» Настройка Cisco оборудования

pojar
читайте первоисточники=)

если создаете сервер
r3ca(config)#crypto pki server r3ca
то, насколько я помню, одноименный трастпоинт создается автоматически
crypto pki trustpoint r3ca
и прописывать в нем ничего не надо.
Уберите это:
r3ca(ca-trustpoint)# enrollment url http://r3ca:80
и вот это тоже
revocation-check crl

Привет всем, есть проблема необходимо настроить сеть в удаленных филиалах 20++.
1. в центре есть CM, к нему необходимо подключить все филиалы
2. в филиалах необходимо, минимум по 4 FXS порта для телефонии
3. Районы будут подключатся по IPSec в центр

теперь вопросы
1. что надо поставить в центре из выше изложеого (2821 считаю пока оптимальным выбором), изходя из тоого что сейчас канал 10мбит/с, в будущем возможно увелечение до 100 мбит/с?
2. что надо поставить в филиалах?
3. какие лицензии надо покупать на железку в районы, ведь они получаются как шлюз и CCM на них не нужен, а железки с ним стоят в разы дороже....

в dmvpn (MGRE) можно использовать внешний статический IP, а не динамический? смотрю конфиги везде описывается динамика и конфиги с протоколом Next Hop Resolution Protocol (NHRP) с помощью которого цыски будут узнавать свои адреса. Но если использовать статику, конфиг нужно менять или можно оставить все также с NHRP?

Я просто не могу понять, в примерах описывают внешние интерфейсы подсетями например (192.168.1.0 /24 192.168.2.0 /24) в реалии же, что прописывать на внешку если адрес получается динамически, подсеть провайдера из которой выделяется адрес, или так и оставлять (192.168.1.0 /24), а NHRP сам определит?

endigro
Филиалы: 2801 с двумя WIC-2FXS + не забудьте PVDM (4 аналоговых аппарата - достаточно PVDM2-8) + софт IPVOICE либо SP Services, он и определяет лицензию. Лучше поискать уже готовый войсовый бандл с похожими характеристиками (типа CISCO2801-V/K9) и докупить в него FXS-карты, выйдет дешевле.
В центр рекомендую не ниже 38 серии, Вам же придется терминировать IPSec-соединения на регионы.

pojar
Конечно можно и статику. NHRP в любом случае - необходимая часть DMVPN.
Кстати, крайне рекомендую рассмотреть замену DMVPN на GETVPN. Технология сравнительно новая, но уже обкатана и отзывы только положительные.

Сравнение с GETVPN:
Product Number EzVPN DMVPN GET VPN

Цитата:

крайне рекомендую рассмотреть замену DMVPN на GETVPN

а разве GETVPN будет работать через открытый интернет, она же туннелированием не занимается, вот поверх MPLS другое дело.

Valery12
Всё верно, про бревно-то и забыл ;) Совсем на работе зациклился - наличие подключения по MPLS уже автоматически подразумеваю...

slut

Цитата:

Кстати, крайне рекомендую рассмотреть замену DMVPN на GETVPN. Технология сравнительно новая, но уже обкатана и отзывы только положительные.

Спасибо за инфо, но мне вот какразтаки работать с открытым интернетом и в продолжение к моему предыдущему вопросу.

Конфига на Хаб-маршрутизаторе, где на WAN интерфейсе прописан адрес 192.168.1.1 255.255.255.0 и роутинг на другие сети идет на 192.168.1.2 - это что-за адрес, 192.168.1.2 нигде не прописан, если это шлюз, то разве шлюзом не должен выступать минимальный хост в сети?

!
interface Tunnel0
ip address 10.10.10.1 255.255.255.0
no ip redirects
ip mtu 1416
no ip next-hop-self eigrp 1
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
no ip split-horizon eigrp 1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
tunnel source FastEthernet1/0
tunnel mode gre multipoint
tunnel key 999
tunnel protection ipsec profile DMVPN
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.255 area 1
network 10.10.10.0 0.0.0.255 area 0
!
ip forward-protocol nd
ip route 192.168.3.0 255.255.255.0 192.168.1.2
ip route 192.168.5.0 255.255.255.0 192.168.1.2




И теперь конфига Spoke маршрутизатора. В качестве WAN адреса 192.168.3.3 255.255.255.0 а в статической маршрутизации прописан 192.168.3.2 опять таки почему не 3.1.
И вопрос по туннелю тут адрес hub routera ip nhrp map 10.10.10.1 192.168.1.1 и мультикаст запрос ip nhrp map multicast 192.168.1.1

Если использовать реальные адреса скажем для хаб-роутера это 123.456.789.2 255.255.255.252
то в роутинге я пропишу роутить на 123.456.789.1
а на споке это будет выглядеть как ip nhrp map 10.10.10.1 123.456.789.2 ip nhrp map multicast 123.456.789.2

Я запутался, немножко, с простым ГРЕ понятней было Надеюсь понятно выразился, в общем вопрос про статику, если испозуется блок из 4 IP скажем.

interface Tunnel0
ip address 10.10.10.3 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.1 192.168.1.1
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 999
ip nhrp nhs 10.10.10.1
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 999
tunnel protection ipsec profile DMVPN
!
interface FastEthernet0/0
ip address 192.168.3.3 255.255.255.0
duplex full
!
interface FastEthernet1/0
ip address 10.1.3.3 255.255.255.0
duplex full
!
router ospf 1
log-adjacency-changes
network 10.1.3.0 0.0.0.255 area 3
network 10.10.10.0 0.0.0.255 area 0
!
ip route 192.168.1.0 255.255.255.0 192.168.3.2
ip route 192.168.5.0 255.255.255.0 192.168.3.2

pojar

Цитата:

192.168.1.2 - это что-за адрес

Цитата:

прописан 192.168.3.2

Всё правильно. Это адреса интерфесов провайдерских железяк, обслуживающих ваши подключения.
Использовать белые адреса не имеет никакого смысла.

Нашел другой конфиг на примере подсетей с /30 префиксом, стало понятней, что с таблице стат маршрутизации роутится на ван интерфейс, а в споук конфиге мультикаст идет на шлюз хаб роутера


ХАБ
interface Tunnel0
ip address 172.16.0.129 255.255.255.192
tunnel source Serial1/0 (192,168,0,16 /30)
tunnel mode gre multipoint
tunnel key 1
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf network broadcast
ip ospf priority 10

router ospf 10
router-id 1.1.0.1

network 10.0.1.0 0.0.0.255 area 10
network 172.16.0.128 0.0.0.63 area 0

ip route 0.0.0.0 0.0.0.0 192.168.0.18
ip route 172.16.0.0 255.255.255.192 Serial1/0



СПОУК

interface Tunnel0
ip address 172.16.0.130 255.255.255.192
tunnel source Serial1/0 (192,168,0,12 /30)
tunnel mode gre multipoint
tunnel key 1
ip ospf network broadcast
ip ospf priority 0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.0.17
ip nhrp map 172.16.0.129 192.168.0.17
ip nhrp network-id 1
ip nhrp nhs 172.16.0.129

router ospf 10
router-id 1.1.1.1

network 10.0.2.0 0.0.0.255 area 11
network 172.16.0.128 0.0.0.63 area 0

ip route 0.0.0.0 0.0.0.0 192.168.0.14
ip route 192.168.0.17 255.255.255.255 Serial1/0

Добавлено:

Цитата:

Это адреса интерфесов провайдерских железяк, обслуживающих ваши подключения.
Использовать белые адреса не имеет никакого смысла.

Все понял, сам ADSL модем скажем раздает эти локальные адреса.

Добавлено:
Есть ли какието палки при создании МГРЕ тунеля, здесь также используется PPTP?

Кто нибудь знает как настроить QoS на Catalyst 3660? вернеее какие очереди нужно создать на интерфейсах, чтобы все заработало??

Добр день. Помогите осознать )

Есть удаленный филиал (сеть 192.168.5.0/24)
Есть центральный филиал (сеть 192.168.3.0/24)
Есть еще множество филиалов где проблем нет )

Между филиалами канал от провайдера, L2, 2 мб

В удаленном филиале стоит 1811
На интерфейсе смотрящем в канал назначен ip 192.168.109.3
Внутренний интерфейс смотрит в сеть 192.168.5.0/24

В центральном филиале стоит еще одна 1811
На интерфейсе смотрящем в канал назначен ip 192.168.109.10
Внутренний интерфейс смотрит в сеть 192.168.3.0/24

Сделан простой роутинг без тоннелей и nat

В центральном филиале стоит сервер-коллектор (rhel5) - 192.168.3.22
В удаленном филиале стоит сервер (rhel4) - 192.168.5.23
Сервера общаются между собой по uucp - 540 порт
uucp поверх tcp - потоковый траффик и якобы tcp должен гарантировать надежность доставки


Внезапно перестал работать обмен траффиком по uucp
Дебажу продцедуру обмена - сервер залогинился, договорились о передаче, начинает посылать данные.
И вот во время передачи данных (200-300 байт) начинаются проблемы
Ловлю tcpdump ошибки - bad tcp cksum
При этом размер отправляемого пакета - 259 байт (mtu делал и 1400 и 200 - но мертвому припарки, ибо пакет идет с флагом DF - не дефрагментировать)
Отправляет, оправляет - фейл-фейл. Фиксируется неудачная передача, сервера прощаются (пакеты по 40 - 52 байта проходят) и все.
Выделил для траффика по 540 порту полосу 500кб - не повлияло.

Пакеты битые получаются (


При этом другие удаленные филиалы (подключенные в том числе и по такой же схеме) продолжают работать.
Ловил траффик их обмена, нормально договариваются о размере окна и траффик бегает.


На цисках sh ip traffic не показывает что были дефрагментированные пакеты.
По немногу растет счетчик Drop: 6797 encapsulation failed (к чему бы это?) но его показания не меняются после попытки обмена по uucp

Куда смотреть?

отснифить трафик. очень полезная, но затратная по времени вещь)
сначала обмен между нормальными узлами
потом обмен с проблемным узлом.
причем во втором случае посмотреть трафик с обоих сторон, чтобы убедиться, что оператор связи здесь ни при чем.

не могут общаться сервера линукс-линукс.
win-win - общаются нормально
win-linux - нормально
linux-linux беда

пошел снова невод раскидывать )


пакеты туда сюда бегают. в целостности и сохранности. но.

присутствуют TCP Previous segment lost, TCP Dup ACK, TCP Retransmission.
что может быть причиной?


ЗЫ
Я победю )
канал оказался слегка ассиметричным, туда 1.6 мб обратно 2

на моей стороне (я принимаю) выполнить на linux машине
echo 0 > /proc/sys/net/ipv4/tcp_sack = profit! )

ситуация с разбеганиями ACK один в один с тынц

ЕСТЬ ПРОБЛЕМКА !!!
У меня на одном филиале с периодичностью в 1,5 суток падают оба провайдера, как следствие падают туннели - лечиться перезагрузкой!!! В логах много записей типа:

Dec 15 07:05:45 172.16.1.1 956: %TRACKING-5-STATE: 101 ip sla 101 reachability Up->Down
Dec 15 07:05:59 172.16.1.1 957: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel500203, changed state to up
Dec 15 07:06:07 172.16.1.1 958: %OSPF-5-ADJCHG: Process 51, Nbr 255.255.255.255 on Tunnel500101 from EXSTART to DOWN, Neighbor Down: Interface down or detached
Dec 15 07:06:15 172.16.1.1 961: %TRACKING-5-STATE: 101 ip sla 101 reachability Down->Up

очевидно что одно следствие другого! ни каких др. записей просто нет! с какого-то момента начинают сыпать такие мэсэджи, связи нет и до самой перезагрузки забивается лог файл!

ДАНО:
cisco 2811 + HWIC-4ESW
IOS c2800nm-advsecurityk9-mz.124-24.T2.bin
провайдеры подключены к HWIC-4ESW дальше VLAN'ами

СДЕЛАНО:
1. изменены тайминги ip sla с дефолтовых на побольше ~ sla принемает решение около минуты
2. полностью сменено оборудование и cisco 2811 и HWIC-4ESW
3. поставлена перезагрузка по крону раз в сутки <- НЕ ВАРИАНТ!!!

ПОДОЗРЕНИЯ:
1. кто то ложит циску из вне! (DoS атаки)
2. не качественная работа одного из провайдеров (постоянное "дребезжание" провайдера => дерганье ip sla => переполнение какого-нибудь буфера => завал интерфейсов)

В общем решил таки освоить Cisco. На работе завалялась как раз свободная модель Catalyst2960. Подключаюсь через консольный порт, но ибо знаний нет, ничего не выходит (хочу для начала чтобы компы друг друга видел сидящие на нем). Нашел вот ПТЫЩЩЩТУТ статью, тоже от чайника коим являюсь на данный момент я, решил проделать следующее:
Далее тебе надо удалить все то, что есть на маршрутизаторе. Все то, что я говорю делается через командную строку:
Router#
Router#erase nvram
Router#wr
Router#reload
Далее требуется согласиться с перезагрузкой.
Я это проделал и, выползла ошибка:

Код: Loading "flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin"...flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin: no such file or directory
Error loading "flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin"
Interrupt within 5 seconds to abort boot process.
Boot process failed...
switch:

Expertoff
google в помощь
или это

да уж погуглил( пока ноль. А cisco.com не доступен, проблемы на линии(

Expertoff
Тебе же дали ссылку в предыдущем посте. Поврежден или отсутствует IOS - c2960-lanbase-mz.122-25.SEE2.bin. Зайди на флешку и проверь его наличие, если его нет - придется перезаливать.

Gorde
а причину срабатывания sla выяснили?

да я понял) мы тут просто вторую неделю боремся с тем что киско.ком не доступен(

Expertoff
Цитата:

flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin: no such file or directory

Скорее всего путь к файлу указан криво. Помести c2960-lanbase-mz.122-25.SEE2.bin в корень флэшки и поправь конфиг.

vlary

Цитата:

Скорее всего путь к файлу указан криво. Помести c2960-lanbase-mz.122-25.SEE2.bin в корень флэшки и поправь конфиг.

А он сейчас где??? Не говорите ерунды.
Expertoff

Цитата:

мы тут просто вторую неделю боремся с тем что киско.ком не доступен(

ИОСа нет для заливки?

нету =(
cisco.com не доступен. Нужен c2960-lanbase-mz.122-25.SEE3.bin

mmt
Цитата:

А он сейчас где??? Не говорите ерунды.

Как я понял из поста Expertoff, путь к файлу flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin, то бишь он не в корне, а в директории flash:c2960-lanbase-mz.122-25.SEE2/
Есть ли она там - другой вопрос.

Код: switch: dir flash:
Directory of flash:/
2 -rwx 1682 <date> config.text
3 -rwx 5 <date> private-config.text
32510464 bytes available (3584 bytes used)

Expertoff Ну, тады все понятно. Файл просто ёк.
Забирай отсюда: c2960-lanbase-mz.122-25.SEE2.bin

vlary
спасибо большое) буду черех хмопед заливать

vlary

Цитата:

Как я понял из поста Expertoff, путь к файлу flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin, то бишь он не в корне, а в директории flash:c2960-lanbase-mz.122-25.SEE2/
Есть ли она там - другой вопрос.

Это не директория.

и так, IOS залить удалось, все запустилось и поднялось. Но если выдернуть шнур и воткнуть его обратно, во время загрузки выходит та же ошибка что и раньше

Код: Loading "flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin"...flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin: no such file or directory
Error loading "flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin"
Interrupt within 5 seconds to abort boot process.

Господа Цисководы, подскажите новичку в каком направлении рыть:
в fa0 воткнул шнурок с инетом, в fa1 локальную сеть 192.168.1.1, подцепился vpn-ом к удаленному dhcp-серверу с адресом 192.168.0.2 - получил адрес 192.168.0.7 на dialer1.
вопрос: каким образом повесить порты свича Fa2-Fa9 в подсеть 192.168.0.0 чтобы устройства подключенные в этот свич получили адреса от dhcp-сервера 192.168.0.2

конфиг приаттачил:


version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname shaxter
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$sk/S$V78bqb/QLdooPp.PZUuVE0
!
no aaa new-model
!
resource policy
!
clock timezone MSK/MSD 3
!
ip cef
!
!
ip name-server zz.zz.zz.zz
ip name-server zz.zz.zz.zz
ip multicast-routing
!
!
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 1
initiate-to ip xx.yy.zz.xx
!
!
!
!
!
!
interface FastEthernet0
ip address xz.xz.xz.xz 255.255.255.0
ip pim dense-mode
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
ip address 192.168.1.1 255.255.255.0
ip pim dense-mode
ip nat inside
ip virtual-reassembly
ip igmp helper-address xx.xx.xx.x
duplex auto
speed auto
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5

interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
no ip address
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
ip address negotiated
ip pim dense-mode
ip virtual-reassembly
encapsulation ppp
ip igmp query-interval 125
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp authentication chap ms-chap ms-chap-v2 pap callin
ppp eap refuse
ppp chap hostname vpnuser
ppp chap password 0 vpnpassword
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.x
ip route 192.168.0.0 255.255.0.0 Dialer1
dialer-list 1 protocol ip permit
!
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface FastEthernet0 overload
!
access-list 10 permit 192.168.1.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
no login
!
ntp clock-period 17180438
ntp server 192.43.244.18
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end