Em hỏi về lệnh cấu hình access remote

zim
17-07-08, 09:54
Tình hình là bên em có hệ thống wan nối giữa HN và Hưng yên . Trên VP em dùng 1 con Cisco Pix 506E và 1 con Cisco 800 .
Bây giờ em ngồi dưới Hưng Yên mà không remote lên HN được . Nhờ bác Đông và bạn Bi chỉ giúp ạ .....
chairuou
17-07-08, 21:14
em nói thế thì bố các bạn cũng không biết đường nào mà chỉ. em remote cái gì, remote desktop của Windows hay remote vào cái Pix.
theo lẽ tự nhiên thì em không thể remote desktop vì chả thằng assmin nào rồ đến mức default open mấy cái special port cả.
zim
18-07-08, 10:29
oài . hehe , bác thông cảm .
Tình hình nó là thế này . Dưới HY em không remote desktop vào máy tính trên HN được . Vẫn đề là em đek biết cấu hình cái PIX thế nào để em có thể remote lên HN đc :|
Phuongdong
18-07-08, 13:59
Em nói vắn tắt quá thì làm sao hỗ trợ được. Để anh thô dịch lại ý của em xem có đúng chưa, nếu chưa đúng thì em tinh dịch lại nhé
- HN có một con PIX làm FW. Mô hinh là Router - PIX ( DMZ và LAN local )
- HY thì có một đường ra Net
Vấn đề em cần là từ HY remote desktop vào một máy tính trên HN ( chắc là qua Net ) ? Nhưng không biết là vào cái đặt ở DMZ hay LAN local nhưng nguyên tắc thì đều giống nhau cho việc NAT. Chú chỉ cần vào Interface của Net và cho thêm vào đấy dong lệnh kiểu
ip nat inside source static local-ip global-ip

Về nguyên tắc bảo mật thì không ai lại dở hơi mở port 3389 thông thiên ra Net cho dân tình thử shell.
Chú muốn mở thì theo kinh nghiệm của anh nên bắt nó sử dụng SSH qua cổng 22 mà remote.
Mô hình chuẩn thì nên làm một vùng DMZ rồi trong đó tạo một Server chạy nix làm VPN server. Chú VPN vào đấy trước. Sau đó nếu muốn vào hệ thống trong thì dùng tiếp một acc khác để truy nhập vào hệ thống trong, đừng bao giờ dùng 1 acc cho cả hai việc
chairuou
19-07-08, 21:25
oài . hehe , bác thông cảm .
Tình hình nó là thế này . Dưới HY em không remote desktop vào máy tính trên HN được . Vẫn đề là em đek biết cấu hình cái PIX thế nào để em có thể remote lên HN đc :|

đấy, ít ra em cũng phải biết làm duyên thế các anh em mới có hứng chứ. anh đoán em chơi MPLS của VTN hở

chuyện cần làm là em đọc sách xem remote desktop của Windows yêu cầu port nào để accept incomming connection sau đó vào cái PIX open port đó ra (vào bằng cách nào thì em tự biết, không biết thì hỏi, không hỏi được thì thuê)
zim
29-07-08, 09:39
hehe, em cám ơn các bác đã chỉ cho em.

Hiện nay em lại có 1 vấn đề khác. Dồng chí IT bên em vừa nghỉ việc, bên m lại chưa tuyển được ai. Tình hìh là rất tình hình.
Em xin nói qua thế này ạ .
Ở Hưng Yên em có 2 IP WAN và HN cũng vậy .
Vấn đề là ở chỗ em ping tới IP ở HY thì rấ tốt , nhưng ping lên HN thì khoảng 10 gói lại time out 2-3 phát. Em không hiểu là có phải do bọn bưu điện trên HN nó chặn hoặc hạn chế ping hay là do đường truyền của nó phò thật.
Em có search trên mạng để tìm nguyên nhân nhưng mà không thấy, em đành václên đây nhờ các bác giúp.

Em không phải dân chuyên quản trị mạng nên dùng từ có vẻ hơi nôngdân, các bác đừng cười em ạ.
Em cám ơn các bác trước
hailua
29-07-08, 10:05
1. Ping từ HN đến HY : OK , some delayed, No packet was dropped
2. Ping từ HY lên HN : packets dropped.


Trace route và xem lại CRC error xem sao nhé. Khi ping, delay bao nhiêu ms ?

Switch error ? router error ? Firewall configuration ?

server ports vs. switch ports set ? auto-nego hay là 10/100/1000 full ?

Log(s) ?
zim
29-07-08, 10:18
Em sẽ nhờ bạn check thiết bị . Ping thì dao động từ 15-25ms. Nếu có gì không hiểu em sẽ hỏi tiếp. Cám ơn các bác nhiều :D


PS: Em có gọi cho bọn VTI thì nó bảo " có lẽ do bưu điện Cầu giấy hạn chế"
hailua
30-07-08, 04:13
Bọn Service provider nó viết SLA (Service Level Agreement ) thế nào ? Hợp đồng ra sao ?
Bảo đảm tốc độ đường truyền WAN ra sao ? QOS có turned on không ?
Bao nhiêu giờ thì WAN phải trở lại bình thường trong trường hợp sự cố.

Nếu chưa có SLA thì phải bắt chúng nó viết ra thành văn bản và nếu nó không đảm bảo được thì bắt SP đền bù.
zim
30-07-08, 10:15
Bac không biết tụi VNPT nó là bố đời ạ ? Em gọi điện hỏi ADSL sao chết chúng nó bảo thẳng tưng : Phòng kỹ thuật nghỉ hết rồi, sáng thứ 2 gọi lại nhé ( em gọi sáng thứ 7 ).

Nhưng em sẽ theo ý của bác, sẽ tìm hợp đồng xem có ràng buộc được tí nào ko ? Bên em đang tuyển IT nhưng khả năng không thể có sớm. Đành tự mầy mò vậy :)
chairuou
20-10-08, 14:32
Bọn Service provider nó viết SLA (Service Level Agreement ) thế nào ? Hợp đồng ra sao ?
Bảo đảm tốc độ đường truyền WAN ra sao ? QOS có turned on không ?
Bao nhiêu giờ thì WAN phải trở lại bình thường trong trường hợp sự cố.

Nếu chưa có SLA thì phải bắt chúng nó viết ra thành văn bản và nếu nó không đảm bảo được thì bắt SP đền bù.

bác này chắc từ hồi biết cắm dây đồng chạy xuyên cánh đồng là ở bên Tây rồi hì hì.

@zim,

bắt bọn bưu điện dưới HY check cái modem xem để UBR hay CBR ở cả đầu của mình lẫn đầu của nó. tớ đã từng bị thế với quả Biên Hoà - HCM, HCM đi Biên Hoà mượt như nhung, HN- BH cũng thế, từ BH đi thì cứ....là lá la.
nói chung VTN thì phải đánh đập kiểu này này: 2AM gọi điện, anh ơi line em đứt :D
vài lần thế bao giờ nó thuộc giọng của zim thì lúc ấy làm việc mới tình thương mến thương
Tuy nhiên việc sú pọt của nó là cả 1 vấn đề vì bọn chúng theo mô hình ăn chia, khi ta kí với VTN 1 hợp đồng thì bọn VTN hưởng 1 phần bự, các phần còn lại nó chi trả cho bưu điện tại các host local (nơi mà modem của ta được nối tới) và khi có chuyện gì thì VTN gọi tới các chỗ đó nên chuyên SLA guarantee là chuyện không tưởng trừ khi VNPT hoặc Bộ ra chỉ thị cưỡng bức các cty phải làm (nghe cứ như mơ)
Tuy nhiên với Bưu điện HN thì hàng tháng hay qúi gì đó ( ko nhớ nữa) sẽ có 1 bạn đến nơi với tờ giấy và đề nghị mình cho nhận xét về chất lượng blah blah và kí vào, nếu BĐ HY có tiết mục đó thì có thể nhân đó mà chửi :D
nói chung để chiến đấu với các telecom provider ở VN là cả 1 nghệ thuật đòi hỏi kiên trì, lão luyện, thô bỉ, lịch sự, bẩn tưởi, ngoa ngoắt v.v...
chúc zim bình an :D