» Настройка Cisco оборудования

mrmarvin

Цитата:

еще вопрос из той же серии...
свитч 3560 как посмотреть на каком порту какой ip или mac висит ?

Смотрим встроенную помощь:


Код: Switch#show mac-address-table ?
address Address to lookup in the table
aging-time MAC address table aging parameters
count Number of MAC addresses in the table
dynamic List dynamic MAC addresses
interface List MAC adresses on a specific interface
move MAC Move information
multicast List multicast MAC addresses
notification MAC notification parameters and history table
secure List secure MAC addresses
static List static MAC addresses
vlan List MAC addresses on a specific vlan

to NumberNot

а если убрать асу - работает?

вот эта команда зачем?
access-list inside_access_in extended permit ip any any

и не увидел в acl и нате правил для gre.

ESX091
да без асы все ok

про gre точно, скинул сохраненный конфиг без этой строки

вот
access-list outside_access_in extended permit gre any any
и эту добавлял
access-list inside_access_in extended permit gre any any

access-list inside_access_in extended permit ip any any - разрешает выход из внутренней сети куда угодно, живет пока настраиваю аса.

to NumberNot
1. вот это можно выкинуть
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside

2. если добавляете acl для gre, то надо добавить и статический нат. он есть?

Цитата:

2. если добавляете acl для gre, то надо добавить и статический нат. он есть?

Нету.
Буду признателен за пример для моей конфигурации

Бобр день.

Есть cisco2901 c несколькими линками до провайдеров. (4 наружу сети, локалка и dmz)
Используется для публикации web сервисов.
Возникла надобность на на одном внешнем интерфейсов поднять dhcp сервер.
Как правильно и безопасно сделать так, чтобы dhcp запросы обрабатывались только в нужной подсети?
Достаточно ли указать диапазон ip из интересующей подсети?
На cisco.com примеры только для обработки запросов из inside (

zubastiy Зачем вам dhcp сервер, работающий наружу?

Цитата:

Как правильно и безопасно сделать так, чтобы dhcp запросы обрабатывались только в нужной подсети?

Делать виланы.

vlary

Цитата:

zubastiy Зачем вам dhcp сервер, работающий наружу?

для пользователей модемного пула, к сожалению даже сейчас инет есть не везде.

Цитата:

Делать виланы.

как сообщить циске, что бы dhcp работал только в определенной вилане?

zubastiy
Цитата:

для пользователей модемного пула

Первый раз слышу, чтобы адреса в дайлапе раздавались по dhcp.

Цитата:

как сообщить циске, что бы dhcp работал только в определенной вилане?

Например, повесив на субинтерфейсы, соответствующий другим виланам, акцесс-лист, блокирующий dhcp запросы.

to zubastiy
dhcp запросы бегают локально, т.е
1. будет дан ip-адрес из подсетки интерфейса маршрутизатора, на котором получен пакет.
2. либо используете dhcp-релей, тогда маршрутизатор будет выдавать ip клиентам в зависимости от ip адреса релея.
inside или outside - для dhcp без разницы.

to NumberNot
вместо
static (inside,outside) tcp interface pptp 175.55.5.3 pptp netmask 255.255.255.255
static (inside,dmz) tcp interface pptp 175.55.5.3 pptp netmask 255.255.255.255
static (inside,outside) tcp interface 11111 175.55.5.3 11111 netmask 255.255.255.255
используйте
static (inside,outside) interface 175.55.5.3
static (inside,dmz) interface 175.55.5.3
а нужные порты откройте acl.

Сорри, если не совсем в тему.

В связи с проблемами с криптографией у Циски на территории России, хочется посмотреть альтернативы. Есть роутеры других производителей, умеюшие поднимать GRE?

serguei00
Цитата:

Сорри, если не совсем в тему

Действительно, не в тему.
Выбор роутера (router)
Протокол GRE поддерживают некоторые роутеры Д-Линка, например.

а причем здесь
1. гре и криптография?
2. проблемы с криптографией у кошек. это у всех.

подскажите
1. "старые" ISRы (18хх, 28хх) требуют лицензии при заливке 15-го IOS-a?
2. "старые" ISRы из последних поставок физически имеют криптующий ASIC? (слышал, что Циска обещала поставки без криптомодуля).
3. перезалив advsecurity->base возвращает криптографию?

serguei00
1. "старые" ISRы (18хх, 28хх) требуют лицензии при заливке 15-го IOS-a?
ставите 15-шку пользуетесь.
2. "старые" ISRы из последних поставок физически имеют криптующий ASIC? (слышал, что Циска обещала поставки без криптомодуля).
а это что такое?
если заказываете тот же pn, то ничего не меняется

ESX091

Цитата:

ставите 15-шку пользуетесь

правильно я понял, что у вас есть положительный опыт использования advsecurity имиджей на недавно купленных цисках? - просто слышал, что могут быть подставы (какие - х.з.)

Недавно расширили маску сети с 255.255.255.0 на 255.255.248.0 Теперь сети 192.168.0.0-192.168.7.255 находятся в одном Vlan. Проблема в том, что сеть 192.168.4.0 находится в Vlan4 и доступ к этим объектам есть только из сети 192.168.2.0. Посмотрел на маршрутизаторе cisco3750 show ip route. Там прописаны маршруты:
C 192.168.4.0/24 is directly connected, Vlan4
C 192.168.2.0/24 is directly connected, Vlan1
S* 0.0.0.0/0 [1/0] via 192.168.2.229
Как лучше сделать доступ в сеть 192.168.4.0 из сети 192.168.3.0? Добавить маршрут C 192.168.3.0/24 is directly connected, Vlan1 или удалить все эти записи? Как изменить 192.168.2.229 на другой, например на 192.168.2.2

serguei00
правильно.
если вам его продали - подстав не будет

Цитата:

serguei00
правильно.
если вам его продали - подстав не будет

Как то расплывчато отвечаете. Подитожим:

15й IOS никаких ключей на семействе 18хх/28xx/38xx не просит, так?

Цитата:

15й IOS никаких ключей на семействе 18хх/28xx/38xx не просит, так?

Лицензии требуются на новых линеейках, например 29хх, там где присутствует universal.
Кстати, кто-нудь знает, как advsecurity-npe превратить в полноценный advsecurity?
Скажу сразу, что замена ios на universalk9-mz.150-1.M3 не дает должного эффекта необходимо по видимому сделать, что то еще?

AndreySergeevich

Цитата:

15й IOS никаких ключей на семействе 18хх/28xx/38xx не просит, так?

так!

ginger

Цитата:

Кстати, кто-нудь знает, как advsecurity-npe превратить в полноценный advsecurity?

если не рассматривать вариант покупки соответствующей лицензии, то вопрос пока открытый. Жду новых кошек, чтобы разобраться.

Цитата:

если не рассматривать вариант покупки соответствующей лицензии, то вопрос пока открытый. Жду новых кошек, чтобы разобраться.

Мои коллеги, умеют как то это делать без покупки лицензии, единственное, что они сообщили, так это использование того ios, что я показала и действительно на желазках арендованных нами, используется данный ios, но этого мало, необходимо по видимому выполнить еще какие то действие, чтобы убрать приставку npe (no payload encryption), из-за которой невозможно использовать IPSec-шифрование, а так же SSH.

Народ, подскажите, плз, существует ли команда, которая показывает в каких транковых портах "живет" определенный vlan.
sh vl показывает только аксесные...

Gadukin
show interface trunk

JekaRus

Спасибо, но это не то. Эта команда показывает какие vlan передаются в транковом порту. А мне нужно, чтобы циска показала в каких портах присутствует определенный vlan.

что-то типа:

vlan 6 Gi0/1, Gi0/7, Gi0/22 и т.д.

Gadukin
В транковом порту передаются все вланы. Поэтому после команды show vlan можешь к результату добавить транковые порты. Т.е. vlan 6 Gi0/1, Gi0/7, Gi0/22 + все транковые порты из show interface trunk Отдельной команды нет.

JekaRus


Цитата:

vlan 6 Gi0/1, Gi0/7, Gi0/22 + все транковые порты

Да мне и не нужно этого! Может я как-то невнятно изложил суть своего вопроса...
Есть у меня циска с 48 транковыми портами. В каждом из них прописаны десятки вланов. Мне нужно узнать по каким портам ходит трафик, к примеру vlan 100.
Можно, конечно, по sh ru посмотреть конфиг всех портов и найти те из них, где этот влан есть... Но когда это нужно сделать для нескольких десятков вланов, работенка та еще! Вот я и подумал, может есть какая-нибудь команда, которая мне покажет то, что требуется

ginger
значит все таки проблема решается только перезаливкой софта на нормальный.
это гуд! спасибо!

Gadukin

Код: show vlan id 100

roma
Ага! Вот це почти оно Спасибо!
Вот только бы еще сразу по всем вланам получить такую инфу...