» Настройка Cisco оборудования

ESX091


Цитата:

Почему если 3 провайдера, то обязательно должны быть 3 физических интерфейса?
Можно поднять на одном порту + коммутатор с .1q

Совершенно с Вами согласен
 

Цитата:

Если всё хотите поднять на одной железке, тогда встречные вопросы:
 
1. bandwidth к каждому провайдеру?
2. ip-телефония что именно и на сколько народу?
3. VPN - 150 клиентов. - каких? ipsec или ssl?

1. 2 Мбит, 4 Мбит, и ? Мбит (пока не знаю - ну пусть будет 4)
2. Примерно на 250 - 300 человек.
3. ipsec.

Cisco2Host. Несколько VLAN-ов через один порт.

Имеется Cisco Catalyst серии 4500.
На нем прописаны VLAN 2 (10.10.20.1/24), VLAN 3 (10.10.30.1/24) и VLAN 4 -на этом VLAN-е сидит отдельный DHCP-сервер.
На каждом отделе установлен промежуточный простой switch.
Задача состоит в том, чтобы обеспечить прохождение всех 3-х VLAN-ов через 1 порт, к примеру GigabitEthernet2/12 на прямую. Необходимость реализации данной задачи вызвана тем, чтобы при подключении гостевых хостов на общую корпоративную сетку, IP-адрес назначался DHCP-сервером(VLAN4), на котором сидят сотрудники компании (VLAN2, VLAN3).
Хотелось бы узнать мнение просвещенного народа, реализуема ли данная задача или же имеется альтернативные пути.

ESX091

Цитата:

Почему если 3 провайдера, то обязательно должны быть 3 физических интерфейса?

Мною не утверждалось, что в этом имеется необходимость, но если речь идет например о маршрутизаторе на базе ПК, то чтобы не утруждать себя настройкой VLAN и подключением управляемого коммутатора с поддержкой trunk/vlan, который выйдет дороже покупки тех же трех сетевых карт.

alyce
150 каналов ipsec? я так понимаю для удаленных пользователей?
по vpn и всему прочему (кроме voice), я бы порекомендовал 2821 + секурный софт + увеличить объем оперативки для bgp + простой коммутатор L2.
+ отдельный сервер CCM (или 2 для отказоустойчивости).

Остается вопрос зачем нужен BGP и нужен ли full view?

а если хочется реализовать функционал АТСки на маршрутизаторе

Цитата:

Примерно на 250 - 300 человек.

тогда нужно рассматривать варианты начиная с 3945

shuxrat

Цитата:

прохождение всех 3-х VLAN-ов через 1 порт,  к примеру GigabitEthernet2/12

а к этому порту будет подключено что?

ginger
по поводу 3х интерфейсов - это к хозяину поста =)


Цитата:

поэтому правильнее было бы использовать 2911 только для VPN и VoIP, для связи с провайдерами, можно использовать обычный ПК (у нас например это DELL MT360 4ГБ ОЗУ/2хHDD Seagate ES.2/4NIC Intel100/1000Pro) с операционной системой *nix и демоном Zebra/Quagga, для доступа в сеть Интернет (NAT) можно использовать, например Cisco 1841, либо PIX535, либо опять же ПК, например с m0n0wall, или же nanowall (ПК+m0n0wall интегрированный вариант).

Если я правильно понял, то Вы предлагаете 3 девайса
1. 2911 voip +vpn (хотя на 300 человек 2911 voip не потянет).
2. Quagga = BGP
3. 1841/PIX/PC для ната
почему бы не совместить п 1 и 3?
получается, что в инет будет смотреть Quagga с 3 или 4 интерфейсами. к этому PC подключается VPN/NAT маршрутизатор (т.е проблема внешнего ip + каким образом будет происходить балансировка)....а потом LAN?
Большое нагромождение девайсов...
Хотя кому как нравится)

roma


В общем схема такова cisco<->hub<->host

shuxrat
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.
этого должно быть достаточно.

ESX091

Цитата:

150 каналов ipsec? я так понимаю для удаленных пользователей?

Скорее для удаленных офисов.

BGP, не нужен похоже.
Да и телефонию заказчик пока не готов внедрять.

Так что остается 3 прова, Load balancing, VPN, NAT.
Все немного упрощается

Народ не подскажите? (мой пост последний на предыдущей странице - незаметный такой )

Сейчас решил всё-таки нажать опять reset и ни чего... он на удержание ни как не реагирует! на одиночное нажатие реагирует перезагрузкой - но на кой она мне он и так каждые 42секунды ребутится...

Цитата:

если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.

а не лучше на Catalyst 4500 dhcp поднять?

alyce
150 каналов для удаленных офисов от силы на 10 mbps???...
посчитайте сколько достанется каждому офису =), а лучше уточните.
а так рекомендации прежние.

Alukardd
если честно, то не знаю. аналогичных девайсов под руками нет.
могу посоветовать полазить здесь:
https://supportforums.cisco.com/community/netpro/small-business/switches

Добавлено:
Valery12
Зачем на каталисте dhcp поднимать, если есть уже сервер и достаточно пару команд добавить?

поможите люди добрые.

сейчас используется cisco 1810 в центре и cisco 870 в филиалах. dmvpn + ospf. все ios k9

расширяем сеть филиалов.

есть сложности с поставкой 870 + k9 )
поставщик предлагает 870 + k8 - где криптография пожиже, но зато девайсы в наличии.
k8 как я понял, не умеет 3DES, только DES
заработает ли в нашей схеме 870 + k8?

сейчас для шифрования трафика используется 3DES и AES

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes 256
authentication pre-share


По идее я должен сделать еще одну policy

crypto isakmp policy 3
encr des
authentication pre-share

+ профиль ipsec и дополнительный тоннель.
и поехали.

так?

ESX091

Цитата:

Если я правильно понял, то Вы предлагаете 3 девайса
1. 2911 voip +vpn (хотя на 300 человек 2911 voip не потянет).
2. Quagga = BGP
3. 1841/PIX/PC для ната
почему бы не совместить п 1 и 3?
получается, что в инет будет смотреть Quagga с 3 или 4 интерфейсами. к этому PC подключается VPN/NAT маршрутизатор (т.е проблема внешнего ip + каким образом будет происходить балансировка)....а потом LAN?
Большое нагромождение девайсов...
Хотя кому как нравится)

Нет, схема выглядит иначе, quagga служит для связи с провайдерами и обменом информацией по BGP, оставшимся интерфейсом смотрит в коммутатор (например HP1700-8), к данному коммутатору так же поключаются 2911 (vpn+voip) и 1841 (nat).
Совместить п.1 и п.3 похорошему нельзя т.к. каждое из этих устройств должно выполнять свою задачу, а не все сразу, предположим, что упала 2911 либо 1841, тогда можно задействтвовать по временной схеме одно из этих устройств пока ремонтируется другое.
zubastiy

Цитата:

поставщик предлагает 870 + k8 - где криптография пожиже, но зато девайсы в наличии.
k8 как я понял, не умеет 3DES, только DES

Приобретя k8, почему вы не можете обновить IOS до k9? Так же хочу порекомендовать вам вместо 3des использовать aes, который превосходит 3des по скорости, а по стойкости ему не уступает.

ginger


Цитата:

Приобретя k8, почему вы не можете обновить IOS до k9? Так же хочу порекомендовать вам вместо 3des использовать aes, который превосходит 3des по скорости, а по стойкости ему не уступает.

IOS k9 найдется. но обновить до него k8 - это разве не нарушение лицензионного соглашения?

ESX091


Цитата:

если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.
этого должно быть достаточно.

Спасибо за дельный совет. Думою это то что мне необходимо. Попробую осилить сие чудо опцию))

Добавлено:
Valery12


Цитата:

а не лучше на Catalyst 4500 dhcp поднять?

Цитата:

Цитата:
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.

Думою DHCP на Mikrotik-е более гипче в управлении нежели на Catalyst-е.

zubastiy

Цитата:

IOS k9 найдется. но обновить до него k8 - это разве не нарушение лицензионного соглашения?

В случае официальной покупки upgrade ios до k9, то по отношению к cisco, вы не нарушите лицензионного соглашения, однако k9 официально не разрешен в России, следовательно использование k9 будет незаконным.

zubastiy

Цитата:

поставщик предлагает 870 + k8

а можно pn озвучить? в жопеле такого зверя c k8 не нашел.
вообще, если k8 идет под одним feature set, а k9 под другим, то
1. это не пиксы и асы, лицензию сгенерить не получится.
2. смартнет не поможет. т.к разные feature set. и официально будет нарушено лицензионное соглашение.


Цитата:

По идее я должен сделать еще одну policy

crypto isakmp policy 3
encr des
authentication pre-share

+ профиль ipsec и дополнительный тоннель.
и поехали.

так?

я не знаю, какой dmvpn именно используете, но точно будет работать hub(k8)-spoke(k8).
Есть сомнения, что при построении динамических туннелей между spoke(k8) и spoke(k9) тоже все будет ок.

ginger
можете мне пояснить, пожалуйста, по поводу совета использовать кучу железа -
есть квака, подключенная к 3 провайдерам (а,b,c). Каждый из них выдает свой пул адресов. на bgp PC имеем адреса (а1,b1,c1).
Какие будут адреса (из какого пула) на оборудовании, которое будет заниматься VPN + на оборудовании, которое будет натировать?
и если VPN+VOICE будет находиться в public сети (до ната, если я правильно понял), то насколько это небезопасно и получается, что пользователи (voice) будут подключаться к внешнему(public ip) ???

ginger

Цитата:

В случае официальной покупки upgrade ios до k9, то по отношению к cisco, вы не нарушите лицензионного соглашения, однако k9 официально не разрешен в России, следовательно использование k9 будет незаконным.

именно! потому и не рассматриваем такой вариант.
ESX091

Цитата:

а можно pn озвучить? в жопеле такого зверя c k8 не нашел.
вообще, если k8 идет под одним feature set, а k9 под другим, то  
1. это не пиксы и асы, лицензию сгенерить не получится.

Лицензию на что?


Цитата:

я не знаю, какой dmvpn именно используете, но точно будет работать hub(k8)-spoke(k8).

используем mRGE + NHRP + ipsec aes

k8 похоже не умеет (запросил доки у поставщика - молчит пока) и придется делать des

хочется поднять на cisco 1811 hub(k9)-spoke(k8) и hub(k9)-spoke(k9) ))
два тоннеля, тот что до с 870 k9 - aes, тот, что до 870 k8 - des

трафик между филиалами не ходит. только до офиса.

но думается мне это все костыли. и надо что то другое.

кстати по cisco k9 - как сами выкручиваетесь при расширении? старые запасы или заграничные партнеры?

zubastiy


Цитата:

Лицензию на что?

на использование k9 =))


Цитата:

k8 похоже не умеет (запросил доки у поставщика - молчит пока) и придется делать des

А что k8 не умеет? или железки k8 нет?

если нужно с hub(k8) to spoke, то проблем быть не должно.

Договариваемся и с поставщиками, и с клиентами, и с кошками...

ESX091

Цитата:

есть квака, подключенная к 3 провайдерам (а,b,c). Каждый из них выдает свой пул адресов. на bgp PC имеем адреса (а1,b1,c1).

На сколько я поняла, речь шла о автономной системе с независимым блоком ip-адресов, следовательно эти 3 провайдера, вместо отдачи своего пула адресов, отдают таблицу маршрутизации, в ответ получая сеть клиента. Соответственно любой из адресов клиента может быть задействован для VPN и NAT.

Цитата:

Какие будут адреса (из какого пула) на оборудовании, которое будет заниматься VPN + на оборудовании, которое будет натировать?
и если VPN+VOICE будет находиться в public сети (до ната, если я правильно понял), то насколько это небезопасно и получается, что пользователи (voice) будут подключаться к внешнему(public ip) ???

Это будет любой из адресов адресного пространства клиента, если удаленный офис клиента будет подключаться через public сеть, следовательно все подключение будет происходить через, например IPSec over GRE, чем данное решение является небезопасным честно говоря не поняла?
Мне кажется мы отошли слегка от темы заданного вопроса, надеюсь что я удовлетворила ваше негодование касательно данного мною совета.

ginger
в общем-то никакого негодования не было, как и не было речи об автономных системах =)

ESX091

Цитата:

zubastiy
 

Цитата:
Лицензию на что?  

на использование k9 =))
 

Цитата:
k8 похоже не умеет (запросил доки у поставщика - молчит пока) и придется делать des  

А что k8 не умеет? или железки k8 нет?
 
если нужно с hub(k8) to spoke, то проблем быть не должно.
 
Договариваемся и с поставщиками, и с клиентами, и с кошками...

K8 не умеет 3DES и AES. Если я правильно понял, только DES 56 бит
железки с k8 пока нет, потому посмотреть в реальности не на чем.
ну его этот k8 - пойду писать обоснование рук-во на 1801 с k9 (такое пока в наличии у поставщика)

по поводу К9 в прошлом году не напрягаясь взяли С3825 и С2811 (срок поставки 2 месяца) и 15 шт С851 (эти вообще через месяц привезли) так что все от поставщика зависит

Цитата:

железки с k8 пока нет, потому посмотреть в реальности не на чем

http://www.cisco.com/en/US/products/sw/iosswrel/ps5460/prod_bulletin09186a00801b0fcc.html

ESX091

Цитата:

не было речи об автономных системах

Да, но позвольте заметить использование BGP это подразумевает, да не суть.
zubastiy

Цитата:

K8 не умеет 3DES и AES. Если я правильно понял, только DES 56 бит

Все правильно, не умеет, я имела ввиду при использовании k9, вместо 3des использовать aes, почему вас так пугает обновление с k8 на k9? В случае проверки вы смело можете аргументировать что данное оборудование было приобретено до запрета на k9, а посему если вы не будете всем везде и всюду афишировать о использовании k9 вместо купленных k8, то проблем быть не должно.
Valery12

Цитата:

по поводу К9 в прошлом году

В настоящий момент это невозможно, k9 запрещен к ввозу в Россию, как сообщалось выше, есть альтернативна - k8, либо например вместо 871 брать 1841 или что-то в этом роде.

ESX091
Ага. Значит правильно предполагал.

ginger

Цитата:

В случае проверки вы смело можете аргументировать что данное оборудование было приобретено до запрета на k9

Как то неуютно я себя чувствую. К нам в филиалы регулярно заглядываю за "про винду".
Про циски никогда не спрашивали, но дата покупки оборудования стоит в счет фактурах и легко проверяется.

ginger
эх... уточню.
Если с оператором связи(провайдером) работаем по BGP, понятно, что выдается приватная автономная система.
А если подключаться к 3м провайдерам (!!), то придется как-то договариваться и регистрировать AS-ку.
Это разные вещи.

ESX091

Цитата:

эх... уточню.

Честно сказать не поняла нашего спора.

Цитата:

Если с оператором связи(провайдером) работаем по BGP, понятно, что выдается приватная автономная система.
А если подключаться к 3м провайдерам (!!), то придется как-то договариваться и регистрировать AS-ку.
Это разные вещи.

Опять же, не поняла, что было сказано мною, что утверждало бы обратное касательно ваших слов?
Прошу прощения, у тех, кому наш диалог мешает получать ответы на свои вопросы, ESX091, милости прошу в приват) да бы не засорять больше эту тему.

Всем здравствуйте, буду признателен всем тем, кто откликнется.
Уже который день никак не получается разрулить одну проблемку.

Есть switch Cisco Catalyst 4503, на нем имеется два VLAN-а.
1) Первый - VLAN 1, 192.168.1.0/24 он же native по default. - в этом VLAN-е основная масса компьютеров, IP назначается в ручную.
2) Другой VLAN 2, 192.168.2.0/26 - в нем по задумке должны крутится рабочие станции на которых IP будут назначаться DHCP сервером. (для гостей и стажеров) 3) Есть отдельный DHCP-сервер под Win2003R2 – 192.168.2.1/26 (принципиально, без альтернативы был избран именно этот ОС в роли DHCP сервера, на то имеется своя весомая причина). Схема подключение такова: DHCP-сервер(gi2/2, vlan2) <- > Cisco, др.порты < - > простые неуправляемые свитчи <- >рабочие станции. Так вот, задача заключается в том, чтобы заставить пакеты предназначенные для обеих VLAN-ов были доступны через промежуточный свитч, т.е. на тот же свитч в котором сидят основная масса раб.станций - при подключении гостевых хостов, IP назначался DHCP-сервером, и при необходимости члены обеих подсеток могли взаимодействовать друг с другом. Как мне известно вариант с настройкой trunk-а на порт в котором подключены свитчи отпадает, так как повторюсь свитчи простые, неуправляемые. Покопавшись в просторах инета, наткнулся на интересную опцию “ip helper-address” пробовал настроить по инструкции, не помогло. Подскажите, как решить данную задачу? по такой схеме даже и если IP адреса будут назначаться DHCP сервером, то не понятно как в дальнейшем оба VLAN будут взаимодействовать?
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip helper-address 192.168.2.1
end
!
interface Vlan2
ip address 192.168.2.2 255.255.255.192
ip directed-broadcast
end
!
interface GigabitEthernet2/3
switchport access vlan 1
switchport mode access
end
!
interface GigabitEthernet2/2
description "DHCP-Server"
switchport access vlan 2
switchport mode access
end