Paranoik_13 Крестоносец Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Настройка Cisco оборудования   Уже обсуждалось на форуме Общие Access list для Router (cisco) Cisco Catalyst 2950: как правильно обновить   IOS? Закачка IOS через tftp-сервер Switch Cisco 2950 Catalyst 3548 Series XL Router Как поднять NAT на Cisco 2600 Как настроить VPN на CISCO 2611 Cisco 1701 и PPPoE Настройка Cisco 877 мостом PIX / ASA Настройка Cisco PIX Firewall / ASA CISCO PIX 7.04 форвардинг портов. КАК? Сброс пароля на Cisco PIX 501 cisco pix 501 config помогите Помогите настроить PIX Cisco ASA 55x0 Remote Access VPN Aironet Cisco Aironet   Cisco IPS/IDS Cisco IDS Sensor (NM-CIDS)   Поиск OS Cisco IOS   Cisco Security Software Cisco Security Software   Полезные ссылки http://cisco.com - тут как гворится есть всё ! http://ciscolab.ru - CiscoLab Лаборатория Сетей http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru http://faq-cisco.ru/ - cisco на русском http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia http://dreamcatcher.ru -   http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco http://anticisco.ru - молодой портал по цискам     Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022

Twdma Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору целиком покажите ацл и настройки интерфейса, будет проще, чем гадать. и что вы вписать пытаетесь, отдельной строкой Всего записей: 50 | Зарегистр. 30-09-2011 | Отправлено: 08:58 25-12-2015

madblackjack Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот кусок конфига.   Код:     ip dhcp excluded-address 192.168.10.1 192.168.10.10 ! ip dhcp pool IPS-WIFI  network 192.168.10.0 255.255.255.0  domain-name ips.sp5  default-router 192.168.10.1    dns-server 217.26.150.4 8.8.8.8    lease 0 4 ! ! ! ip domain name ips.sp5 ip name-server 217.26.150.4 ip name-server 7.248.160.5 ip name-server 8.8.8.8 no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! ! ! ! interface Embedded-Service-Engine0/0  no ip address  shutdown ! interface GigabitEthernet0/0  description $ETH-WAN$  ip address 178.168.A.B 255.255.255.0  ip flow ingress  ip flow egress  ip nat outside  ip virtual-reassembly in  duplex auto  speed auto ! interface GigabitEthernet0/1  description $ETH-LAN$  ip address 192.168.0.1 255.255.255.0 secondary  ip address 192.168.3.1 255.255.255.0 secondary  ip address 192.168.10.1 255.255.255.0  ip access-group lan_net in  ip flow ingress  ip flow egress  ip nat inside  ip virtual-reassembly in  duplex auto  speed auto ! ip forward-protocol nd ! ip http server ip http access-class 1 ip http authentication local no ip http secure-server ! ip dns server ip nat inside source list lan_net_nat interface GigabitEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 178.168.A.1 ! ip access-list standard lan_net_nat  remark CCP_ACL Category=2  remark buh1  permit 192.168.0.110  remark gt  permit 192.168.0.98  remark cekr  permit 192.168.0.99  remark buh2  permit 192.168.0.100  remark buh3  permit 192.168.0.82  remark autom  permit 192.168.0.87  remark zamdir  permit 192.168.0.19  remark centr  permit 192.168.3.20  remark admin  permit 192.168.0.200  remark dir  permit 192.168.0.180  remark wifi  permit 192.168.10.0 0.0.0.255  permit 192.168.3.0 0.0.0.255 ! ip access-list extended lan_net  remark CCP_ACL Category=1  permit ip host 192.168.0.110 any  permit ip host 192.168.0.100 any  permit ip host 192.168.0.82 any  permit ip host 192.168.0.99 any  permit ip host 192.168.0.180 any  permit ip host 192.168.0.98 any  permit ip host 192.168.0.19 any  permit ip host 192.168.0.200 any  permit ip host 192.168.3.20 any  permit ip host 192.168.0.87 any  permit udp any eq bootps any  permit udp any eq bootpc any  permit udp any eq domain any  permit tcp any eq domain any  permit icmp any any  permit tcp 192.168.10.0 0.0.0.255 any  permit udp 192.168.10.0 0.0.0.255 any  permit tcp 192.168.3.0 0.0.0.255 eq domain any  permit tcp 192.168.3.0 0.0.0.255 eq www any eq www  permit tcp 192.168.3.0 0.0.0.255 eq 443 any ! ! ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2  no activation-character  no exec  transport preferred none  transport output pad telnet rlogin lapb-ta mop udptn v120 ssh  stopbits 1 line vty 0 4  privilege level 15  transport input telnet ssh ! scheduler allocate 20000 1000 ! end     Как только 10-ой сетке ставлю параметры как у 3-ей, начинаются проблемы как я описывал выше. Всего записей: 3 | Зарегистр. 12-05-2006 | Отправлено: 11:08 26-12-2015 | Исправлено: madblackjack, 11:11 26-12-2015

Twdma Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору madblackjack попробуйте    permit tcp 192.168.10.0 0.0.0.255 eq www any    permit tcp 192.168.10.0 0.0.0.255 eq 443 any   или же не обратные  permit tcp 192.168.10.0 0.0.0.255 any eq domain    permit tcp 192.168.10.0 0.0.0.255 any eq www    permit tcp 192.168.10.0 0.0.0.255 any eq 443     впишите строки над вашими правилами, посмотрите есть матчи, что будет происходить после каждого варианта. что хотите ограничить, входящий или исходящий трафик?   Всего записей: 50 | Зарегистр. 30-09-2011 | Отправлено: 21:55 27-12-2015

madblackjack Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Благодарю за ответ. Но первый вариант я уже пробовал(надо будет 2-ой). Такое впечатление, что при моём конфиге, проходят только ICMP пакеты,( т.к. внешние адресса пингуются). Ограничить хочу трафик из локалки на вход маршрутизатора (торренты и тд). п.с. 3-я сетка тоже не работает, я на ней какраз и  эксперементирую, пока дал 10-ой "any" ,так она заводится, но соответсвенно не блокирует ничего. Всего записей: 3 | Зарегистр. 12-05-2006 | Отправлено: 10:53 28-12-2015

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cRYSMAS Цитата: Хочу что б саб интер. работал не в trunk режиме а access...   А как он работает, по-твоему? У тебя весь gi 0/2 в транковом режиме, а те сабы, что ты создашь, будут акцесс для соответствующих виланов. gi 0/2.10 - нетегированный 3, остальные должны быть тегированными. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 11:19 29-12-2015

Belua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Cisco 7206VXR   Подскажите, есть команда rate-limit . На одном из интерфейсов висит ограничение: Код:   interface GigabitEthernet0/1.755  description MyVLAN  encapsulation dot1Q 755  ip address 77.88.8.2 255.255.255.252  rate-limit input 102400000 3840000 7680000 conform-action transmit exceed-action drop  rate-limit output 10240000 3840000 7680000 conform-action transmit exceed-action drop  no cdp enable     Как отменить оба ограничения? Если в настройке интерфейса вызываю   no rate-limit input 102400000 3840000 7680000 conform-action transmit exceed-action drop no rate-limit output 10240000 3840000 7680000 conform-action transmit exceed-action drop   Команда проходит, но настройка интерфейса не меняется.   Как отменить все ограничения на порту.   И второй вопрос, как посмотреть на этом маршрутизаторе текущую загруженность интерфейса? Или только прикручивать анализ  NetFlow или собирать по SNMP cacti/nagios/zabbix? Всего записей: 175 | Зарегистр. 09-03-2007 | Отправлено: 08:07 14-01-2016 | Исправлено: Belua, 08:13 14-01-2016

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Belua Похоже на глюк иоса. Посвежее есть возможность залить?    можно экспериментами заняться. сначала изменить на rate-limit input 102400000 3840000 7680000 conform-action transmit exceed-action transmit rate-limit output 10240000 3840000 7680000 conform-action transmit exceed-action transmit может после этого удалится.   надежный  вариант исправить startup-config, ну, и грузануть соответственно. 1. tftp/ftp the startup config to yourself 2. edit the file 3. tftp the edited file back to the router overwriting the startup config ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11740 | Зарегистр. 10-12-2003 | Отправлено: 08:54 14-01-2016 | Исправлено: ipmanyak, 09:00 14-01-2016

Belua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Эксперимент проведу, но сильно экспериментировать не хочется - , боевое железо с огромным количеством клиентов и стоящее на другом конце города.   А по второму вопросу, кто сможет подсказать? Всего записей: 175 | Зарегистр. 09-03-2007 | Отправлено: 12:24 14-01-2016

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Belua Код: show int gi0/0 GigabitEthernet0/0 is up, line protocol is up   Hardware is BCM1250 Internal MAC, address is 0011.2233.4455 (bia 0011.2233.4455) Description: link 1 MTU 1540 bytes, BW 1000000 Kbit, DLY 10 usec,      reliability 255/255, txload 35/255, rxload 20/255 Encapsulation 802.1Q Virtual LAN, Vlan ID  1., loopback not set Keepalive set (10 sec) Full Duplex, 1000Mbps, media type is RJ45 output flow-control is XON, input flow-control is XON ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 0/75/3208/72484 (size/max/drops/flushes); Total output drops: 1373910311 Queueing strategy: Class-based queueing Output queue: 0/1000/12 (size/max total/drops) 5 minute input rate 79658000 bits/sec, 19312 packets/sec 5 minute output rate 140174000 bits/sec, 21984 packets/sec   79 мегабит на вход и 140 на выход. Или о какой загрузке вы ведете речь?   show int gi0/0  rate-limit       ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11740 | Зарегистр. 10-12-2003 | Отправлено: 13:32 14-01-2016 | Исправлено: ipmanyak, 13:38 14-01-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Belua Цитата: А по второму вопросу, кто сможет подсказать? С помощью команды show interface GigabitEthernet0/1 ты можешь увидеть что-то типа ...............   5 minute input rate 5502000 bits/sec, 692 packets/sec 5 minute output rate 1217000 bits/sec, 594 packets/sec .................. Но это на весь интерфейс, отдельно на вилан команда не показывает. С помощью sh vlans 755 можешь посмотреть весь трафик на  vlan Virtual LAN ID:  755 (IEEE 802.1Q Encapsulation)      vLAN Trunk Interface:   GigabitEthernet0/1.755      Protocols Configured:   Address:              Received:        Transmitted:            IP              21.21.21.1       1584890859          1314811208         Other                                           0                2101      5879858155 packets, 4273600714878 bytes input    5609780605 packets, 2097756746308 bytes output   Почистив счетчики и замерив по времени, можешь примерно оценить загрузку.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 13:40 14-01-2016

Belua Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Почистив счетчики и замерив по времени, можешь примерно оценить загрузку.     Не выйдет, много VLAN`ов на интерфейсе. Всего записей: 175 | Зарегистр. 09-03-2007 | Отправлено: 06:43 15-01-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Belua Цитата: Не выйдет, много VLAN`ов на интерфейсе. Ну и что? Ты очистишь счетчики всего интерфейса, а потом посмотришь (через час, допустим) sh vlans ХХХ   трафик на интересующих тебя виланах ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 10:52 15-01-2016

StaDen Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Всем привет, прошу проконсультировать в настройках ACL. Есть изолированный vlan 10  доступ к которому имеется только из административной сети 192.168.20.0/24.   interface Vlan10  ip address 192.168.10.1 255.255.255.0  ip access-group 4 out   ip default-gateway 192.168.1.1 ip route 0.0.0.0 0.0.0.0 192.168.1.1   access-list 4 permit 192.168.20.0 0.0.0.255   Возникла задача разрешить двум IP (192.168.10.2 и 192.168.10.3) из Vlan 10 доступ наружу.   Правильно ли я поступлю, если добавлю к interface Vlan10 список доступа в направлении in: ip access-group 5 in  и соответственно два стандартных ACL: access-list 5 permit 192.168.10.2 access-list 5 permit 192.168.10.3   т.е не ограничу ли я новым ACL, доступ из сети 192.168.20.0/24 – двумя узлами ?   Всего записей: 137 | Зарегистр. 04-10-2006 | Отправлено: 00:54 30-01-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору StaDen   Что за бред? Зачем два акцесс-листа на одном интерфейсе? Обычно вешают один, либо ин, либо аут. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 11:40 30-01-2016

StaDen Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary   Действительно, есть правило: Нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление. Я понимал это правило по своему, т.е, что нельзя разместить более 1 ACL на направление на интерфейсе. И недавно наткнулся, что некоторые индивиды говорят- “ в принципе ничего не мешает повесить 2 ACL на in и out на один интерфейс”. Вот и решил спросить… А все таки если бы я повесил 2 ACL как предполагал ранее, то ограничил ли бы новым ACL, доступ из сети 192.168.20.0/24 – двумя узлами ?   И если делать по правильному... я предполагаю, что мне нужно использовать расширенный ACL, но не могу понять в каком направлении его применить??     Всего записей: 137 | Зарегистр. 04-10-2006 | Отправлено: 17:09 30-01-2016 | Исправлено: StaDen, 17:13 30-01-2016

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору StaDen Цитата: И если делать по правильному... я предполагаю, что мне нужно использовать расширенный ACL, но не могу понять в каком направлении его применить??   В любом. Допустим тебе нужно запретить общаться сети 192.168.20.0 со всеми. И сделать исключение для хоста 192.168.20.100 Ты можешь сделать это через входящий список  access-list 115 permit ip host 192.168.20.100  any  access-list 115 deny ip 192.168.20.0 0.0.0.255 any либо через исходящий    access-list 115 permit ip  any host 192.168.20.100  access-list 115 deny ip  any 192.168.20.0 0.0.0.255 В любом случае связь будет  между 192.168.20.100 и всеми, а для остальной сети связи не будет. Соответственно списки можно усложнить, добавить конкретно, к каким сетям/хостам/портам может быть связь, а к каким сетям/хостам/портам ее быть не должно,   но это уже детали.   Ну и понятно, что списки доступа сети  192.168.20.0 к сети  192.168.10.0 можно повесить как на интерфейс первой сети, так и на интерфейс второй сети. Не надо только правила дублировать, чтобы не нагружать лишней проверкой железку.    Акцесс листы на циске очень важная вещь, рекомендую хорошо их усвоить. В качестве вводного ликбеза рекомендую статью на Хабре, а потом более детально ознакомиться с мануалами на цискодроме. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 17:56 30-01-2016

StaDen Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Спасибо, не раз вы мне помогали своими ответами. Цитата: Ну и понятно, что списки доступа сети  192.168.20.0 к сети  192.168.10.0   можно повесить как на интерфейс первой сети, так и на интерфейс   второй сети. Мне кажется, что следующие варианты будут не равнозначны: 1) ip access-list extended Vlan10_in permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 2)   ip access-list extended Vlan20_in permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 (или permi ip any 192.168.10.0 0.0.0.255)   И возвращаюсь к своей задаче, то думаю без двух ACL не обойтись, т.е   ip access-list extended Vlan10_in permit tcp host 192.168.10.2 any eq smtp permit tcp host 192.168.10.3 any eq smtp   ip access-list extended Vlan20_in permi ip any 192.168.0.0 0.0.255.255   *Именованные ACL привязываются к соот-щему интерфейсу VLAN   *Хостам дал доступ только по SMTP *Доступ из административной сети расширил   Всего записей: 137 | Зарегистр. 04-10-2006 | Отправлено: 00:42 01-02-2016 | Исправлено: StaDen, 00:44 01-02-2016

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование