Ну телепатов тут мало, давайте хоть, за тегом more, конфиги обоих туннелей для начала.
Внешние IP замените тока
Внешние IP замените тока
» Настройка Cisco оборудования
interface Tunnel21
description Центральный офис
ip address 1.1.1.113 255.255.255.252
keepalive 10 5
tunnel source 95.1.1.1
tunnel destination 93.1.1.1
interface Tunnel21 (Тунели имеют одинаковый номер интерфейса для удобства)
description Филиал
ip address 1.1.1.114 255.255.255.252
keepalive 10 5
tunnel source 93.1.1.1
tunnel destination 95.1.1.1
3845_Router#sh interfaces Tunnel 21
Tunnel21 is up, line protocol is up
Hardware is Tunnel
Description: Центральный офис
Internet address is 1.1.1.113/30
MTU 1514 bytes, BW 10240 Kbit/sec, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 5
Tunnel source 95.*.*.*, destination 93.*.*.*
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:02:57, output 00:00:07, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 3
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
4363349 packets input, 1226256719 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4948988 packets output, 3363279473 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
857#sh interfaces Tunnel 21
Tunnel21 is up, line protocol is up
Hardware is Tunnel
Description: филиал
Internet address is 1.1.1.114/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 20/255, rxload 14/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 5
Tunnel source 93.*.*.*, destination 95.*.*.*
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:19, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 6
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 18000 bits/sec, 5 packets/sec
5 minute output rate 12000 bits/sec, 4 packets/sec
6269 packets input, 3568218 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
7458 packets output, 2968557 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
description Центральный офис
ip address 1.1.1.113 255.255.255.252
keepalive 10 5
tunnel source 95.1.1.1
tunnel destination 93.1.1.1
interface Tunnel21 (Тунели имеют одинаковый номер интерфейса для удобства)
description Филиал
ip address 1.1.1.114 255.255.255.252
keepalive 10 5
tunnel source 93.1.1.1
tunnel destination 95.1.1.1
3845_Router#sh interfaces Tunnel 21
Tunnel21 is up, line protocol is up
Hardware is Tunnel
Description: Центральный офис
Internet address is 1.1.1.113/30
MTU 1514 bytes, BW 10240 Kbit/sec, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 5
Tunnel source 95.*.*.*, destination 93.*.*.*
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:02:57, output 00:00:07, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 3
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
4363349 packets input, 1226256719 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4948988 packets output, 3363279473 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 unknown protocol drops
0 output buffer failures, 0 output buffers swapped out
857#sh interfaces Tunnel 21
Tunnel21 is up, line protocol is up
Hardware is Tunnel
Description: филиал
Internet address is 1.1.1.114/30
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 20/255, rxload 14/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec), retries 5
Tunnel source 93.*.*.*, destination 95.*.*.*
Tunnel protocol/transport GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled
Tunnel TTL 255
Fast tunneling enabled
Tunnel transmit bandwidth 8000 (kbps)
Tunnel receive bandwidth 8000 (kbps)
Last input 00:00:19, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 6
Queueing strategy: fifo
Output queue: 0/0 (size/max)
5 minute input rate 18000 bits/sec, 5 packets/sec
5 minute output rate 12000 bits/sec, 4 packets/sec
6269 packets input, 3568218 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
7458 packets output, 2968557 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
Гм, ну говорят некоторым помогает просто пересоздать конфиги тупым копированием из старого воссоздать.
Т.е. (на обоих туннелях):
#conf t
(config)#int Tu21
(config-if)#shutdown
(config-if)#exit
(config)#default int Tu21
(config)#int Tu21
...
Обрати внимание на #default(!), далее просто опять соответствующие строчки забиваете.
(config-if)#ip tcp adjust-mss 1400
(config-if)#no shutdown
2) А гейт в IPтел куда указан ? Может в нем настройки остались те, что когда к себе привозили, остались.. И куда гейт указывает в PBX ?
2) Я надеюсь что типа: ip address 10.x.x.x все-же
PS Вот так лучше-б было: [no][more]Текст[/more] или [more=Читать дальше..]Текст[/more][/no]
PSPS А вообще IMHO, мистика какая-то ....
Т.е. (на обоих туннелях):
#conf t
(config)#int Tu21
(config-if)#shutdown
(config-if)#exit
(config)#default int Tu21
(config)#int Tu21
...
Обрати внимание на #default(!), далее просто опять соответствующие строчки забиваете.
(config-if)#ip tcp adjust-mss 1400
(config-if)#no shutdown
2) А гейт в IPтел куда указан ? Может в нем настройки остались те, что когда к себе привозили, остались.. И куда гейт указывает в PBX ?
2) Я надеюсь что типа: ip address 10.x.x.x все-же
PS Вот так лучше-б было: [no][more]Текст[/more] или [more=Читать дальше..]Текст[/more][/no]
PSPS А вообще IMHO, мистика какая-то ....
AMuHb
Ваша проблема может быть связана как с настройками самой станции, так и с маршрутизацией, чтобы исключить проблему с маршрутизацией зарегистрируйте проблемного абонента удаленной точки у вас в офисе, а офисного абонента у кого по вашим словам проблем нет, на удаленной точке, сами аппараты при этом никуда возить не надо.
Так же просьба сообщить находятся ли ip-аппараты в одной сети, что и станция в вашем офисе?
Так же просьба привести листинг команды:
Со стороны офиса:
sh ip route IP_удаленного_абонента
ping IP_удаленного_абонента source IP_шлюз_станции
Со стороны удаленной точки:
sh ip route IP_атс_офиса
ping IP_атс_офиса source IP_шлюз_абонента
По мимо этого просьба сообщить какой протокол для коммутации SIP используется вами TCP или UDP?
Если TCP, то не лишним будет на туннеле с обоих сторон указать:
ip mtu 1400
ip tcp adjust-mss 1360
или:
tunnel path-mtu-discovery
Ваша проблема может быть связана как с настройками самой станции, так и с маршрутизацией, чтобы исключить проблему с маршрутизацией зарегистрируйте проблемного абонента удаленной точки у вас в офисе, а офисного абонента у кого по вашим словам проблем нет, на удаленной точке, сами аппараты при этом никуда возить не надо.
Так же просьба сообщить находятся ли ip-аппараты в одной сети, что и станция в вашем офисе?
Так же просьба привести листинг команды:
Со стороны офиса:
sh ip route IP_удаленного_абонента
ping IP_удаленного_абонента source IP_шлюз_станции
Со стороны удаленной точки:
sh ip route IP_атс_офиса
ping IP_атс_офиса source IP_шлюз_абонента
По мимо этого просьба сообщить какой протокол для коммутации SIP используется вами TCP или UDP?
Если TCP, то не лишним будет на туннеле с обоих сторон указать:
ip mtu 1400
ip tcp adjust-mss 1360
или:
tunnel path-mtu-discovery
ginger
Цитата:
один аппарат у него
Цитата:
у меня такое ощущение что поскольку связь идёт через тунель то - в разных.
а когда его привозят в офис - то в одной и там проблем нет.
Цитата:
это не важно. сигнализация по какому бы протоколу она не работала работает нормально - звонок проходит. не работает голос. а голос это rtp.
поэтому очень хотелось бы посмотреть debug ip rtp packets во время проблемного звонка.
Цитата:
зарегистрируйте проблемного абонента удаленной точки у вас в офисе, а офисного абонента у кого по вашим словам проблем нет, на удаленной точке, сами аппараты при этом никуда возить не надо.
один аппарат у него
Цитата:
Так же просьба сообщить находятся ли ip-аппараты в одной сети, что и станция в вашем офисе?
у меня такое ощущение что поскольку связь идёт через тунель то - в разных.
а когда его привозят в офис - то в одной и там проблем нет.
Цитата:
По мимо этого просьба сообщить какой протокол для коммутации SIP используется вами TCP или UDP?
это не важно. сигнализация по какому бы протоколу она не работала работает нормально - звонок проходит. не работает голос. а голос это rtp.
поэтому очень хотелось бы посмотреть debug ip rtp packets во время проблемного звонка.
Всем спасибо трабла оказалась в PBX (она мудрёная эта астра матра, и плата с кодеками имеет свой ИП и свой шлюз, вот с ними проблем и был) после того как сказал телефонисту что глюк в станции он нашёл его 8-)
Помогите решить задачу:нужно отрегулировать на оборудовании Cisco (R3845, C3750) пропускную способность канала для разных IP. Например выделить для определенного IP полосу 1 Мбит, но если общий канал (10 Мбит) освободил 2 Мбита, то поднять полосу до 2 Мбит, если канал надо освободить, то вновь уменьшить до 1 Мбит без потерь пакетов. Только для входящего трафика
Сам не пробовал, но внутри 3750 можно создать туннели с VRF и:
cat3750(config-if)#service-policy ?
input Assign policy-map to the input of an interface
output Assign policy-map to the output of an interface
В качестве эти tunnel source/destination использовать Loopback:
interface Loopback0
ip vrf forwarding NAMEVRF
...
и далее:
interface Vlan20
ip vrf forwarding NAMEVRF
Ну маршрутизацию настроить между вланами этими(я использовал BGP)
!
ip vrf NAMEVRF
rd 65001:41
...
router bgp 65001
no synchronization
bgp log-neighbor-changes
no auto-summary
address-family ipv4 vrf NAMEVRF
redistribute connected
redistribute static
no synchronization
exit-address-family
...
Как-то так ..
cat3750(config-if)#service-policy ?
input Assign policy-map to the input of an interface
output Assign policy-map to the output of an interface
В качестве эти tunnel source/destination использовать Loopback:
interface Loopback0
ip vrf forwarding NAMEVRF
...
и далее:
interface Vlan20
ip vrf forwarding NAMEVRF
Ну маршрутизацию настроить между вланами этими(я использовал BGP)
!
ip vrf NAMEVRF
rd 65001:41
...
router bgp 65001
no synchronization
bgp log-neighbor-changes
no auto-summary
address-family ipv4 vrf NAMEVRF
redistribute connected
redistribute static
no synchronization
exit-address-family
...
Как-то так ..
Хотелось бы уточнить:
Имеются SLM224G.
Есть неуверенность по поводу того что у них нету возможности управления по telnet, ssh, а так же возможности фильтровать трафик по портам(http, https, DNS). Уточните пожалуйста...
А так же мне не удалось загрузить на них последнюю прошивку скачанную с оф сайта, slm2xx_FW_2.0.0.10.ros пытался и через http(Обзор) и через tftp - оба варианта даже не загрузили прошивку, tftp и вовсе отказался грузить файл с расширением .ros - тогда я просто стер расширение и после он выдал, что загрузка неудачна, так же как и http...
Имеются SLM224G.
Есть неуверенность по поводу того что у них нету возможности управления по telnet, ssh, а так же возможности фильтровать трафик по портам(http, https, DNS). Уточните пожалуйста...
А так же мне не удалось загрузить на них последнюю прошивку скачанную с оф сайта, slm2xx_FW_2.0.0.10.ros пытался и через http(Обзор) и через tftp - оба варианта даже не загрузили прошивку, tftp и вовсе отказался грузить файл с расширением .ros - тогда я просто стер расширение и после он выдал, что загрузка неудачна, так же как и http...
Alukardd
Цитата:
управление через только через web.
фильтрация трафика по ip (по портам не поддерживается)
с обновления проблем не было.
Цитата:
Есть неуверенность по поводу того что у них нету возможности управления по telnet, ssh, а так же возможности фильтровать трафик по портам(http, https, DNS). Уточните пожалуйста...
управление через только через web.
фильтрация трафика по ip (по портам не поддерживается)
с обновления проблем не было.
Есть ОЧЕНЬ большая проблема. В Цисках не разбираюсь. На днях впервые подключился телнетом, клево
Стоит задача поднять VPN канал. Можете скинуть ссылки на статьи и книги для начинающих. Желательно более менее по теме, про VPN, ipsec и всё такое...
Есть даже типовой конфиг, но блин, ничего ж не знаю
Стоит задача поднять VPN канал. Можете скинуть ссылки на статьи и книги для начинающих. Желательно более менее по теме, про VPN, ipsec и всё такое...
Есть даже типовой конфиг, но блин, ничего ж не знаю
ra1n
Цитата:
открывайте ICND1 и читаете - это курс молодого бойца.
потом ICND2 - и снова читаете - это уже про "и все такое"
другого, увы, посоветовать сложно.
Цитата:
Есть ОЧЕНЬ большая проблема. В Цисках не разбираюсь. На днях впервые подключился телнетом, клево
Стоит задача поднять VPN канал. Можете скинуть ссылки на статьи и книги для начинающих. Желательно более менее по теме, про VPN, ipsec и всё такое...
Есть даже типовой конфиг, но блин, ничего ж не знаю
открывайте ICND1 и читаете - это курс молодого бойца.
потом ICND2 - и снова читаете - это уже про "и все такое"
другого, увы, посоветовать сложно.
ra1n
Цитата:
Цитата:
Можете скинуть ссылки на статьи и книги для начинающих.Очень много статей по циске на opennet.ru В качестве популярной книжки могу посоветовать Cisco IOS in a Nutshell
ra1n
если сами кошек не знаете, значит нужен знакомый, который умеет их дрессировать =)))
если сами кошек не знаете, значит нужен знакомый, который умеет их дрессировать =)))
ra1n
По мимо данных вам советов, не поленитесь зайти на cisco.com и в строке поиска ввести интересующую вас фразу, в результате вы получите множество примеров по реализации поставленной перед вами задачи.
По мимо данных вам советов, не поленитесь зайти на cisco.com и в строке поиска ввести интересующую вас фразу, в результате вы получите множество примеров по реализации поставленной перед вами задачи.
Вроде немного разобрался. Но такая заморочка... Может быть такое, что моя циска не поддерживает isakmp?
Добавлено:
Как зайти в режим конфигурации cisco 36** ?
Добавлено:
Как зайти в режим конфигурации cisco 36** ?
ra1n Ты удивишься, но циска - это не только железка, но и операционка. И в отличие от винды, подход не "все включено", а то, что заказано при покупке. Состав функций от самых минималистских до самых навороченных. Плюс узкоспециализированные. В сочетании с железом (С8хх, С17хх, С18хх, С26хх, С28хх, С35хх, С36хх, С37хх, С38хх, ...) это создает огромное количество возможных конфигураций.
Кстати, ты даже не написал, что за циска у тебя.
Для isakmp, кроме правильной оси, важна аппаратная поддержка
Есть ли она, проверить просто командой
sh hard
В выводе команды должна быть строчка
....................
1 Virtual Private Network (VPN) Module
......................
Добавлено:
Цитата:
Где купить чернила для пятого класса?
В любой циске в режим конфигурации заходят командой
Configure terminal
Читай книжки, потом будешь спрашивать, когда в голове устаканится!
Кстати, ты даже не написал, что за циска у тебя.
Для isakmp, кроме правильной оси, важна аппаратная поддержка
Есть ли она, проверить просто командой
sh hard
В выводе команды должна быть строчка
....................
1 Virtual Private Network (VPN) Module
......................
Добавлено:
Цитата:
Как зайти в режим конфигурации cisco 36** ?
Где купить чернила для пятого класса?
В любой циске в режим конфигурации заходят командой
Configure terminal
Читай книжки, потом будешь спрашивать, когда в голове устаканится!
Хыхы, пароднте) Вроде немного устаканилось. Поднял туннель, жду когда на другом конце настроят всё как надо.
Господа, скрэшилась вечером 4948. Скажите, кому можно кинуть крэшдамп, чтобы узнать, в чём причина была?
C4948# sh ver
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 12.2(52)SG, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 12-May-09 14:57 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x1209A248
System returned to ROM by abort at PC 0x0
System restarted at 21:29:58 EEST Tue Sep 21 2010
System image file is "bootflash:cat4500-entservicesk9-mz.122-52.SG.bin"
Гугление на эту тему пока что приводит только к:
CSCsi17158
Symptoms: Devices running Cisco IOS may reload with the error message "System returned to ROM by abort at PC 0x0" when processing SSHv2 sessions. A switch crashes. We have a script running that will continuously ssh-v2 into the 3560 then close the session normally. If the vty line that is being used by SSHv2 sessions to the device is cleared while the SSH session is being processed, the next time an ssh into the device is done, the device will crash.
Conditions: This problem is platform independent, but it has been seen on Cisco Catalyst 3560, Cisco Catalyst 3750 and Cisco Catalyst 4948 series switches. The issue is specific to SSH version 2, and its seen only when the box is under brute force attack. This crash is not seen under normal conditions.
(но у нас ssh не используется).
И:
If many ARP entries (47k) exist and you clear the ARP table, the system reloads and the switch crashes with the message:
ROM by abort at PC 0x0
Workaround: None.
Downgrade to Cisco IOS Release 12.2(50)SG3 if needed.
C4948# sh ver
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 12.2(52)SG, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 12-May-09 14:57 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x1209A248
System returned to ROM by abort at PC 0x0
System restarted at 21:29:58 EEST Tue Sep 21 2010
System image file is "bootflash:cat4500-entservicesk9-mz.122-52.SG.bin"
Гугление на эту тему пока что приводит только к:
CSCsi17158
Symptoms: Devices running Cisco IOS may reload with the error message "System returned to ROM by abort at PC 0x0" when processing SSHv2 sessions. A switch crashes. We have a script running that will continuously ssh-v2 into the 3560 then close the session normally. If the vty line that is being used by SSHv2 sessions to the device is cleared while the SSH session is being processed, the next time an ssh into the device is done, the device will crash.
Conditions: This problem is platform independent, but it has been seen on Cisco Catalyst 3560, Cisco Catalyst 3750 and Cisco Catalyst 4948 series switches. The issue is specific to SSH version 2, and its seen only when the box is under brute force attack. This crash is not seen under normal conditions.
(но у нас ssh не используется).
И:
If many ARP entries (47k) exist and you clear the ARP table, the system reloads and the switch crashes with the message:
ROM by abort at PC 0x0
Workaround: None.
Downgrade to Cisco IOS Release 12.2(50)SG3 if needed.
Bock
Цитата:
Цитата:
но у нас ssh не используетсяНе используется или задизейблен? Это две большие разницы. Просто многие умники пытаются брутфорсить ssh подключение, сам неоднлкратно в логах такие попытки видел.
Bock
Цитата:
Core dumps как правило отправляются в Cisco инженерам поддержки, которые и занимаются анализом причин краха, так же было бы не плохо развернуть в сети syslog-сервер на который будет протоколироваться журнал событий оборудования в том числе и информация из-за которой могло возникнуть падение системы. В любом случае отправить "корку" в Cisco вам не помешает, чтобы получить детальный отчет о причинах падения вашего оборудования.
Цитата:
Господа, скрэшилась вечером 4948. Скажите, кому можно кинуть крэшдамп, чтобы узнать, в чём причина была?
Core dumps как правило отправляются в Cisco инженерам поддержки, которые и занимаются анализом причин краха, так же было бы не плохо развернуть в сети syslog-сервер на который будет протоколироваться журнал событий оборудования в том числе и информация из-за которой могло возникнуть падение системы. В любом случае отправить "корку" в Cisco вам не помешает, чтобы получить детальный отчет о причинах падения вашего оборудования.
vlary, сеть сильно изолирована, на vty висит лист и
#sh crypto key mypubkey rsa
пусто.
ginger, сислог есть, но анализ его ничего не дал - там ничего такого от коммутатора не приходило.
#sh crypto key mypubkey rsa
пусто.
ginger, сислог есть, но анализ его ничего не дал - там ничего такого от коммутатора не приходило.
Bock
Цитата:
Как вариант попробуйте проанализировать и воссоздать происходящее в злополучный день, время, час, при этом не помешало бы подключиться через консоль к коммутатору, установив соответствующий вывод журнала на нее, проанализировать нагрузку и расход памяти, так же не помешает удостовериться соответствует ли используемый вами IOS требованиям вашего железа, собственно это то, что вы в силах сделать самостоятельно, но как я уже говорила, точную информацию вам предоставит сама Cisco.
Цитата:
сислог есть, но анализ его ничего не дал - там ничего такого от коммутатора не приходило.
Как вариант попробуйте проанализировать и воссоздать происходящее в злополучный день, время, час, при этом не помешало бы подключиться через консоль к коммутатору, установив соответствующий вывод журнала на нее, проанализировать нагрузку и расход памяти, так же не помешает удостовериться соответствует ли используемый вами IOS требованиям вашего железа, собственно это то, что вы в силах сделать самостоятельно, но как я уже говорила, точную информацию вам предоставит сама Cisco.
Может кто реализовывал такую функцию подскажите
Есть циска 857 у неё есть DHCP пул 192.168.0.1/24 клиенты всевозможные (Win Lin) есть идея разрешить по умолчанию выход в инет только линуксовым клиентам у которых TTL = 64 Каким образом (ACL либо ещё как) фильтрануть всех у кого ТТL > 64 не пускать в инет?
Есть циска 857 у неё есть DHCP пул 192.168.0.1/24 клиенты всевозможные (Win Lin) есть идея разрешить по умолчанию выход в инет только линуксовым клиентам у которых TTL = 64 Каким образом (ACL либо ещё как) фильтрануть всех у кого ТТL > 64 не пускать в инет?
ginger, у нас стоит в связке 6 4948, все между собой связаны etherchannel, кольцо такое большое, сходимость которого очень маленькая (за счёт выставления приоритетов спаннин-три). остальные 5 штук не перезагружались, аптаймы остались (год и 7 недель). ios везде одинаковый. Не думайте, что ничего не анализируется, снималась информация mrtg & cacti. Так к тому времени, как всё произошло, трафика не было. Я бы наоборот не удивился, что он может быть сложился, если бы загрузка была, так ей даже и не пахло.
Ладно, логи отправлены в циско, будем ждать.
Ладно, логи отправлены в циско, будем ждать.
AMuHb
было дело.
1. желательно определить на основе чего будете сортировать пакеты (длина пакета, определенные опции)
у XP, например, есть такая опция 60 в dhcp discover.
2. после этого решаете какой механизм будет использоваться для разделения пакетов, (fpm, acl, class-map..)
3. теперь пакет можно выделить из толпы и перенаправить на другой dhcp/пул.
было дело.
1. желательно определить на основе чего будете сортировать пакеты (длина пакета, определенные опции)
у XP, например, есть такая опция 60 в dhcp discover.
2. после этого решаете какой механизм будет использоваться для разделения пакетов, (fpm, acl, class-map..)
3. теперь пакет можно выделить из толпы и перенаправить на другой dhcp/пул.
Как я понял ловить запрос на получение адреса (как промониторить опцию 60?)
в зависимости от этого давать нужный ИП и уже его рубить, но получается если задать ИП руками из пула которому можно в инет то пофигу какая ОС.
в зависимости от этого давать нужный ИП и уже его рубить, но получается если задать ИП руками из пула которому можно в инет то пофигу какая ОС.
вопрос к знатокам.
в общем есть cisco857 (Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)) хочется настроить отдачу статистики по netflow.
на циско.ком пишють, что можно использовать для этих целей flexible netflow.
доступ в инет имею через pppoe, соответсвенно примению настройки netflow на dialer1.
т.е на di1
ip flow monitor MON_VI1 input
но sh flow interface показывает
Interface Dialer1
FNF: monitor: MON_VI
direction: Input
traffic(ip): on
вроде де бы vi1 должен клонироваться с di1, но..
Собственно и сам вопрос, можно ли каким образом применить netflow monitor на vi1?
конфиг
flow exporter TO_COMP
description EXPORT TO HOME COMP
destination 192.168.1.2
source Vlan1
transport udp 9996
flow monitor MON_VI
description MONITOR FOR INPUT VI INTERFACE
record netflow ipv4 original-input
exporter TO_COMP
statistics packet protocol
interface Dialer1
description INTERNET
bandwidth 18000
ip address negotiated
ip access-group DENY_ALL in
ip mtu 1492
ip inspect FW out
ip flow monitor MON_VI input
ip nat outside
ip virtual-reassembly max-reassemblies 512
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
no cdp enable
ppp chap hostname ХХХХХХХХХХХХ
ppp chap password ХХХХХХХХХХХ
ppp pap sent-username ХХХХХХХХХХХ password 7 ХХХХХХХХХХХХХ
сильно не пинайте, если что не так написал
в общем есть cisco857 (Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)) хочется настроить отдачу статистики по netflow.
на циско.ком пишють, что можно использовать для этих целей flexible netflow.
доступ в инет имею через pppoe, соответсвенно примению настройки netflow на dialer1.
т.е на di1
ip flow monitor MON_VI1 input
но sh flow interface показывает
Interface Dialer1
FNF: monitor: MON_VI
direction: Input
traffic(ip): on
вроде де бы vi1 должен клонироваться с di1, но..
Собственно и сам вопрос, можно ли каким образом применить netflow monitor на vi1?
конфиг
flow exporter TO_COMP
description EXPORT TO HOME COMP
destination 192.168.1.2
source Vlan1
transport udp 9996
flow monitor MON_VI
description MONITOR FOR INPUT VI INTERFACE
record netflow ipv4 original-input
exporter TO_COMP
statistics packet protocol
interface Dialer1
description INTERNET
bandwidth 18000
ip address negotiated
ip access-group DENY_ALL in
ip mtu 1492
ip inspect FW out
ip flow monitor MON_VI input
ip nat outside
ip virtual-reassembly max-reassemblies 512
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
no cdp enable
ppp chap hostname ХХХХХХХХХХХХ
ppp chap password ХХХХХХХХХХХ
ppp pap sent-username ХХХХХХХХХХХ password 7 ХХХХХХХХХХХХХ
сильно не пинайте, если что не так написал
Настроен цифровой модемный пул (CISCO2811 + HWIC-1CE1T1-PRI + PVDM2-12DM)
Необходимо принудительно разрывать звонок через 20 минут
Нашел пару команд: "dialer idle-timeout" и "ppp timeout idle", но они мне не подходят, т.к. привязаны к бездействию линии. Мне же необходимо рвать соединение вне зависимости есть там трафик или нет.
Есть ли команда для такого случая? Если да, то какая?
[more=кусок конфигурации]
card type e1 1
aaa new-model
aaa authentication login default local
aaa authentication login for_modem none
aaa authentication enable default enable
aaa session-id common
network-clock-participate slot 1
network-clock-select 1 E1 1/0
modem-pool MP4POS
pool-range 0/322 0/345
called-number 1111111 max-conn 5
modem country v12 russia
modem recovery threshold 100
modem recovery action download
isdn switch-type primary-net5
voice-card 0
no dspfarm
controller E1 1/0
framing NO-CRC4
pri-group timeslots 1-16
interface Serial1/0:15
no ip address
encapsulation ppp
isdn switch-type primary-net5
isdn incoming-voice modem
isdn sending-complete
no fair-queue
no cdp enable
interface Group-Async0
no ip address
encapsulation slip
group-range 0/322 0/345
line 0/322 0/345
login authentication for_modem
modem InOut
modem autoconfigure discovery
autocommand connect 2.2.2.2 3333 /stream
transport input all
autoselect during-login
[/more]
Необходимо принудительно разрывать звонок через 20 минут
Нашел пару команд: "dialer idle-timeout" и "ppp timeout idle", но они мне не подходят, т.к. привязаны к бездействию линии. Мне же необходимо рвать соединение вне зависимости есть там трафик или нет.
Есть ли команда для такого случая? Если да, то какая?
[more=кусок конфигурации]
card type e1 1
aaa new-model
aaa authentication login default local
aaa authentication login for_modem none
aaa authentication enable default enable
aaa session-id common
network-clock-participate slot 1
network-clock-select 1 E1 1/0
modem-pool MP4POS
pool-range 0/322 0/345
called-number 1111111 max-conn 5
modem country v12 russia
modem recovery threshold 100
modem recovery action download
isdn switch-type primary-net5
voice-card 0
no dspfarm
controller E1 1/0
framing NO-CRC4
pri-group timeslots 1-16
interface Serial1/0:15
no ip address
encapsulation ppp
isdn switch-type primary-net5
isdn incoming-voice modem
isdn sending-complete
no fair-queue
no cdp enable
interface Group-Async0
no ip address
encapsulation slip
group-range 0/322 0/345
line 0/322 0/345
login authentication for_modem
modem InOut
modem autoconfigure discovery
autocommand connect 2.2.2.2 3333 /stream
transport input all
autoselect during-login
[/more]
Коллеги, прошу у вас помощи. Имеется Cisco c3750. Иногда, не понятно почему "подвисают" списки доступа и все пользователи становятся отрезаны от этого вилана. Лечиться только удалением и созданием заново это списка. Причем я заметил, что когда они висят, правила не добавляются и не удаляются.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.