja pewnie Ciebie nie interesu...

Dla serwerów oczywiście. Co do stacji ruchomych Twój pomysł oczywiście jest nie jest zły, jednak zależy jak komu pasuje. Jeśli każde stanowisko ma swojego laptopa zbieranego do domu po pracy to nie widzę problemu na ręczną konfigurację za pomocą samego laptopa lub ACS/AD dla grup Nikt nie wspominał...