Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BumerangII
поговорите с провайдером. что за узел 85.223.228.134?
 
>ping 212.82.214.138
 
Pinging 212.82.214.138 with 32 bytes of data:
Reply from 212.82.214.138: bytes=32 time=39ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
Reply from 212.82.214.138: bytes=32 time=32ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
 
Ping statistics for 212.82.214.138:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 27ms, Maximum = 39ms, Average = 31ms
 
>ping 212.82.216.249
 
Pinging 212.82.216.249 with 32 bytes of data:
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
 
Ping statistics for 212.82.216.249:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
 
ASA5510# ping 212.82.216.249
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.82.216.249, timeout is 2 seconds:
ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134on interface 1

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:44 15-03-2011
pojar



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите с ACL.
Хочу на интерфейсы, что смотрят в Internet повесить ACL в котором прописаны сети в которых расположены два роутера, в целях безопасности.
 
например
ip access-list extended fw
permit ip 123.123.123.123 0.0.0.255 any
permit ip 456.456.456.456 0.0.0.255 any
 
на интерфейс прописываю
ip access-group fw in
ip access-group fw out
 
Проблема в том, что все остальное естественно блокируется и доступа к сайтам в других сетях нет. Что еще разрешить, чтобы заходить на 80 порт вне этих сетях.

Всего записей: 28 | Зарегистр. 07-06-2008 | Отправлено: 13:49 16-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pojar
Цитата:
Что еще разрешить, чтобы заходить на 80 порт вне этих сетях.
 
permit tcp any any port eq 80

Цитата:
ip access-group fw in
ip access-group fw out  
Это еще зачем? Вполне достаточно одного фильтра, либо на вход, либо на выход.
А что конкретно настраивать, ты уж почитай, не ленись.
 
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 14:07 16-03-2011
pojar



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
permit tcp any any port eq 80

 
команды port нету, без порта не работает. ИОС ADVENTERPRISEK9-M Version 12.4(15)T5, RELEASE SOFTWARE (fc4)

Всего записей: 28 | Зарегистр. 07-06-2008 | Отправлено: 14:21 16-03-2011 | Исправлено: pojar, 14:23 16-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pojar
Цитата:
команды port нету
Да это я навскидку писал.
На самом деле, если фильтр входящий для внешнего интерфейса, то  
permit tcp any eq 80 any gt 1024
если исходящий, или входящий на внутреннем интерфейсе, то  
permit tcp any any  eq 80
А самое лучшее вообще убрать в локалке доступ наружу и поставить прокси сервер.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 15:47 16-03-2011
BumerangII



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091 спасибо за помощь, разобрался - провайдер протупил и не перенес конфигурацию в полном объеме.
не ожидал от серьезного провайдера такого косяка
 

Цитата:
поговорите с провайдером. что за узел 85.223.228.134?  

 

Всего записей: 88 | Зарегистр. 14-12-2005 | Отправлено: 23:06 16-03-2011
pad343848

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята, подскажите.
 
Какой лучше купить Цыско роутер для задач: NAT под 400-450 человек (не интернет провайдер) и канал шириной в 60-70мбит\с.




оффтопик /ShriEkeR/

Всего записей: 3 | Зарегистр. 24-03-2011 | Отправлено: 21:25 24-03-2011 | Исправлено: ShriEkeR, 22:39 24-03-2011
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pad343848
только под NAT? Без файрвола и разного рода PBR?

Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 23:00 24-03-2011
kadaber

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ребята, подскажите, с цисками знаком мало..
есть cisco 2801
Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(24)T1, RELEASE SOFTWARE (fc3)
 
из модулей только плата vic2-2fxs, ну и pvdm2-16
не поднимается fa 0/0 (видимо сдох, хотя как проверить не знаю, после up, сразу уходит в down как будто кабель не подключен)  
хотел тогда поднять саб интерфейс на fa 0/1 и через влан прописать там локалку..  
но получаю ругань
 
router(config)#int vlan100
                          ^
% Invalid input detected at '^' marker.
 
при этом в другом офисе есть циска с аналогичным иосом и там все нормально..  

Всего записей: 19 | Зарегистр. 01-07-2009 | Отправлено: 23:41 29-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kadaber
Цитата:
в другом офисе есть циска с аналогичным иосом
С аналогичным, но видимо, более ранним...
Через int vlan100 вланы делали раньше. Теперь делают по-другому:

Код:
interface FastEthernet0/1
no ip address
 duplex auto
 speed auto
 media-type rj45
....
interface FastEthernet0/1.1
 encapsulation dot1Q 100
  ip address 192.168.1.1 255.255.255.0
.....
....
interface FastEthernet0/1.2
 encapsulation dot1Q 101
  ip address 192.168.2.1 255.255.255.0
......
И так далее...


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 23:59 29-03-2011
kadaber

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary, спасибо, за ответ
все равно без свитча который бы держал вланы подключить локалку не получиться
 
есть еще один вопрос для тех кто сталкивался с телефонией циско..
циска стоит за НАТом провайдера на сером ip 10.10.10.2
на нее НАТится один внешний адрес A.B.C.D
звоню с нее на другую циску и я не слышу голоса, так же и при обратном звонке, меня прекрасно слышат
посомтрел дебаг, при установлении соединения моя циска в качестве своего адреса отдает серый 10.10.10.2, ну и соответственно весь голос отправляется туда..  
можно ли где то прописать чтобы циска отдавала адрес А.B.C.D ?

Всего записей: 19 | Зарегистр. 01-07-2009 | Отправлено: 12:58 30-03-2011
sure777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте. Наблюдаю что один из правил полиси роутинга то в апе то в дауне. В связи с этим интернет с обрывами. Не могли ли подсказать с чем это могло быть связано, хотя бы приблизительно, чтобы знать где что исправлять.  
 
Router#sh route-map  
route-map CO_NAT, permit, sequence 10  
Match clauses:  
ip address (access-lists): ALL_USERS  
ip next-hop (access-lists): CO_NH  
Set clauses:  
Policy routing matches: 0 packets, 0 bytes  
route-map SILK_NAT, permit, sequence 10  
Match clauses:  
ip address (access-lists): ALL_USERS  
ip next-hop (access-lists): SILK_NH  
Set clauses:  
Policy routing matches: 0 packets, 0 bytes  
route-map REDIRECT, permit, sequence 10  
Match clauses:  
ip address (access-lists): CO_USERS  
Set clauses:  
ip next-hop verify-availability 95.X.119.X 1 track 3 [up]  
Policy routing matches: 13111413 packets, 4248488739 bytes  
route-map REDIRECT, permit, sequence 30  
Match clauses:  
ip address (access-lists): SILK_USERS  
Set clauses:  
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]  
Policy routing matches: 65227468 packets, 2001012337 bytes  
route-map LOCAL, permit, sequence 10  
Match clauses:  
ip address (access-lists): CO_IP  
Set clauses:  
ip next-hop 95.X.119.X  
Policy routing matches: 560374 packets, 40695865 bytes  
route-map LOCAL, permit, sequence 20  
Match clauses:  
ip address (access-lists): SILK_IP  
Set clauses:  
ip next-hop 92.X.79.X  
Policy routing matches: 352830 packets, 26466061 bytes

Всего записей: 141 | Зарегистр. 25-03-2008 | Отправлено: 13:19 30-03-2011
alespopov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sure777

Цитата:
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]  

Ключевое тут: track 4
см. их так:
#sh track brief
и
#sh ip sla conf
и т.п.

Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 13:40 30-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kadaber
Цитата:
можно ли где то прописать чтобы циска отдавала адрес А.B.C.D ?  

Cisco IOS Firewall: SIP Enhancements: ALG and AIC


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 14:06 30-03-2011
kadaber

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
это применимо к h323?

Всего записей: 19 | Зарегистр. 01-07-2009 | Отправлено: 14:38 30-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kadaber
Цитата:
это применимо к h323?


Цитата:
H.323 is an ITU-T specification for transmitting audio, video, and data across a packet network. NAT supports four versions of the H.323 protocols: v1, v2, v3, and v4. The NAT Support for H.323 v3 and v4 in v2 Compatibility Mode feature enables Cisco NAT routers to support messages coded in H.323 v3 and v4 when those messages contain fields compatible with H.323 v2. This feature does not add support for H.323 capabilities introduced in v3 and v4, such as new message types or new fields that require address translation.

Using Application Level Gateways with NAT
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 15:37 30-03-2011
sure777

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alespopov
Рзеультат такой. Как видно track 4 то в апе то в дауне. У меня нет опыта и этот результат ничего не говорит. Может чем то поможете?
 
 
 
 
Router#sh track brief  
      H indicates object created via HSRP.
      |
Track H Object                           Parameter        Value ^P@
1     H interface   GigabitEthernet0/1   line-protocol    Up    2d18h
3       rtr         3                    state            Up    00:04:36
4       rtr         4                    state            Down    00:00:21
 
 
 
 
 
Router#sh ip sla configuration  
IP SLAs Infrastructure Engine-II
Entry number: 3
Owner:  
Tag:  
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.3/95.X.119.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:  
Request size (ARR data portion): 28
Verify data: No
Schedule:
   Operation frequency (seconds): 5  (not considered if randomly scheduled)
   Next Scheduled Start Time: Start Time already passed
   Group Scheduled : FALSE
   Randomly Scheduled : FALSE
   Life (seconds): Forever
   Entry Ageout (seconds): never
   Recurring (Starting Everyday): FALSE
   Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
   Number of statistic hours kept: 2
   Number of statistic distribution buckets kept: 1
   Statistic distribution interval (milliseconds): 20
History Statistics:
   Number of history Lives kept: 0
   Number of history Buckets kept: 15
   History Filter Type: None
Enhanced History:
 
Entry number: 4
Owner:  
Tag:  
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.4/92.X.79.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:  
Request size (ARR data portion): 28
Verify data: No
Schedule:
   Operation frequency (seconds): 5  (not considered if randomly scheduled)
   Next Scheduled Start Time: Start Time already passed
   Group Scheduled : FALSE
   Randomly Scheduled : FALSE
   Life (seconds): Forever
   Entry Ageout (seconds): never
   Recurring (Starting Everyday): FALSE
   Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
   Number of statistic hours kept: 2
   Number of statistic distribution buckets kept: 1
   Statistic distribution interval (milliseconds): 20
History Statistics:
   Number of history Lives kept: 0
   Number of history Buckets kept: 15
   History Filter Type: None
Enhanced History:

Всего записей: 141 | Зарегистр. 25-03-2008 | Отправлено: 23:10 30-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sure777  Чего ты этим вообще хотел добиться? И зачем треки накладывать на полиси роутинг? И зачем два трека?


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 01:37 31-03-2011
alespopov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sure777
собственно track это просто триггер, который может быть привязян к разным собитиям. Например к sla который настроен пинговать некий хост. Если пинга нет, - sla 'информирует' track об этом, и тот переключает свое соостояние.  
На основе состояния track можно выполнять некие действия, например разрешать/запрещать маршрут на некий хост как в данном случае.
 
Например:
До центрального офиса есть основной канал и запасной. Одним из способов проверить что эти каналы 'живы' и работоспособны, это проверять удаленный хост на той стороне пингом. В зависимости от этого маршрутизировать поток данных. Тут только надо учитывать что пинги могут отвечать по обоим каналам, и на эту тему я чуть ранее приводил ссылку, - рекомендую ознакомиться.  
Однако обычно действуют более простым способом, - указывая метрику маршрута (чем меньше - тем приоритетнее):
example(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 ?
  <1-255>    Distance metric for this route
  name       Specify name of the next hop
  permanent  permanent route
  tag        Set tag for this route
  track      Install route depending on tracked item
  <cr>
Т.е. пишут типа:
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.1 10.10.9.10 10 name PrimaryRoute
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.2 10.10.8.20 200 name BackupRoute
ну или подобное закручивают на полисях А бывает что и оба приема используют.
В данном-же случае вероятно что из-за потерь в канале, один пинг не проходит, и track переключается.
Итак, разберем что тут:

Цитата:
route-map REDIRECT, permit, sequence 10    
Match clauses:    
ip address (access-lists): CO_USERS    
Set clauses:    
ip next-hop verify-availability 95.X.119.X 1 track 3 [up]    
Policy routing matches: 13111413 packets, 4248488739 bytes    
route-map REDIRECT, permit, sequence 30    
Match clauses:    
ip address (access-lists): SILK_USERS    
Set clauses:    
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]    
Policy routing matches: 65227468 packets, 2001012337 bytes    

Не совсем понятно на что он навешан, но порядок такой:
1) Если IP попадает в CO_USERS то пакеты маршрутизируем на 95.X.119.X . Если не попадает - переходим к (2)
2) Если IP попадает в SILK_USERS то пакеты маршрутизируем на 92.X.79.X . Если не попадает - переходим к обычным маршрутам.
Для vlary
Понятно что обычным 'ip route' с метрикой тут видимо не заменить. И похоже человеку это в наследство досталось.
Далее разберем:

Цитата:
Type of operation to perform: icmp-echo  
Target address/Source address: 4.2.2.4/92.X.79.X  
Operation timeout (milliseconds): 2000  

Это значит что с '92.X.79.X' мы пингуем '4.2.2.4'  -  а Вы уверены что правильно выбрали объект пинга ? Может там сильно загружены что-б на пинги отвечать, вот и идет така свистопляска
 
Надеюсь я понятно все прояснил ?
 
 


----------
Да помогут Вам те боги, в которых Вы верите

Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 12:40 31-03-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alespopov Да, все именно так, треки обычно вешаются на маршруты, а раут-мапы зависят чисто от провайдера, ибо чужие айпи провайдер будет брить.
sure777 Нужно еще в треки добавить разумные тайм-ауты, чтобы они не дергали маршруты по каждому случайному пропаданию пинга. Типа что-нибудь
  Delay up 20 secs, down 10 secs
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 16:17 31-03-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru