Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco оборудования

Автор: slut
Дата сообщения: 01.06.2009 08:27
Dr_Greg
Процедура восстановления пароля описана тут.

Софт в этой ветке

Вопросы по настройке ASA в этой ветке
Автор: contrafack
Дата сообщения: 03.06.2009 19:08
Ребята, такой вопрос... правда слишком тупой выглядит, но по другому не смог оформить.

На меня повесили задачу:
- У CISCO свича (24 портовый или больше) слетают порты. Это слова местного "администратора" то есть время от времени порты вырубаются (и не работают потом). на компах пишет, что НЕТ ПОДКЛЮЧЕНИЕ.
Вот мне надо ехать и посмотреть что так к чему, но я понятие не имею о cisco оборудованиях. Может подскажете с чего надо начинать проверку и каким образом?
И вообше с чего могут слетать порты ?
P.S. кто то сказал, что надо заземлить свичи, и это может быть причиной это правильно ?
Автор: Sterh84
Дата сообщения: 03.06.2009 19:28
Сомнения меня гложат, по поводу отключающихся портов. Проверте port-secutiry, posrt status там будет понятнее.
Автор: contrafack
Дата сообщения: 03.06.2009 20:03
Sterh84

Цитата:
Проверте port-secutiry, posrt status там будет понятнее.

А вот дела в том, что я никогда не имел дело с cisco обарудованием, по этому не знаю что , где и как проверить !
можете подробно написать?
Автор: virusx
Дата сообщения: 04.06.2009 05:11

Цитата:
P.S. кто то сказал, что надо заземлить свичи, и это может быть причиной

на них и болт для этого есть)
Автор: v1tall
Дата сообщения: 04.06.2009 07:55
Отцы, помогите: Cisco Aironet-1300. Версия OS: 12.3(8).
Периодически (до нескольких раз в день), без явной причины происходит самопроизвольное понижение мощности радиосигнала. Соответственно - отваливаются клиенты, подключенные по Wi-Fi. Если подобраться с ноутом, например, поближе к ней то видно, что низкий уровень сигнала присутствует.
Несколько попыток коннекта к точке доступа - и уровень сигнала выходит на нормальный уровень, когда удаленные клиенты тоже начинают успешно цепляться.
Нормальная земля - присутствует. Точка доступа запитана через Smart-UPS.
Программный резет через веб-интерфейс не помогает. Сброс питания - помогает.

В чем может быть причина? Нет ли у таких цисок какого-нибудь режима сниженного энергопотребления? Имеет ли смысл перепрошить на новые версии Firmware + IOS?
Автор: slut
Дата сообщения: 04.06.2009 08:12
v1tall
Вполне может быть баг в софте... какая версия стоит?
Автор: v1tall
Дата сообщения: 04.06.2009 09:02
slut
Product/Model Number: AIR-BR1310G-A-K9-R
Top Assembly Serial Number: FTX1051U0KA
System Software Filename: c1310-k9w7-tar.123-8.JEA
System Software Version: 12.3(8)JEA
Bootloader Version: 12.3(2)JA4

Автор: contrafack
Дата сообщения: 04.06.2009 09:38
Так теперь мне надо обязательно заземлить его?

И еще, как узнать порт сгорел или просто отключится (защита какая-то) ????
Автор: slut
Дата сообщения: 04.06.2009 11:01
v1tall
Кэйса на этот иос нету, но, судя по описанию ситуации, ошибка программная.
Попробуйте обновиться?
Автор: dopelganger
Дата сообщения: 04.06.2009 12:35
Люди, добрый день.

Подскажите пож. возможно ли настроить 871 рутер следующим образом:

WAN порт смотрит в высокоскоростной инет, и через этот порт строится VPN с удаленным офисом. Вопрос, возможно ли "разрезать" этот интернет таким образом чтобы и VPN работал, и интернетом можно было пользоваться, но не всем а только ограниченному списку товарищчей.
Автор: v1tall
Дата сообщения: 04.06.2009 12:46
slut
Я прошу прощения - опыта по Cisco нет - перепроверьте меня, пожалуйста: Зарегистрировавшись, скачал следующий файл: "c1310-k9w7-tar.124-10b.JDA2.tar"
Достаточно будет обновить только им, при условии, что подключение к точке проводное?
Или надо еще что-нибудь доливать в других местах? Файл этот совместим с моей ТД?
Автор: dopelganger
Дата сообщения: 04.06.2009 13:02

Цитата:
Достаточно будет обновить только им, при условии, что подключение к точке проводное?


Достаточно, это полный архив (только распаковывать его на "лету").


Цитата:
Файл этот совместим с моей ТД?


модель ТД ? команда sh ver

Автор: v1tall
Дата сообщения: 04.06.2009 13:37

Цитата:
Достаточно, это полный архив (только распаковывать его на "лету").

Что значит "распаковать его на лету"? Думал, что он должен распаковаться в процессе автоматически...?

ap#sh ver
Cisco IOS Software, C1310 Software (C1310-K9W7-M), Version 12.3(8)JEA, RELEASE S
OFTWARE (fc2)
BOOTLDR: C1310 Boot Loader (C1310-BOOT-M) Version 12.3(2)JA4, RELEASE SOFTWARE (
fc1)
ap uptime is 8 hours, 18 minutes
System returned to ROM by power-on
System image file is "flash:/c1310-k9w7-mx.123-8.JEA/c1310-k9w7-mx.123-8.JEA"
cisco AIR-BR1310G-A-K9-R (PowerPCElvis) processor (revision A0) with 24566K/81
92K bytes of memory.
Processor board ID FOC10500NB1
PowerPCElvis CPU at 262Mhz, revision number 0x0950
Last reset from power-on
1 FastEthernet interface
1 802.11 Radio(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:1A:6D:7E:B2:3E
Part Number : 73-8960-09
PCA Assembly Number : 800-24963-06
PCA Revision Number : A0
PCB Serial Number : FOC10500NB1
Top Assembly Part Number : 800-28763-01
Top Assembly Serial Number : FTX1051U0KA
Top Revision Number : A0
Product/Model Number : AIR-BR1310G-A-K9-R

Configuration register is 0xF
Автор: dopelganger
Дата сообщения: 04.06.2009 13:53
Именно, в процессе и автоматически (прошу простить за "на лету")


Вот описание синтаксиса:

To extract a tar file into a directory on the Flash file system, use this privileged EXEC command:
archive tar /xtract source-url flash:/file-url
For source-url, specify the source URL alias for the local or network file system. These options are
supported:

• For the local Flash file system, the syntax is
flash:

• For the File Transfer Protocol (FTP), the syntax is
ftp:[[//username[:password]@location]/directory]/tar-filename.tar

• For the Remote Copy Protocol (RCP), the syntax is
rcp:[[//username@location]/directory]/tar-filename.tar

• For the Trivial File Transfer Protocol (TFTP), the syntax is
tftp:[[//location]/directory]/tar-filename.tar


ИОС должен встать, только не забудь, предварительно точку надо подготовить к перезаливке. Подробный мануал по этому вопросу:
http://www.cisco.com/en/US/docs/wireless/access_point/1300/installation/guide/1300hig6.html

Автор: v1tall
Дата сообщения: 04.06.2009 18:17
dopelganger
За ссылку - спасибо. В мануале по подготовке к заливке практически ничего нет...
Собственно, заливка через веб. Done.

В процессе открылось окно, в котором отображено:
"Please wait...
The system is upgrading the software and restarting. This should take between 5 and 15 minutes depending on your network speed. Do not interrupt the upgrade or attempt to access other web pages on the AP during this process.
286:15 time elapsed "

Время отсчитывалось в минутах. По прошествии 300 минут решил посмотреть все-таки, что происходит.
show version показывает те же уровни FW, что и раньше.
Веб-интерфейс теперь совсем не похож на то, что было. Раньше все было красиво: Слева дерево меню, в правой части, соответственно, инфа.
Сейчас веб-интерфейс урезан. Можно через него только посмотреть остаток лога, выполнять команды по аналогу с CLI и есть ссылка "Web Console - Manage the ap through the web interface.", нажатие на которую приводит к ошибке 404.
В логах: (много записей Extracting я вырезал, чтоб не засорять топик)
Mar 1 07:34:04.315: extracting c1310-k9w7-mx.124-10b.JDA2/html/level/15/ap_contextmgr_scm_summary.shtml.gz (5559 bytes)
*Mar 1 07:34:04.527: extracting c1310-k9w7-mx.124-10b.JDA2/c1310-k9w7-mx.124-10b.JDA2 (4545802 bytes)
*Mar 1 07:41:23.148: %DOT11-4-MAXRETRIES: Packet to client 0015.6da9.f1f8 reached max retries, removing the client
*Mar 1 07:41:23.150: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating Station 0015.6da9.f1f8 Reason: Previous authentication no longer valid

Отсюда я понял, что образ залился и разархивировался, но дальнейших команд на перезагрузку или еще что-нибудь не было и AP продолжила работу, как и раньше.

Что я сделал не так и как это теперь исправить? Могу ли я ее попробовать перегрузить с CLI?
Заранее спасибо.

Добавлено:
Чуть-чуть почитал мануал, посмотрел содержимое файловой системы. В flash:/ имеется папка Update, в которой находится папка с файлом, совпадающим с именем залитого образа. Как его активировать? Есть способ, позволяющий указать его через консоль, насколько я понял, но 1300-я не имеет консольного порта, а я не настолько "Настоящий сварщик".
Автор: dopelganger
Дата сообщения: 05.06.2009 08:28
Перезагрузить конечно можно попробовать, команда перегрузки reload.

Смущает другое, почему он ждал 300 минут.
На всякий хотелось бы видеть результат команды

dir /all

У меня вот такой результат:
ap1#dir /all
Directory of flash:/

2 -rwx 4046 Mar 20 2002 23:17:04 +00:00 config.txt
3 -rwx 218246 Mar 01 2002 00:04:59 +00:00 crashinfo_20020301-000457
4 -rwx 5 Mar 20 2002 23:17:04 +00:00 private-config
5 -rwx 252 Mar 01 2002 00:00:08 +00:00 env_vars
6 drwx 512 Jan 05 2007 11:44:04 +00:00 c1200-k9w7-mx.123-8.JEA
158 -rwx 1048 Mar 20 2002 23:17:04 +00:00 private-multiple-fs

7741440 bytes total (2557952 bytes free)
ap1#

Ща еще посмотрю доки
Автор: v1tall
Дата сообщения: 05.06.2009 08:39
Ждал он вовсе не 300 минут. Он ждет до сих пор. 1170 минут по состоянию на сейчас.

ap#dir /all
Directory of flash:/

2 -rwx 1048 Mar 01 2002 08:11:23 +00:00 private-multiple-fs
3 -rwx 188 Mar 01 2002 13:17:12 +00:00 env_vars
5 -rwx 27 Mar 01 2002 08:11:23 +00:00 private-config
6 -rwx 2277 Mar 01 2002 08:11:23 +00:00 config.txt
155 drwx 64 Mar 01 2002 07:33:48 +00:00 update

7741440 bytes total (3936768 bytes free)
ap#

По аптайму можно судить, что перезагрузки не было после перезаливки... "Чо-то мне как-то ссыкотно, Дэвид Блэйн!"
Перегрузить?
Автор: dopelganger
Дата сообщения: 05.06.2009 08:47
Кстати, нашел еще и такую ерундовину под твой девайс:

Cisco Aironet Upgrade Tool for Cisco IOS Software. Utility that upgrades IOS OS to LWAPP and retains current AP configuration. Requires Cisco Aironet Upgrade Image.

http://tools.cisco.com/search/display?url=http%3A%2F%2Ftools.cisco.com%2Fsupport%2Fdownloads%2Fgo%2FIPCheck.x%3FdefAdv%3DN%26sftAdv%3DN%26filename%3DCiscoAironet-AP-to-LWAPP-Upgrade-Tool-v32.exe%26advUrl%3Dnull%26defInd%3DN%26mdfid%3D279141937%26sftType%3DAutonomous%2520To%2520Lightweight%2520Mode%2520Upgrade%2520Tool%26optPlat%3D%26relVer%3D3.2%26md5%3Dda69c7968e2996e20579f7b935b2fa59%26modifmdfid%3D279141937%26imname%3Dnull%26imst%3DN%26hybrid%3DY%26modelName%3DCisco%2520Aironet%25201310%2520Access%2520Point%2FBridge%26treeMdfId%3D278875243%26treeName%3DWireless%26edesignator%3D%26fsd%3D%26hasfsd%3DN%26nodecount%3D0&pos=2&strqueryid=1&websessionid=RTga5cB6cwyb8TwCngdz91U



Погоди, ща эксперту звякну, послушаю что скажет......

Добавлено:
Нашел ответы на твои вопросы, вот ссылка

http://www.cisco.com/en/US/docs/wireless/access_point/1300/installation/guide/130h_c4.html#wp1038660


Кста, там на картинке нарисован консольный порт. Так что в принципе "чёрный ход" имеется.
Автор: v1tall
Дата сообщения: 05.06.2009 09:52
dopelganger
Спасибо огромное за участие!!!

Этот мануал смотрел, ответы на вопросы не нашел... Должна была перегрузиться - не стала. Что делать-то?! )) Руками заставить?

А что такое LWAPP? Что значит LightWeight Access Point...?

Добавлено:
Сказал: "Reload"!!

Не поднялась.

Точка за 400 км от меня. Продолжение следует...

slut, dopelganger - спасибо.
Автор: dopelganger
Дата сообщения: 05.06.2009 17:52
Глупый вопрос, в том месте есть кто-то кто может выполнять команды под твою диктовку?
Если да, то могу попробовать наваять подробный мануал как и что. Будут вопросы пиши в личку. Просто не охота вставлять кусок манула сюда, он слишком велик.
Автор: v1tall
Дата сообщения: 05.06.2009 18:19
dopelganger
см ПМ.
Автор: alex6999
Дата сообщения: 08.06.2009 08:47
Sterh84

Цитата:

Цитата: а как настроить DMZ, проброс портов - это просто, а как пробросить все порты?

alex6999, статический нат в помощь
Автор: Sterh84
Дата сообщения: 08.06.2009 10:16
alex6999, вообще эта железяка не расчитана на такое Не удивительно что так загружена.
WIC-1ADSL и 2650 , Вы уверенны что этот модуль заведется? Я не очень. На сайте эту модель уже совсем списали. Так что поосторожнее
Автор: alespopov
Дата сообщения: 11.06.2009 00:12
Видимо я недопонимаю терминологию, но что такое на 3750:
interface GigabitEthernet1/0/20
...
switchport mode private-vlan host
...
Я полагал что некий хост, который сам по себе и только по транку может доступ иметь, что=б на рутере стерминироваться ...

К этой 3750 подключена транком 2811 и пытаюсь я на эту 2811 пробросить 'интернет' от провайдера. Нет, он конечно если весь PVLAN убрать пробрасывается, но хочется защититься немного, упаковав в vlan приватный его.

Вот собрал на стенде, и не пингует с ноута подключенного к 20 порту 3750 до 2811:

Код:
3750:
...
vtp mode transparent
!
vlan 80
private-vlan primary
private-vlan association 81
!
vlan 81
private-vlan isolated
!
interface GigabitEthernet1/0/16
description # TRUKN_to_2811
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,80,81
switchport mode trunk
!
interface GigabitEthernet1/0/20
switchport private-vlan host-association 80 81
switchport mode private-vlan host
!
interface Vlan80
description PRIMARY PRIVATE-VLAN
no ip address
private-vlan mapping 81
!

2811:
!
interface FastEthernet0/0.9
description Ip_for_Ping
encapsulation dot1Q 81
ip address 10.50.30.1 255.255.255.0
no ip redirects
end
Автор: Neptunas
Дата сообщения: 14.06.2009 19:26
Приветствую всех знатоков IOS ! Помогите, пожалуйста, ламеру с конфигурированием CISCO1841 ! Это счастье мне досталось на новом месте работы, по наследству и опыта я не имею А уже хотелось бы настроить удаленный доступ к внутр. сети компании. Не могу сообразить что в конфиге
Код: !
!
version 12.4
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname CISCO1841
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 some_hash
!
aaa new-model
!
!
aaa authentication login default enable
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
!
username root privilege 15 password 7 password
!
!
!
interface Loopback0
ip address 81.2xx.2x.1xx 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0/0
description 1C 2069561, ID 1359413
ip unnumbered Loopback0
ip nat outside
no fair-queue
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
ip http server
ip http authentication local
ip nat inside source list 1 interface Loopback0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input telnet
!
end

Автор: alespopov
Дата сообщения: 15.06.2009 09:00
Neptunas
Я конечно с 1841 не работал, но:
1)
! Внутренний интерфейс в циске. В данном контексте опрделен IP который будет назначаться как внешний.
interface Loopback0
2)
! RJ45 к которому Вы и подключаетесь.
int FastEthernet0/0
! Определен как внутренний интерфейс для NAT
ip nat inside
3)
! Еще один эзернетовский разъем, помечен как вылюченный
interface FastEthernet0/1
4)
!Видимо интерфейс для модема или что там у Вас.
interface Serial0/0/0
! IP опрделен в Loopback0 и его и назначат при подключении.
ip unnumbered Loopback0
! Определен как внешний интерфейс для NAT
ip nat outside
5)
! Как только интерфейс поднимится установить его маршрутом по умолчанию.
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
6)
! Указываем что у нас есть таки NAT и опрделяем что правило для него в 'access-list 1'
ip nat inside source list 1 interface Loopback0 overload
! Какую(кие) сети буде преобразовывать во внешний IP, т.е. само правило.
access-list 1 permit 192.168.1.0 0.0.0.255


Цитата:
почему нет ни шлюзов ни ДНС
Как сделать port mapping на компьютер во внутр. сети

a)'ip route' и указывает куда маршрутизировать.
b)А точно нужен DNS на самой циске ? Может сразу прописать на компах IP внутреннего сервера DNS который уже и будет при необходимости перенаправлять к DNS провайдера ?!
c)
! Пробросить tcp 25 порт, приходящий на Serial0/0/0, на внутренний IP 192.168.1.5 на 25 порт.
ip nat inside source static tcp 192.168.1.5 25 interface Serial0/0/0 25
Tips: Попробуй нажимать знак вопроса, - циска покажет подсказки.
Клавиша [Tab] - попробовать продолжить набираемую команду, т.е.
(config)int Fast[TAB] продолжит до FastEthernet
Автор: virusx
Дата сообщения: 15.06.2009 11:51
Neptunas
Cisco SDM тебе в помошь)


Цитата:
b)А точно нужен DNS на самой циске ? Может сразу прописать на компах IP внутреннего сервера DNS который уже и будет при необходимости перенаправлять к DNS провайдера ?!



Цитата:
А уже хотелось бы настроить удаленный доступ к внутр. сети компании. Не могу сообразить что в конфиге

Удаленный доступ = VPN?
Автор: Neptunas
Дата сообщения: 15.06.2009 21:58
спасибо большое за советы, немного проясняется ситуация...

Цитата:
А точно нужен DNS на самой циске ?


ДНС можно и на клиентских машинах прописать, это действительно не вопрос. SDM -ом я как раз таки и пользуюсь, просто этот Serial0/0/0 смущает я даже не понимаю что он из себя теоретически представляет. А еще проблемка что версия IOS не поддерживает Firewall Feature


Цитата:
Удаленный доступ = VPN?

Удаленный доступ - в данном случае RAdmin (4899) и RDP (3389)
Автор: alespopov
Дата сообщения: 16.06.2009 00:09

Цитата:
просто этот Serial0/0/0 смущает

Ну это как-бы виртуальный интерфейс такой, ну или ADSL модем например. Циска-то удаленная или рядом ? Она вообще-то работает, в интернет выходит ? Как я понял в ней модуль езернетовский на два порта, а еще чего в ней ? Это-ж все модульное, поди гадай чего таму тебя в ней ... Там этих модулей под сотню разных бывает.
Ну как пробросить порты я выше показал, тока учти что так тока на один комп можно попадать ... Уж лучше IMHO туннель тогда организовать, если есть возможность конечно ...

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

Предыдущая тема: Не могу побороть вирус Nimda


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.