» Настройка Cisco оборудования

zukker2
Т.к. версия прошивки не указана, а телепатов тут нема, то попробуйте обновиться например до 'c3750-ipservicesk9-mz.122-50.SE3'.
На ней, во всяком случаее у меня, списки не слетают.
PS Где взять, спрашивать в другом разделе

Нужна помощь специалиста
Имеется роутер серии7200
Есть пул IP-адресов 10.10.10.0/26 (peer 1.1.1.1) с которого предназначенные пакеты для хоста 2.2.2.2 (peer 1.1.2.2) проходят через site-to-site vpn tunnel.
Вопрос.
Как поверх существующей схемы, так же с пула 10.10.10.0/26 NAT-ит пакеты на внешний хост (IP 3.3.3.3-web proxy) через внешний интерфейс роутера (IP 3.3.4.4)
Кто сталкивался схожей ситуацией подскажите пожалуйста.

Djufen

ip nat source list ACL_INTADD interface fastEthernet 0 overload

ACL_INTADD - Это Access List, в котором - разрешение пустит через NAT, запрет пустит без NAT
т.е
ip access-list extended ACL_INTADD
permit ip 10.0.0.0 0.0.0.255 3.3.3.3 0.0.0.0 - Отправить через нат все запросы с хостов 10.0.0.0/24, которые направленны на ip 3.3.3.3
permit tcp host 10.0.1.1 host 3.3.3.4 eq 8080 - отправить запросы через NAT с хоста 10.0.1.1 на хост 3.3.3.4 порт 8080

overload - это если хочешь сделать PAT, если именно NAT, то можно его не ставить.

на интервфейсы, которые смотрят во внутрь добавь параметр ip nat inside
а на внешний ip nat outside

alespopov

Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(44)SE2, RELEASE SOFTWARE (fc2)

zukker2
Тогда Вам видимо сюда: http://forum.ru-board.com/topic.cgi?forum=35&topic=42271&start=0&limit=1&m=4#1

alespopov
Спасибо, И еще вопрос, у меня две таких железки связаны в стек, обнвлять каждую отдельно, разрывая стэк? Простите за неграмотность, недавно в этой сфере..

denis_a

Вот что значит рука профи)) а то я уже который день перепробовал несколько вариантов
Большое спасибище
Выше изложенные правила действительно рабочие.

Где можно взять новые прошивки для цисок?

SergeyReutov
Смотри шапку "Поиск OS", либо как вариант на сайте Cisco, если есть соответсвующие Логин/пароль.

Помогите решить нетривиальную задачу, если ее вообще можно решить полностью.
Не так давно нам построили СКС.
В качестве сетевого оборудования используется cisco 3750g - ядро сети и cisco 3660 - рабочие места. Имеется несколько удаленных офисов, связанных по DSL.
Наша сеть 10.1.1.0/24 (офисы 10.1.2.0/24, 10.1.3.0/24, и т.д) Связь с офисами и маршрутизация настроена и работает без проблем.
В головном офисе есть интернет, который приходит к нам по SHDSL. Подключение к провайдеру выполняется по протоколу pptp, провайдер выделил нам статический ip - 195.10.10.10, внутренняя сеть провайдера - 192.168.5.0 (Наш ip - 192.168.5.2, ip pptp сервера провайдера - 192.168.5.100)
Стоит задача - выделить один порт под WAN, который будет автоматически подключаться к провайдеру, и раздавать интернет через NAT на 4 выделенных порта под некую VLAN 192.168.1.0/24 - это будет безопасная LAN. Эти порты будут использоваться для раздачи нефильтруемого интернета вне корпоративной сети. Эти WAN и LAN порты должны быть надежно отделены от сети препдриятия. Помимо этого весь трафик из интернета, должен идти на DMZ узел 192.168.1.2 - ISA сервер, через который интернет будет раздаваться всем остальным пользователям корпоративной среды.
И кроме того необходимо поднять на WAN интерфейсе (195.10.10.10) PPTP сервер с EAP-TLS аутентификацией (RADIUS сервер - 10.1.1.10, для того чтобы через интернет могли заходить сотрудники в сеть предприятия, и им бы присваивался адрес из сети предприятия 10.x.x.x)
Если задачу возможно решить лишь частично, подскажите какую часть задачи решить невозможно, либо что нужно для того, чтобы решить задачу.

PS: На данный момент подключение к провайдеру выполняется через D-Link DIR-100, и раздает через NAT интернет в сеть 192.168.1.0/24, в качестве DMZ стоит 192.168.1.2 - ISA сервер, который также является PPTP сервером с EAP-TLS. Все хорошо, но видимо из-за особенностей работы PPTP через NAT, удается войти только одному пользователю в сеть предприятия, и даже если разорвать PPTP соединение с предприятием следующее соединение можно установить только через час.

AndreiM
Тут скорее из за особенностей DLinka . Задача вполне решаема, на оборудовании Cisco. В Вашем перечне нет маршрутизатора(я подозреваю Вы опечатались и у Вас 3560 Cat, потому как 3660 снята и о ней забыли), а Длинк к сожалению не крутил, лишь слышал кучу нагоняев. Вобщем все это дело необходимо крутить на Длинке.

Sterh84, да именно 3560. Все набирал по памяти, поэтому мог и ошибиться.
Маршрутизатор у нас есть - 2509, но он очень старый, да и крутятся на нем только модемные линии, плюс маршрутизация между офисами.

AndreiM

Коммутаторы 3750, как и 3650, являются устройствами 3-го уровня (модели OSI). Поддерживают протоколы динамической маршрутизации: RIP (v.1? v.2), OSPF, EIGRP, BGP и статическую маршрутизацию, а также VLAN (802.1q), ACL и многое другое. Так что вполне могут решить ваши проблемы. Точнее можно будет сказать при наличии топологии и точного описания задач, подлежащих решению в вашей сети.

Rat7 Тем не менее, для соединения с провайдером люди предпочитают использовать не коммутаторы Циско, а роутеры. Серий 18хх, 28хх, 38хх ...
С их помощью на базе туннелей легко построить распределенную корпоративную "локальную" сеть, ну а уж об организации удаленного доступа по VPN с авторизацией по сертификатам или через RADIUS и говорить нечего.

Здравствуйте, All!
Появилась необходимость в автоматическом конфигурировании IP ареса, маски и default маршрута на Cisco 2900XL/3500XL (IOS Version 12.0(5)WC17). Согласно документации, если IP адрес устройства явно не указан в конфигурации и указана команда service config, либо конфигурационный файл отсутствует, dhcp клиент должен получить адрес автоматически. Однако этого, к сожалению, не происходит. Реализована ли возможность автоконфигурирования IP интерфейса в данных моделях свитчей, и если да, как её задействовать?

andryas
в настройках VLAN команда
ip address dhcp

Valery12,

Спасибо, я пробовал, на 3550 работает на "ура", но не на 3500

IOS последний для 3500



Цитата:

Switch(config)#int vlan 1
Switch(config-if)#ip address dhcp
^
% Invalid input detected at '^' marker.

del
sorry.

andryas
Должно работать, Вы, видимо, что-то недочитали/недоделали. Насколько помню, если присутствует команда service config, то DHCP-сервер должен отдавать ещё и адрес tftp-сервера, ибо тогда конфиг будет загружаться по tftp-request.
Хотя могу и ошибаться, давно это было

slut
Тоесть помимо получения адреса по DHCP, свитч ещё должен получить копию настроек с tftp сервера? Другого пути для банального автоконфигурирования не предусмотрено?
Спасибо за ответ.

andryas
3500 - Это что за железка такая? show ver можете показать?

http://www.mark-itt.ru/CISCO/adv/c3500xl.htm


Цитата:

Cisco Internetwork Operating System Software
IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC17, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Tue 13-Feb-07 15:04 by antonino
Image text-base: 0x00003000, data-base: 0x00352924

ROM: Bootstrap program is C3500XL boot loader

Switch uptime is 10 hours, 37 minutes
System returned to ROM by power-on
System image file is "flash:c3500xl-c3h2s-mz.120-5.WC17.bin"


cisco WS-C3524-PWR-XL (PowerPC403) processor (revision 0x01) with 8192K/1024K by
tes of memory.
Processor board ID , with hardware revision 0x00
Last reset from power-on

Processor is running Enterprise Edition Software
Cluster command switch capable
Cluster member switch capable
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)

32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address:
Motherboard assembly number:
Power supply part number:
Motherboard serial number:
Power supply serial number:
Model revision number: A0
Motherboard revision number: B0
Model number: WS-C3524-PWR-XL-EN
System serial number:
Configuration register is 0xF

Цитата:

Тоесть помимо получения адреса по DHCP, свитч ещё должен получить копию настроек с tftp сервера? Другого пути для банального автоконфигурирования не предусмотрено?
Спасибо за ответ.

Не обязательно. Только если присутствует service config - свитч будет ждать конфига с tftp (естетственно, предварительно получив от DHCP host/mask/gateway)

slut,
но и без service config тоже не получает почему-то...

andryas
функционал поддерживается с версии IOS 12.0(5)XW
что необходимо сделать для настройки можно посмотреть здесь
http://www.cisco.com/en/US/docs/switches/lan/catalyst2900xl_3500xl/release12.0_5_wc_1_/swg/swgsyst.html#wp1027913
и по командам здесь:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2900xl_3500xl/release12.0_5_wc_1_/cli/clicmds.html#wp1078135

данное оборудование не застал, поэтому подсказать вряд ли что смогу.
попробуйте локализовать проблему - при включении коммутатора посмотреть - отправляет ли он dhcp-запросы.

извиняюсь за глупый вопрос)

свитч 3560 подключаюсь к нему терминалом, даю команду show arp и выводится таблица мак адресов нескольких хостов(2-х из 48), если с терминала пингануть какой то определенный хост и затем повторить команду show arp то в таблице будет мак адрес этого хоста... вопрос, как посмотреть таблицу мак адресов всех подключенных хостов?

mrmarvin
show mac address-table

Raifeg
спасибо

еще вопрос из той же серии...

свитч 3560 как посмотреть на каком порту какой ip или mac висит ?

ASA 5505
Планируется использовать как внешний брандмауэр. Внутренний реализован на MS TMG
Необходимо сделать PAT PPTP поступающих на ASA на интерфейс TMG. Правила проброса написал, но клиенты отваливаются на проверке пароля, т.е., по моему нет выхода для ответа TMG. Выход для GRE разрешал - всеравно не айс.
Как полечить?

Код:
!
interface Vlan1
nameif inside
security-level 100
ip address 175.55.5.5 255.255.255.0
!
interface Vlan2
description 82.111.234.23
nameif outside
security-level 0
ip address 82.111.234.23 255.255.255.252
!
interface Vlan5
no forward interface Vlan2
nameif dmz
security-level 50
ip address 192.168.200.204 255.255.255.248

access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit tcp any any eq pptp
access-list dmz_access_in extended permit tcp any any eq pptp
access-list inside_access_in extended permit ip any any

icmp unreachable rate-limit 1 burst-size 1
icmp deny any outside
icmp deny any dmz

global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface pptp 175.55.5.3 pptp netmask 255.255.255.255
static (inside,dmz) tcp interface pptp 175.55.5.3 pptp netmask 255.255.255.255
static (inside,outside) tcp interface 11111 175.55.5.3 11111 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
route outside 0.0.0.0 0.0.0.0 212.119.207.185 1
route dmz 0.0.0.0 0.0.0.0 192.168.200.203 2

dhcpd dns 194.85.129.80 194.85.128.10
dhcpd auto_config outside
!
dhcpd address 175.55.5.9-175.55.5.254 inside