» Настройка Cisco оборудования

denis_a
Да, для bridge.
Параметры сетей я бы и сам, в принципе, смог прописать, если только укажешь, что и где прописвать, где ip-адрес, где маска, где порты... Ip-адрес ADSL я получаю от провайдера.

Sagirus

Где-то вот так. Красным пометил, что править.

Если на что-то ругнется - отпиши. Это немного порезанный вариант рабочей конфиги. Мог случайно че-то лишнее откусить.


Код:
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
no service timestamps log uptime
no service password-encryption
!
hostname C871W
!
security authentication failure rate 5 log
logging message-counter syslog
no logging buffered
!
crypto pki trustpoint TP-self-signed-2582029716
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2582029716
revocation-check none
rsakeypair TP-self-signed-2582029716
!
!
crypto pki certificate chain TP-self-signed-2582029716
certificate self-signed 01
30820249 308201B2 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32353832 30323937 3136301E 170D3039 31303138 31363338
34305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35383230
32393731 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100A763 1E3D0D75 734510D7 D9961859 B6FE06C7 63F42E5B 8207CC8D 1CC55A1C
4B7C5AF7 BFFCE0C6 117E9FCD 1113359E 0B56FF65 C575AF4A 039B3B20 FCA3CEB8
8FB210E8 43AB399C C6ED21E2 17571581 9A940D84 6C30BF05 E9133E5D 940565C1
23028901 4191E87D 7AD3F1C0 0A4F1033 BBC544F5 55F9D6EE EF63F4EA 1B693656
0AAB0203 010001A3 71306F30 0F060355 1D130101 FF040530 030101FF 301C0603
551D1104 15301382 11433138 3131572E 686F6D65 2E6C6F63 616C301F 0603551D
23041830 168014CA 54606DD1 27990E4F 880B98F0 A10E06F7 9216F430 1D060355
1D0E0416 0414CA54 606DD127 990E4F88 0B98F0A1 0E06F792 16F4300D 06092A86
4886F70D 01010405 00038181 00521E51 09DD52C7 7D95DA80 AAF559BB 4A6AC27F
30F85C32 2E0B95CD F531DFF6 1C86DFA1 582C8495 78E779DC 184163B9 96A73CFE
5E2AAD6D 565BE3F5 4CFEF6D4 637D52C6 15680DFA 0C639E23 81B134A8 830E8B81
182B2030 99F3562B C4F5ECDB FA05B370 AE8B586A ECAF4D25 A3CE4A4B 83366AD8
04AA2A4D F03DEE4A ABCD8317 B5
    quit
dot11 syslog
!
dot11 ssid WIFISSID
authentication open
authentication key-management wpa
wpa-psk ascii 0 wifipassword
!
no ip source-route
!
ip nbar port-map bittorrent tcp 39887 32460 32000 1983
!
ip cef
ip domain name home.local
ip port-map bittorrent port tcp 39887
ip port-map bittorrent port tcp 32460
ip port-map bittorrent port tcp 32000
ip port-map bittorrent port tcp 1983
!
login block-for 900 attempts 5 within 900
login quiet-mode access-class 3
login on-failure log
login on-success log
!
username LOGIN privilege 15 secret password
!
ip tcp synwait-time 10
ip ssh time-out 30
ip ssh version 2
!
class-map type inspect match-any CLMAP_P2P
description Torrent
match protocol bittorrent
class-map type inspect match-any CLMAP_DEFPROT
description Default Protocols
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-any CLMAP_ANY
description Any IP Protocols
match access-group name ACL_ANY
class-map type inspect match-any CLMAP_GRE
description GRE Tunnel for Inbound traffic
match access-group name ACL_GRE
!
!
policy-map type inspect POLMAP_SELF2WAN
description From Itself
class type inspect CLMAP_ANY
inspect
class class-default
drop
policy-map type inspect POLMAP_WAN2SELF
description For Configuration
class class-default
drop
policy-map type inspect POLMAP_LAN2SELF
description Internal
class class-default
pass
policy-map type inspect POLMAP_SELF2LAN
description Internal
class class-default
pass
policy-map type inspect POLMAP_WAN2LAN
description Port Mapping & Access to LAN
class type inspect CLMAP_GRE
pass
class type inspect CLMAP_P2P
inspect
class class-default
drop
policy-map type inspect POLMAP_LAN2WAN
description From LAN to Inet
class type inspect CLMAP_GRE
pass
class type inspect CLMAP_DEFPROT
inspect
class class-default
drop
!
zone security ZONE_LAN
description LAN
zone security ZONE_WAN
description Internet Connection
zone-pair security ZP_LAN2WAN source ZONE_LAN destination ZONE_WAN
service-policy type inspect POLMAP_LAN2WAN
zone-pair security ZP_LAN2SELF source ZONE_LAN destination self
service-policy type inspect POLMAP_LAN2SELF
zone-pair security ZP_SELF2LAN source self destination ZONE_LAN
service-policy type inspect POLMAP_SELF2LAN
zone-pair security ZP_SELF2WAN source self destination ZONE_WAN
service-policy type inspect POLMAP_SELF2WAN
zone-pair security ZP_WAN2SELF source ZONE_WAN destination self
service-policy type inspect POLMAP_WAN2SELF
zone-pair security ZP_WAN2LAN source ZONE_WAN destination ZONE_LAN
service-policy type inspect POLMAP_WAN2LAN
!
interface Null0
no ip unreachables
!
interface Dot11Radio0
ip address 192.168.1.46 255.255.255.240
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
zone-member security ZONE_LAN
!
encryption mode ciphers aes-ccm
!
ssid WIFISSID
no shutdown
!
interface FastEthernet4
description ADSL Modem
ip address 192.168.1.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security ZONE_LAN
load-interval 60
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no shutdown
!
interface Vlan1
description LAN
ip address 192.168.0.252 255.255.255.0
no ip redirects
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
zone-member security ZONE_LAN
!
interface Dialer1
description Internet Connection
mtu 1480
bandwidth 896
bandwidth receive 2048
ip address negotiated previous
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly max-reassemblies 512
zone-member security ZONE_WAN
encapsulation ppp
ip tcp adjust-mss 1440
load-interval 60
dialer pool 1
no cdp enable
ppp authentication pap chap callin
ppp pap sent-username pppoe_login password 0 pppoe_password
no shutdown
!
router rip
version 2
redistribute static metric 2
passive-interface default
no passive-interface FastEthernet4
network 192.168.0.0
network 192.168.1.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Dialer1 20 name ServiceProvider
ip route 0.0.0.0 255.0.0.0 Null0
ip route 10.0.0.0 255.0.0.0 Null0
ip route 127.0.0.0 255.0.0.0 Null0
ip route 172.16.0.0 255.240.0.0 Null0
ip route 192.168.0.0 255.255.0.0 Null0
no ip http server
no ip http secure-server
!
ip flow-top-talkers
top 20
sort-by bytes
!
ip nat source list NAT_INET interface dialer 1 overload
ip nat source static tcp 192.168.1.5 50500 interface Dialer1 50500
!
ip access-list extended ACL_ANY
permit ip any any
ip access-list extended ACL_GRE
permit gre any any
ip access-list extended NAT_INET
permit ip 192.168.0.0 0.0.0.255 any
permit ip 192.168.1.0 0.0.0.255 any
!
! Host администратора
access-list 3 permit 192.168.0.54 log
!
no cdp run
!
line vty 0 4
exec-timeout 30 0
privilege level 15
logging synchronous
login local
transport input ssh
!
scheduler interval 500
process cpu statistics limit entry-percentage 40
!
! Настройка DHCP сервера для Wifi и LAN
ip dhcp pool LAN
! Адрес сети LAN и ее маска
network 192.168.0.0 255.255.255.0
import all
! IP Адрес VLAN1
default-router 192.168.0.1
ip dhcp pool WIFI
! Адрес сети WIFI и ее маска
network 192.168.1.0 255.255.255.0
import all
! IP Адрес Dot11Radio0
default-router 192.168.1.1
!
! Исключить из раздачи адресов для сервера DHCP адреса, которые уже присвоены
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.1.1
!
end

denis_a
Спасибо! Буду пробовать!

Sagirus
забыл дописать команду, т.к. у себя ее не юзаю


Код:
dot11 ssid WIFISSID
authentication open
authentication key-management wpa
wpa-psk ascii 0 wifipassword
guest-mode

denis_a


Цитата:

dot11 ssid WIFISSID
authentication open
authentication key-management wpa
wpa-psk ascii 0 wifipassword
guest-mode

guest-mode - это что? Слово красным выделено... На что его менять?..

Sagirus
Это в принципе не обязательная команда. И без нее работать будет. Только когда будешь запускать поиск wifi сети, то ничего находить не будет. А если руками пропишешь подключение, то подключаться будет. Своего рода еще одна фича для безопасности.

Это команда включает показывание wifi сети. Т.е. на запрос клиента, циска отвечает SSID'ом. Без нее отвечать не будет.

denis_a
Понятненько. Надеюсь, что на новогодних праздниках испытаю штуковину в работе! С наступающим. Спасибо большое ещё раз!!!

В этой ветке уже пробегал вопрос по 857 к9 и track

test(config)#t?
table-map tacacs-server template tftp-server
time-range

Как видно в иосе нет этой команды, отсюда вопрос как тогда её заменить? Задача в резервном канале, ip sla настраиваем а вот команды трак нету 8-(

Может кто знает как иос от 877 втулить на 857-ю ? (Физически заливается но неработает на ней)
Может есть версия ИОСа для 857 где есть поддержка трака? ставил последний там нету

Добавлено:
Судя по http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Reliable Static Routing Back-up using Object Tracking
отсутствует в 857 модели.

Может кто посоветует как реализовать следующее:

Центральная точка 3845 имеет два канала в инет основной и резервный (резервный работает только если нет основного) ИП_основной 1.1.1.1 ИП_резерв 2.1.1.1

На удалённой точке стоит 857 и подвязана через GRE тунели.
На 857 создано два тунеля один имеет адрес назначения 1.1.1.1 другой 2.1.1.1

Как реализовать переключение на резервный тунель на 857 циске?
ip route 192.168.1.0 255.255.255.0 Tunel1 name основной
ip route 192.168.1.0 255.255.255.0 200 Tunel2 name резервный
такая маршрутизация не кидает пакеты в тунель 2 если на 3845 пропал основной канал.

AMuHb
А что если попробовать на тунельном интерфейсе включить keepalive?

Как я понял, нужно переключать на резерв, если основной лег. А keepalive мониторит тунель, если пакеты keepalive не ходят, кладет тунель в down, соответственно пропадет запись в таблице маршрутизации.

2 denis_a
Благодарю за подсказку для 857 это то что доктор прописал!!!

Для данной задачи хватило вполне, всё работает.

IOS CLI лучше, да и местами понятнее любого WEB-интерфейса.
А если сравнивать его с оболочками от Alcatel (к примеру) - то вообще - мечта

Еще раз повторюсь...

Цитата:

Подскажите такую вот вещь.
Назначил свитчам ip address dhcp
роль DHCP выполняет win 2003 ип адреса циски получают но в арендованных адресах ип светятся как BAD Address

как это победить?

PS: как я понял отсюда надо отключить arp caсhe, как его отключить?

CCX 7.0(1), установлен на ESX 4.0U1
2 сетевых интерфейса, на одном работает, на втором слушает трафик с голосовых VLAN'ов
агенты на 2-х разных стеках (в 2-х разных VLAN'ах)
снифер (wireshark) наличие голоса показывает, видно и сигнализацию и RTP потоки, однако голос пишется только с одного из VLAN'ов, у агентов из второго в записях тишина
настройки идентичны, абсолютно
соотвественно вопрос: куда копать? ведь трафик на сетевой видно, т.е. до ССХ он долетает

DiZka
Там описывается для NT4 или 3.11 , где Вы достали такую древность. Что то подсказывает что это немного не то. Но ответа на ваш вопрос пока не знаю, гляну вечером
rakis
Можно чуть чуть по конкретнее вашу задачу.
Я понял так что у вас CCX ноходиться в некой сети, есть два клинетта( в каких сетях ? скажем CCX в сети А где клиенты? и откуда запись ? )

DiZka
вообще, BAD ADDRESS появляется в случае, когда адрес, выданный dhcp-сервером из пула и считающийся dhcp-сервером свободным, начинает дублировать уже существующий адрес (например, прописанный жестко).

Sterh84
стек 1 (2 х 3750), агенты (7942G), стек по L3 подключен в серверную ферму (2 х 4506)
стек 2 (4 х 3750), другие агенты (IP Communicators), стек по L3 подключен в серверную ферму
ESX по L2 подключен в серверную ферму, каждая из двух сетевых в свой 4506
ССХ на ЕSX имеет 2 сетевых, на одной висит его адрес, вторая воткнута в VLAN, куда SPAN'ом кидается трафик с обоих стеков
--
звук не пишется у агентов, использующих IPC
проблема слегка конкретизировалась, походу дело в кодеках, звук то пишется, то не пишется
не работали также перехват и вмешательство в разговор, после запрета на ССМ-кластере G.722 эти функции начали работать.

Есть 877W, Стрим. Интернет трафик завернут на fa0 и далее идет на свич и на компы. На fa1,2,3 идет ТВ на приставку и два компа (на их вторые сетевухи) соответственно. Полоса 10240кбит на вход и 1024кбит на выход.

Задача. Настроить QoS так, чтобы всегда можно было смотреть два канала без лагов (Zyxel 2602 давал это безо всяких настроек). Пакеты приходят маркированными, но затеи типа

class-map match-all TV
match ip dscp cs4
!
policy-map FORTV
class TV
police 10240000 102400 conform-action transmit exceed-action set-dscp-transmit cs4 violate-action drop
class class-default
police 1024000 10240 conform-action transmit exceed-action transmit violate-action transmit
!
interface Dialer0 (или ATM0)
service-policy input FORTV
ничего не дают - трафик не ловится. Сломал голову. Поможете?

MZN
Не совсем догнал идею, из того что я вижу, ты получается режешь TV траффик, который уже к тебе пришел. На загрузку канала это влияет почти никак. Разве что, может умешатся размер окна для TCP и уменьшить немного скорость. Для UDP это вообще вред - т.к. этим ты получаешь лаги, т.к. корекция дропнутых покетов только увеличит траффик. А для потокового видео, которое обычно коррекцию не должно применять приносит потерянные пакеты.

Все технологии приоритезации трафика, что я видел, имеют эффект только на исходящий траффик. За исключением policy, который ставится на входящий, обычно у провайдера, что-бы резать траффик приходящий со стороны клиента.

А я и привел это для примера, что так не получается. Там особо и смотреть нечего, так, для примера как делать не надо. Поэтому я и спрашиваю, как сделать? Просто, если рассуждать отвлеченно, пакеты приходять маркированными, ТВ отделено ото всего остального на уровне PVC, а сделать ничего не получается... Полоса то позволяет!
Я бы с этим бы не возился, если бы Zyxel безо всякой настройки не делал бы то, чего никак не могу добиться от циски.

MZN
Вообще, действительно странно. Если приоритезацию делает провайдер, то приходящий TV траффик должен приходить на циску без лагов. А т.к. внутренняя сеть раз в 10 быстрее внешней, то и внутри лаги пояляться не должны. Т.е. работать должно и без настройки. Как вариат, может немного помониторить циску на предмет нагрузки.
sh processes cpu history

И на сколько нагружен исходящий канал?

Два канала и загрузка:
Router#sh processes cpu history

Router 10:24:45 AM Saturday Jan 30 2010 MSK


444444333335555533333333333333311111333331111111111111111111
700000777775555566666444444444499999000008888866666444447777
100
90
80
70
60 *****
50 * *****
40 *********************
30 ******************************* *****
20 *************************************************** ****
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per second (last 60 seconds)


325332232222222412212222212222222222122222222222222222222111
094224408831134983591504483330356513680035233542152410004877
100
90
80
70
60
50 * *
40 * *
30 ***** *** * * * *** * * * *
20 ###########****#********************************************
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%


465333383449998554455554233235242998645655122254142223324565798755434531
027283143389992048439031286730339969865405406122965885395510444262128095
100 *** **
90 *** *** *
80 * **#* *** **
70 * *##* *#** ****
60 ** * *### * *#** ** * ** *#***
50 ** * **###*** **** * *#******* * * ****###*** **
40 *** * * ***###********* ** * * ##******* ** * * ****###**** ***
30 *#*********############* ***** **########* * *# *********#####*##***#*
20 *##*******##############*********########* ****#********#######*##***#**
10 ########################*#################****##*##################*###*
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
CPU% per hour (last 72 hours)
* = maximum CPU% # = average CPU%

Тоже странная картина, т.к. в этом случае канал должен быть загружен на 100% постоянно. 1 канал ТВ 4.6Мбит.

Как я вижу все таки местами загрузка под потолок. А че CEF говорит. Он вообще включен?
sh cef interface brief

Router#sh cef interface brief
Interface IP-Address Status Switching
ATM0 unassigned up CEF
Dot11Radio0 unassigned up CEF
FastEthernet0 unassigned up CEF
FastEthernet1 unassigned up CEF
FastEthernet2 unassigned up CEF
FastEthernet3 unassigned up CEF
Null0 unassigned up no CEF
Control Plane unassigned down -
Vlan1 unassigned up CEF
ATM0.1 unassigned up CEF
ATM0.2 unassigned up CEF
ATM0.3 unassigned up CEF
Vlan2 unassigned up CEF
Dialer0 83.237.164.222 up CEF
NVI0 unassigned down CEF
BVI1 192.168.1.1 up CEF
Virtual-Access1 unassigned up CEF
Router#

MZN
Хм, тогда осталась только последняя идея. Не знаю на сколько от нее вообще будет польза, но хз. В теории от TV должен идти траффик в сторону провайдера, и возможно имеет смысл сделать как минимум маркировку траффика, как максимум приоритезацию, но тут есть несколько но:
1. Маркировка: Вполне возможно, что сам провайдер делает это. А это как минимум лишняя нагрузка на циску. Хотя в принципе можно траффик определять по входящему интерфейсу, а не с помощью NBAR, что значительно легче для железки.
2. Приоритезация: Если исходящий канал не загружается на 100%, то от нее вообще толка 0, т.к. включается только при 100% нагрузке. И опять же - это дополнительная нагрузка на железку.

Если подключенно циска -> модем, по 100 мегабитам, то еще и шейпер нужно вешать, т.к. в таком случае модем может дропать фреймы которые не пролазят в исходящий интерфейс.

Как я понимаю, самая задача - это определить, где лаги образуются и почему. Может тут и не приоритезацией дело.

Маркировку делает провайдер, я это снифером проверял. В цисках я вообще ноль!
Наверное, маркировку делать не надо, а вот как сделать приоретизацию?

Модема нет - только 877W модем там внутри.


Цитата:

Как я понимаю, самая задача - это определить, где лаги образуются и почему

Вот! А я этого тоже не знаю...

Делается она примерно так же как ты и описал с policy

class-map match-any CLMAP_REALTIME
match dscp ef

policy-map POLMAP_QOS
class CLMAP_REALTIME
priority percent 30
class CLMAP_HIGH
bandwidth percent 20
random-detect dscp-based
class CLMAP_MEDIUM
bandwidth percent 20
random-detect dscp-based
class CLMAP_LOW
bandwidth percent 5
random-detect dscp-based
class class-default
random-detect dscp-based
fair-queue

interface Dialer1
service-policy output POLMAP_SHAPE

Несколько правил:
1. percent не может быть больше 75, т.к. оставшиеся 25 идут на остальной траффик.
Этот параметр изменяемый, но не рекомендуют делать.
2. priority - абсолютный приоритет, при 100% загрузке откусывается от пропускной способности
3. bandwidth - работает по принципу round robin между всеми bandwidth.
4. random-detect dscp-based - При 100% загрузке, дропает фреймы с наименьшим dscp полем, может использоваться только первые 3 бита этого поля как ip precedence.
5. fair-queue - оставшуюся пропускную способность делит между оставшимися потоками, по приниципу - приоритет наименее прожерливому.

Router(config)#class-map match-any CLMAP_REALTIME
Router(config-cmap)# match dscp ef
Router(config-cmap)#
Router(config-cmap)#policy-map POLMAP_QOS
Router(config-pmap)# class CLMAP_REALTIME
Router(config-pmap-c)# priority percent 30
Router(config-pmap-c)# class CLMAP_HIGH
% class map CLMAP_HIGH not configured
Router(config-pmap-c)# bandwidth percent 20
bandwidth not allowed in conjunction with priority
Router(config-pmap-c)# random-detect dscp-based
bandwidth or shape command is required to configure random-detect
Router(config-pmap-c)# class CLMAP_MEDIUM
% class map CLMAP_MEDIUM not configured
Router(config-pmap-c)# bandwidth percent 20
bandwidth not allowed in conjunction with priority
Router(config-pmap-c)# random-detect dscp-based
bandwidth or shape command is required to configure random-detect
Router(config-pmap-c)# class CLMAP_LOW
% class map CLMAP_LOW not configured
Router(config-pmap-c)# bandwidth percent 5
bandwidth not allowed in conjunction with priority
Router(config-pmap-c)# random-detect dscp-based
bandwidth or shape command is required to configure random-detect
Router(config-pmap-c)# class class-default
Router(config-pmap-c)# random-detect dscp-based
Router(config-pmap-c)# fair-queue
Router(config-pmap-c)#exit
Router(config-pmap)#exit
Router(config)#int di0
Router(config-if)#service-policy output POLMAP_SHAPE
% policy map POLMAP_SHAPE not configured
Router(config-if)#

А где класс POLMAP_SHAPE?

MZN
policy-map POLMAP_SHAPE
class class-default
shape average 896000
service-policy POLMAP_QOS

Я не добавлял, потому как тебе это не надо. В принципе это конфига не для тебя, а просто пример.

А что же делать мне?

MZN
Ок, тогда давай так. На каком точно порте висит TV во внутренней сети, и какое значение в DSCP поле пакетов. А если проще, то мне нужно как-то отделить TV траффик от остального, и мне нужен какой-то уникальный параметр.