Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
Otkrick

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Otkrick
 
мож DHCP не доходит до него ? Немного не понял что как и куда подключено.... Комп первый а потом телефон или телефон первый а потом комп ?  

 
как вариант, есть идеи как проверить? но до компа доходит же при тех же условиях
 
* К свитчу Cisco Catalyst 500 подключен телефон IP Phone 7911, к телефону подключен комп: свитч-тел-комп

Всего записей: 30 | Зарегистр. 01-08-2009 | Отправлено: 12:12 12-08-2011
fantas1st0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Otkrick
будте добры настройку каталиста, в частности этого порта
Valery12

Цитата:
в класике это работает когда на коммутаторе порт куда подключается телефон настроен как транк

я бы сказал не транк, у мульти влан акцес

Всего записей: 10 | Зарегистр. 01-10-2009 | Отправлено: 12:54 12-08-2011 | Исправлено: fantas1st0, 12:58 12-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
я бы сказал не транк, у мульти влан акцес
конечно дело терминологии, но по мне так типичный транк, с тем отличием что вместо native vlan используется data vlan.
автор не дает полную схему своего творения, я так понимаю что он соединил две каталисты посредством двух вдсл модемов, тогда мало правильно настроить порт для телефона, должны быть настроены порты которые соединяют модемы и должны быть настроены сами модемы. насколько я помню такие модемы работают в нескольких режимах с виланами: либо Port-based либо 802.1Q отсюда и нужно плясать.  
И не забыть разрешить на каталистах CDP

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 13:47 12-08-2011
fantas1st0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
конечно дело терминологии, но по мне так типичный транк

Я безусловно понимаю, что Вы имеет ввиду, но все таки если быть чесным, то порт можно настроить именно транком, но это не самый используемый вариант.
 
А вообще да, дайте полную схему

Всего записей: 10 | Зарегистр. 01-10-2009 | Отправлено: 14:32 12-08-2011
Chemberlek

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Внесу свои пять копеек по-поводу мнения Valery12 относительно Voice-VLAN.
 
0) Предполагаю, что данные и голос в сети должны обслуживаться по-разному, т.е. должны быть четко разделены между собой. Возможные подключения телефона.
1) Порт подключения "access". Данные и голос идут вместе. Это может привести к тому, что всплески трафика данных будут отрицательно влиять на качество голоса. Конечно, если телефон "умный", он сможет ограничивать трафик данных дабы он не забивал голосовой трафик. Также он сможет маркировать соответствующим образом голос и данные. Поэтому в качестве основной меры предполагается сразу  разносить трафик голоса и данных по разным VLANs.  
2) Если телефон "тупой" и не может маркировать трафик, то в этом случае лучше всего подключать телефон в один "access"-порт, а компьютер в другой "access"-порт.
3) CDP + Voice-VLAN, LLDP-MED + Voice-VLAN. В данном случае порт является обычным "access"-портом до тех пор, пока к нему не подключится телефон. После этого коммутатор распознает (по CDP или LLDP-MED) наличие телефона, если нужно и/или возможно, передает на него некоторые параметры QoS и включает у себя Voice-VLAN. Отличие Voice-VLAN от Native-VLAN в том, что Voice-VLAN включается как только будет включен телефон, а Native-VLAN включен все время. Я очень сильно подозреваю, что это и есть главная "фича" Voice-VLAN и чтобы отличать от обычного "trunk" дали ей другое название.
 

Цитата:
конечно дело терминологии, но по мне так типичный транк, с тем отличием что вместо native vlan используется data vlan.

 
IMHO. Название Voice-VLAN это, конечно, просто терминология чтобы отличать обычный "trunk"-порт от "trunk"-порта который без телефона просто "access"-порт а с телефоном становится "trunk"-портом с возможностью передачи некоторых параметров QoS телефону. Ну, с таким же успехом мы можем вместо слова "мотоцикл" говорить "велосипед с установленным двигателем, увеличенными размерами колес на котором можно быстро ехать при наличии бензина в баке" .
 
IMHO2. Относительно Native-VLAN. На вскидку не приведу ссылку, но вроде как Cisco в курсах проектирования сети рекомендует в целях безопасности:
1) для всех портов Native-VLAN указать неиспользуемый нигде VLAN. Т.е. использование Native-VLAN не очень рекомендуется.
2) все неиспользуемые сделать "access"-портами принадлежащими неиспольуемому нигде VLAN
3) все неиспользуемые порты выключить

Всего записей: 39 | Зарегистр. 12-01-2007 | Отправлено: 11:15 16-08-2011 | Исправлено: Chemberlek, 11:24 16-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
3) CDP + Voice-VLAN, LLDP-MED + Voice-VLAN. В данном случае порт является обычным "access"-портом до тех пор, пока к нему не подключится телефон.

вот так выглядит обычный "access"-порт
 
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 50
 
а вот так порт для IP телефона
 
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 50
 switchport voice vlan 10
 
и эта последняя строчка сама не появляется при подключении телефона - ее туда админ добавляет. И только в этом случае свич по CDP передаст телефону номер его VLAN и он сможет помечать фреймы правильным тегом.
 

Цитата:
Если телефон "тупой" и не может маркировать трафик

если в телефоне есть гнездо для подключения компьютера значит в него встроен двухпортовый свич с поддержкой 802.1q и маркировать трафик он может в любом случае. Тупость может заключаться в том что не всякий телефон понимает по CDP или LLDP на какой vlan ему нужно настроится, но не проблема его и вручную настроить или отключить тегирование чтобы он смог работать в обычном "access"-порту
 
А сравнение такое я делал для человека, который возможно не совсем в курсе настроек телефонии, так сказать для наглядности и только.

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 11:58 16-08-2011
Chemberlek

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12
Да, я согласен с тем, что все настройки делаются на стороне коммутатора потому как именно он отдает их телефону.
 
Далее, вы пишете вот это
первое:

Цитата:
если в телефоне есть гнездо для подключения компьютера значит в него встроен двухпортовый свич с поддержкой 802.1q и маркировать трафик он может в любом случае.

и вот это, второе:

Цитата:
Тупость может заключаться в том что не всякий телефон понимает по CDP или LLDP на какой vlan ему нужно настроится

и я не понимаю почему вы считаете, что первое - выполняется всегда, а второе - НЕ всегда. Для меня оба пункта не очевидны и требуют проверки по документации. Да, бывают моменты когда оборудование ведет себя не так как написано в документации, но на этапе подбора телефона нужно читать "datasheet" и смотреть что он может делать т.к. лично для меня, наличие отдельного порта для подключения компьютера НЕ означает поддержку 802.1Q.
 
 
 Вообще, я хотел лишь заметить, что считать "trunk" и "access"-порт с включенным "voice-VLAN" - это очень плохо т.к. это разные вещи предназначенные для разных целей и, как следствие, умеющих делать разные вещи.
 

Цитата:
А сравнение такое я делал для человека, который возможно не совсем в курсе настроек телефонии, так сказать для наглядности и только.

Ну, здесь, конечно, вам виднее. Главное не оказать человеку "медвежью услугу", если он собирается заниматься этим, то лучше сразу говорить суровую "правду".

Всего записей: 39 | Зарегистр. 12-01-2007 | Отправлено: 18:11 16-08-2011 | Исправлено: Chemberlek, 18:14 16-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 Вообще, я хотел лишь заметить, что считать "trunk" и "access"-порт с включенным "voice-VLAN" - это очень плохо т.к. это разные вещи предназначенные для разных целей и, как следствие, умеющих делать разные вещи.  

Вот хоть убейте, но я считаю по другому, "access"-порт с включенным "voice-VLAN" это "специфический" "trunk-порт" с дополнительными возможностями, а именно берем класически настроенный порт  

Цитата:
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 50
 switchport voice vlan 10  

и вот такой транковый

Цитата:
interface FastEthernet0/1
 switchport mode trunk
 switchport trunk native 50
 switchport trunk allow vlan 10

И тот и другой вариант изначально делает одно и то же - vlan 10 тегирует, vlan 50 отправляет без тегов,  
разница во втором случае:
- даже родной цискофон придется настраивать вручную, в том числе и приоритезацию  
- вместо IP телефона можно подключить что угодно (в первом случае коммутатор пропустит трафик только от телефона)
Тоесть к обычному транку мы получаем дополнительные фичи: автонастройку и дополнительный контроль порта
 
P.S.
Надеюсь мы никого не раздражаем этим теоретическими рассуждениями, ибо кардинальных разногласий нет и все понимают о чем говорят.

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 11:02 17-08-2011 | Исправлено: Valery12, 11:06 17-08-2011
Chemberlek

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
кардинальных разногласий нет и все понимают о чем говорят.

Да, это верно. Это просто я стараюсь думать и запоминать в терминах производителя и технологий. Так, на всякий случай.
 
Я с голосом не работал и знаком только с "фичами" для коммутаторов, расказанных в "Routing & Switching"-курсах.
 

Цитата:
даже родной цискофон придется настраивать вручную, в том числе и приоритезацию  

Наверное это так, я не в курсе можно ли по CDP передавать номер VLAN и приоритет которые должен использовать телефон.
 
Немного не в тему, но я тут читал про подобную "фичу" для коммутаторов от Juniper Networks. Они используют стандартный LLDP-MED. Посредством данного протокола на телефон передается информация о Data-VLAN и Voice-VLAN о том в каком виде передавать (тег, без тега), номер VLAN и приоритет по 802.1p.
Список телефонов, понимающих LLDP-MED, год назад был не очень большой, от Cisco было около 11 моделей и насколько полно они поддерживали LLDP-MED это тоже вопрос. Но, думаю, это дело времени. Стандарт открытый, другие производители подтянуться, наверное. Т.к. самым правильным решением является настройка всех параметров на порту коммутатора. Если подключается телефон и он проходит аутентификацию, то данные должны быть переданы ему от коммутатора и нечего одни и те же настройки делать на двух сторонах! IMHO.

Всего записей: 39 | Зарегистр. 12-01-2007 | Отправлено: 21:54 17-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Список телефонов, понимающих LLDP-MED, год назад был не очень большой, от Cisco было около 11 моделей
Знаю что Nortel удалось подружить через LLDP, а вот у меня avaya хоть и поддерживает этот протокол но все равно не понимает на какой вилан настроится, в результате приходилось отдавать настройки по DHCP, сначала телефон получал адрес в data vlan читал option 242 (или 176 в зависимости от модели) выяснял свой voice vlan, перезагружался и уже получал адрес в voice vlan. Потом плюнул и стал подключать их в обычный access port без компьютеров.

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 10:09 18-08-2011
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 Если подключается телефон и он проходит аутентификацию, то данные должны быть переданы ему от коммутатора

какая связь между если.... и то ?
если телефон проходит аутентификацию (зачем?), то данные скорее всего получит от радиуса.
а какую информацию телефон должен предоставлять для аутентификации?

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 10:19 18-08-2011
DiZka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите комрады как передать файл на tftp с не стандартным портом?
т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак
 
#copy flash:/file.txt tftp://1.1.1.1:70/ не работает

Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 10:32 18-08-2011
Chemberlek

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Потом плюнул и стал подключать их в обычный access port без компьютеров.

ага, именно поэтому я написал ранее

Цитата:
2) Если телефон "тупой" и не может маркировать трафик, то в этом случае лучше всего подключать телефон в один "access"-порт, а компьютер в другой "access"-порт.

хотя, конечно, это было не мое открытие, просто взял "best practice", конкретно в этот раз взял у Juniper Networks. По мне - так это оправдано, т.к. оконечное оборудование должно (опять же по "best practice", но уже Cisco Systems) подключаться к коммутаторам уровня доступа, которые имеют много дешевых портов.
 

Цитата:
какая связь между если.... и то ?  
 если телефон проходит аутентификацию (зачем?), то данные скорее всего получит от радиуса.  
 а какую информацию телефон должен предоставлять для аутентификации?

Я имел ввиду следующий сценарий. Настройки голоса на сети одинаковые, следовательно, они (номера VLAN, политики и др.) входят в типовую конфигурацию коммутатора и уже настроены. Телефон проходит аутентификацию не через 802.1X (вдруг не поддерживает), а через проверку MAC-адреса через RADIUS (ведь база инвентаризации телефонов ведется и MAC-адреса всех телефонов известны).
 
Хотя, опять же, я согласен с тем, что вариантов может быть много и в каждом конкретном случае многое зависит от кучи мелочей.
 
Добавлено:
DiZka

Цитата:
Подскажите комрады как передать файл на tftp с не стандартным портом?  
 т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак  
 #copy flash:/file.txt tftp://1.1.1.1:70/ не работает

Вопрос, конечно, интересный. Насколько прав "command reference", TFTP подразумевает стандартный порт и изменить его в опциях соманды "copy" нельзя. Единственное, что приходит на ум, это замена порта где-нибудь "посередине" между маршрутизатором и сервером. У меня сейчас доступа к оборудованию нет, а то я бы попробовал использовать NAT чтобы поменять порт назначения для сессии между конкретными адресами.

Всего записей: 39 | Зарегистр. 12-01-2007 | Отправлено: 11:26 18-08-2011 | Исправлено: Chemberlek, 11:29 18-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак
 
#copy flash:/file.txt tftp://1.1.1.1:70/ не работает  

а это не из той оперы?
 
access-list 10 permit 1.1.1.1
ip port-map tftp port 70 list 10
 
Добавлено:
кстати слышали по поводу сетки 1.0.0.0 ее наконец распределили тихоокеанскому региону и как только стали маршрутизировать полез неслабый   трафик, особенно с 1.1.1.1

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 14:02 18-08-2011
DiZka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1.1.1.1 приведен просто для примера

Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 15:37 18-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DiZkaЭто я к слову
Цитата:
access-list 10 permit 1.1.1.1
ip port-map tftp port 70 list 10  
не поможет, если это роутер конечно.
 

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 15:51 18-08-2011
DiZka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Свитч  
 
Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 50    WS-C2960-48TT-L    15.0(1)SE             C2960-LANBASEK9-M

Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 15:53 18-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
WS-C2960-48TT-L  
тогда не знаю, в свичах PAM нет.

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 16:06 18-08-2011
kracnov

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите можно ли в Cisco Catalyst 3560 реализовать привязку к портам по mac адресам и как это делается?

Всего записей: 4 | Зарегистр. 27-09-2009 | Отправлено: 18:24 18-08-2011
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подскажите можно ли в Cisco Catalyst 3560 реализовать привязку к портам по mac адресам и как это делается?

switchport port-security  
switchport port-security violation protect
switchport port-security mac-address xxxx.yyyy.zzzz
 
трафик будет пропускаться только от xxxx.yyyy.zzzz
если switchport port-security violation shutdown
при появлении другого мака порт будет заблокирован.

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 20:51 18-08-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru