» Настройка Cisco оборудования

JonJonson
вешать циску на консоль нет ни какого смысла, к тому же консоль подключена к виндовому серваку, только вот НЕТУ связи с тем серваком когда провы упали!!! Циска в ДР. ГОРОДЕ!!!
По поводу модуля: никакого не стандартного использования этого модуля не происходит (работает он естественно в режиме свичинга и привязан в вланам - от него больше и не требуется). по поводу глючности КОНКРЕТНО ЭТОГО модуля я уже писал, что отправляли полностью такуюже циску с точно таким же модулем!!!
alespopov

Цитата:

ip route 192.168.xxx.xxx 255.255.255.252 FastEthernet0/0.1 192.168.yyy.yyy name CO_IPVPN_link

не понял такого НАСИЛЬСТВЕННОГО маршрутизирования!!!

ИМХО спанинг-три тут просто не может быть виновен:
1. почему тогда всетаки работает 1,5 суток
2. плащадки у провов разные и точно не соеденены
3. забив на первые два пункта получается что провы все таки где то соединены (пусть пиры будут) время схождения spanning-tree 1,5 суток и spanning-tree ложит не один а два инта!!!
Хотя добавил на всякий случай


Может подскажете что и как помониторить (проц там, память, инты), но тока чтоб писалось в лог что-то типа: Int error: to much tranfer packets error - buffer full

чтоб после перезагрузки циски мона было залезть на удаленный сислог и почитать?

З.Ы. только не просто "проц мониторить так то", а именно исходя из вашего мнения что может быть применимо именно к конкретной проблеме!!!

Цитата:

no spanning-tree vlan 101
no spanning-tree vlan 102

Кстати да. Вполне могут проскакивать пакеты от провайдеров.

Gorde, о консоли я написал только для того, что бы вы смогли понять, что киса не висит. В любом случае удалённо можно инструкцию дать, что бы проверили догатку.

Понятно что модуль в режиме коммутации. Он на то и рассчитан. А вот на провайдеров вам нужны скорее всего два независимых интерфейса. Кстати, вы можете произвести эксперимент. Настроить встроенный эзернет на одного из провайдеров и один из портов модуля на другого провайдера. И ощутить разницу.

У меня провайдеры "висят" не на модуле а на коммутаторе,
в настройке портов я указываю

no vtp
no cdp enable
spanning-tree bpdufilter enable
spanning-tree bpduguard enable

особенно важно не пропускать bpdu, такие пакеты прилетающие от прова (ибо не всегда там продвинутые в настройках коммутаторов спецы) или от вас к прову блокируют порт,
возможно они даже не ваши, а проскакивают с одного прова на другого и порты блокируются у них

Gorde

Цитата:

не понял такого НАСИЛЬСТВЕННОГО маршрутизирования!!!

Вот почему:

Цитата:

"Причина этого поведения в том, что статические маршруты являются рекурсивными по природе."

Читаем вдумчиво Концепция работы статических маршрутов .

Если есть ещё кто живой, помогите!
Поменяли zyxel660r2 на cisco877k9 (advsec). На зухеле были прописаны постоянные маршруты. 877, как мне кажется, настроил

Код: version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
clock timezone EET 2
clock summer-time EET recurring last Sun Mar 3:00 last Sun Oct 4:00
!
crypto pki trustpoint TP-self-signed-234362756
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-234362756
revocation-check none
rsakeypair TP-self-signed-234362756
!
!
crypto pki certificate chain TP-self-signed-234362756
certificate self-signed 01
3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32333433 36323735 36301E17 0D313130 31303631 30353531
395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3233 34333632
37353630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
C371FC02 A04E78FA 93E9B4E2 27BFD95D 167D3CBB 31621C4A 0F1B7D1C CDBF8A65
B3098481 88C6831C C78646F1 1C953768 7214EEE6 EFB39A51 061DCEF7 A1767733
E38E3317 BB4C6FD2 8BA5C7B0 3A414A3A 307260EB BB988B6B 2C094DB0 244FB00E
97E5A847 881B9C2A 2AC4F309 0A129535 908A9C14 D937F24F 69D11F16 9527278B
02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D
11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F
0603551D 23041830 16801483 35E9B40D 212CF2FF 67F075B1 668DA561 B22F3C30
1D060355 1D0E0416 04148335 E9B40D21 2CF2FF67 F075B166 8DA561B2 2F3C300D
06092A86 4886F70D 01010405 00038181 002EF88A 3EB8E24F 692C1F8E 158DCB00
C0496ACD 3706DB01 4BF360E3 4E8C224B 64680E89 C629D719 68F7418E 8A623B63
239A9935 0B05522B DE44888B EE97CF6F 9ECDB469 6FA00E5F 5F73D175 F484F410
9BC7DB2D BCF36675 4B696486 DB06A546 AABE7AB9 CADA5529 DF4EF7FB FDC8919E
3FDEAF6F 6AF7C03B 98058596 52C164C6 A9
    quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name yourdomain.com
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
username cisco privilege 15 secret 5 $1$9/qv$g.W0Q6NrTEIXugvsJhxe11
!
!
archive
log config
hidekeys
!
!
!
bridge irb
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description ADSL to ByFly camon
pvc 0/33
encapsulation aal5snap
pppoe max-sessions 2
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly
peer default ip address pool VPNPOOL
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2 chap
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.221 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer0
description ByFly main
mtu 1492
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip nat enable
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname ****
ppp chap password 7 ****
ppp pap sent-username **** password 7 ****
ppp ipcp dns request
!
ip local pool VPNPOOL 192.168.1.251 192.168.1.253
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 192.168.1.1
ip route 192.168.3.0 255.255.255.0 192.168.1.1
ip route 192.168.4.0 255.255.255.0 192.168.1.1
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
bridge 1 protocol ieee
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
exec-timeout 30 0
privilege level 15
logging synchronous
login local
transport input ssh
transport output ssh
!
scheduler max-task-time 5000
ntp clock-period 17183731
ntp server 86.57.151.3 key 0 prefer
end

Цитата:

Интернет появился, однако, не работают удалённые банковские терминалы, указанные в маршрутах

я так понимаю эти терминалы в сетях 2.0 3.0 и 4.0
а в конфиге

ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit 192.168.1.0 0.0.0.255

значит "натятся" только адреса 1.0

и еще

interface Dialer0
ip nat outside
ip nat enable

определись какой НАТ нужен

2 Valery12:
"определись какой НАТ нужен"
Вообще-то это я "слизал" с чужой рабочей настройки...
Но рассуждал примерно так:
ip nat enable - разрешает НАТ как таковой
ip nat outside - разрешает трансляцию извне
Разъясните тёмному что не так.

"я так понимаю эти терминалы в сетях 2.0 3.0 и 4.0" - да, всё верно
access-list 1 permit 192.168.0.0 0.0.255.255
Так верно?

Но, как мне кажется, Ваши замечания не помогут мне ответить на вопрос - почему не работает банк-клиент?
Который использует ТСР и порт 9971

Цитата:

ip nat enable - разрешает НАТ как таковой
ip nat outside - разрешает трансляцию извне
Разъясните тёмному что не так.

ip nat outside или inside это классический NAT где мы однозначно указываем какой интерфейс внешний а какой внутренний
а вот ip nat enable это новая технология, называется NAT NVI, вместо outside или inside на всех нужных интерфейсах указываем ip nat enable и в зависимисти от ACL для отдельного пакета может быть или прямая или обратная трансляция.

Valery12

Цитата:

называется NAT NVI

чё-то я вот долго читал и так и не понял. оно только с VRF-ками работает или с нормальными интерфейсами тоже?

Цитата:

или с нормальными интерфейсами тоже?

да и с нормальными тоже, главное чтобы ИОС поддерживал.

Valery12

Цитата:

"я так понимаю эти терминалы в сетях 2.0 3.0 и 4.0" - да, всё верно
access-list 1 permit 192.168.0.0 0.0.255.255
Так верно?

Если Вас не затруднит, откликнитесь на мои исправления.

Luckas
да верно, а "ip nat enable" убрать
по поводу банк-клиент, который использует ТСР и порт 9971, если он в сети 1.0 и не работает стоит уточнить - действительно достаточно ТСР порт 9971, понятие банк-клиент слишком общее, некоторые используют очень экзотические протоколы типа IP 250

и еще, я не знаю что за устройство 192.168.1.1 но дефолтным шлюзом у него должен быть 192.168.1.221

Цитата:

Valery12

Спасибо Вам за поминание!
.1.1 адсл м-м для впн-провайдера к терминалам

Цитата:

"ip nat enable"

- уберу!

Цитата:

он в сети 1.0

- да в этой сети и в прежней конфигурации он работает безо всяких доп. условий, но я, обязательно, уточню у банка.

PS подскажите, следует ли менять прошивку на c870-advipservicesk9-mz.124-15.T1.bin, хотя бы из соображения получения впн л2пт, но размер флэш 24мб

Забыл отписаться, конфиг полностью рабочий, проблемка была в следующем "Все гениальное просто" нужно было поднять интерфейс, не просто no shutdown, а подключить к сети. самому смешно.



Цитата:

всем привет, помогите разобраться с CA сервером на цыске, ниже конфига, которую откопал в нете, ее и вбивал.

Проблема в следующем, роутер, где поднят СА не может получить сам себе сертификат. второе, не понял как настроить СА

для работы в режиме RA, может в этом и есть решение проблемы с получение сертификата самому себе. оригинал по сылке

http://xgu.ru/wiki/Центр_сертификатов_на_маршрутизаторе_Cisco

1) Поднял NTP сервер для синхронизации кисок, дату, время, часовой пояс. Номер страты указал 1, я понял что это

приоритет.
r3ca#clock set
NTP сервер.
r3ca(config)#ntp master <номер страты>

2) Задал имя маршрутизатора и имя домена:
r3ca(config)#hostname r3ca
r3ca(config)#ip domain name cisco.com

3) Включил http сервер для протокола SCEP
r3ca(config)#ip http server

4) Далее перед созданием пары ключей, зашел на сервер СА и подправил опции
В качестве базового места для хранения данных СА-сервера указал flash
r3ca(cs-server)#database url flash:
Установил тип данных в базе данных выдачи сертификатов:
r3ca(cs-server)#database level minimum
Задал параметр для идентификации сервера в сети:
r3ca(cs-server)#issuer-name CN=r3ca
Задал время обновления списка отозванных сертификатов по максимуму
r3ca(cs-server)# lifetime crl
r3ca(cs-server)# lifetime certificate
r3ca(cs-server)# lifetime ca-certificate
r3ca(cs-server)# grant ra-auto кажется, тоесть для авторизованых обновление сертификата без запроса администратора.

Настроил trustpoint
r3ca(config)#crypto pki trustpoint r3ca
r3ca(ca-trustpoint)# enrollment url http://r3ca:80
r3ca(ca-trustpoint)# revocation-check crl

5) Создание пары RSA ключей
r3ca(config)#crypto key generate rsa general-keys label r3ca exportable
r3ca(config)#crypto key export rsa r3ca pem url flash: 3des cisco123

Включаю сервер
r3ca(config)#crypto pki server r3ca
r3ca(cs-server)#no shut

команды ниже показывают что все нормально, ключи есть, сервер работает
r3ca#show crypto pki server
r3ca#show crypto pki trustpoints



Теперь Настройка маршрутизатора, на котором находится CA, для получения сертификата

Создаем статическую запись хост-ip address:
r3ca(config)# ip host r3ca 192.168.2.1

Для того чтобы сервер мог получить сертификат необходимо создать на нем еще одну trustpoint, так как trustpoint

созданная автоматически при создании CA-сервера не может использоваться для выдачи сертификата сервером самому себе:
r3ca(config)# crypto pki trustpoint TEST
r3ca(ca-trustpoint)#enrollment url http://r3ca:80

Получить сертификат CA-сервера:
r3ca(config)# crypto pki authenticate TEST

и тут ошибка: % Error in receiving Certificate Authority certificate: status = FAIL, cert length = 0

На сервере не видно запроса crypto pki server r3ca info requests

и мне не понятно
Настройка CA на маршрутизаторе для работы в режиме RA

Если сервер сертификатов Cisco IOS на маршрутизаторе работает в режиме RA, то CA выдающий сертификаты должен быть

сервером сертификатов Cisco IOS.

crypto pki server RArouter
mode ra
!
crypto pki trustpoint RArouter
enrollment mode ra
enrollment url http://iosca
subject-name cn=RArouter
revocation-check crl
rsakeypair RArouter

Добавлено:
Кто нибудь обьясните, что такое RA режим, для чего он нужен на CA сервере.

pojar
Цитата:

Кто нибудь обьясните, что такое RA режим, для чего он нужен на CA сервере.

Цитата:

Registration Authority (RA)
Some CAs extend their reliability and availability by supporting registration authority (RA) as part of their implementation. An RA is a server that acts as a proxy for the CA, so CA functions can continue when the CA is offline or otherwise unavailable.

Надеюсь, понятно без перевода

Цитата:

interface FastEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$$ETH-LAN$
ip address xxx.xxx.xxx.xxx 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly

Цитата:

interface FastEthernet0/1
description $ETH-WAN$
ip address yyy.yyyy.yyy.yyy 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled

Делаю ip nat inside source static tcp xxx.xxx.xxx.111 21 yyy.yyyy.yyy.yyy 21
acl создать надо... или что не так делаю(( Неделю уже бъюсь... сделал PAT сети xxx.xxx.xxx.xxx в интернет, а обратно пару портов прокинуть не получается


Сейчас получилось подключится к прокинутому порту, но только на машину которая через сиску инет берет, убираю с шлюза сиску. Сразу коннект срывается... На другие хосты порты не кидает. Ничего не понимаю

Цитата:

Сейчас получилось подключится к прокинутому порту, но только на машину которая через сиску инет берет, убираю с шлюза сиску. Сразу коннект срывается... На другие хосты порты не кидает. Ничего не понимаю

а на другие какие? которые в интернет не могут трафик отправить? а как они ответный трафик то направят куда надо?

Вобщем у меня в сети есть узел A и B

делаю маппинг порта ip nat inside source static tcp xxx.xxx.xxx.A 21 yyy.yyyy.yyy.yyy 21
и на второй комп ip nat inside source static tcp xxx.xxx.xxx.B 110 yyy.yyyy.yyy.yyy 110

ниче не работает

ставлю шлюзом на машине A сиску тыкаю с домашнего компа телнет, работает... со второго инета телнетом свечу в 21 работает. в это же время 110 не принимает.

переставляю шлюз, пакеты из дома и со второго инета перестают ходить...

show ip nat translations показывает одинаковую информацию на два подключения(с разными портами естессно)

Цитата:

ставлю шлюзом на машине A сиску  тыкаю с домашнего компа телнет, работает... со второго инета телнетом свечу в 21 работает. в это же время 110 не принимает.

а на В кто шлюз?


Цитата:

переставляю шлюз, пакеты из дома и со второго инета перестают ходить...

всмысле шлюзом делаете что-то другое?

рассмотрим пример более детально.

пусть идёт запрос с 8.8.8.8:888 на yyy.yyyy.yyy.yyy:21 после прохождения этой циски это будет запрос с 8.8.8.8:888 на xxx.xxx.xxx.A:21 получив такой запрос xxx.xxx.xxx.A захочет ответить на 8.8.8.8 куда он должен послать ответ? если шлюзом указана эта циска то всё будет в порядке - через таблицу ната ответ xxx.xxx.xxx.A:21 на 8.8.8.8:888 превратится в yyy.yyyy.yyy.yyy:21 на 8.8.8.8:888
если же у вас есть другой шлюз то ничё работать не будет, поскольку 8.8.8.8:888 ожидает ответ с yyy.yyyy.yyy.yyy:21 а не айпишника какого-то другого шлюза.

Спасибо все понял ) Уже неделю бьюсь не могу понять теперь въезжаю наконец))
Первая сиска моя, на обычных роутерах таких проблем не встречалось!

Доброго времени суток. Никто не поднимал Easy VPN с центром сертификации. Настроил по руководству http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800948e3.shtml

Но работоспособность пока проверить не могу, столкнулся с проблемой. Cisco VPN client'y не удается запросить сертификат. ниже логи. Сам CA server работает, поднята DMVPN+IPsec+Cisco СА.

Как я понял проблемка в привелигированном режиме, на цыске есть один user с привилегиями 15,

аутентификация

aaa authentication login default local
aaa authentication login ClientAuth local
aaa authorization console
aaa authorization exec default local
aaa authorization network ClientAuth local

1 23:52:25.110 01/20/11 Sev=Warning/3 CERT/0xxxxxxxx
HTTP error.

2 23:52:25.111 01/20/11 Sev=Warning/2 CERT/0xxxxxxxx
Online certificate server returned the following HTTP error: HTTP error:
HTTP/1.1 401 Unauthorized
Date: Thu, 20 Jan 2011 18:04:41 GMT
Server: cisco-IOS
Accept-Ranges: none
WWW-Authenticate: Basic realm="level_15_access"


3 23:52:25.111 01/20/11 Sev=Warning/2 CERT/0xxxxxxxx
Could not retrieve CA certificate to begin enrollment.

Интересно вас почитать! Cisco есть, все есть. возьми элементарный Packet Tracer 5.3 да понфигурь - там и разберешься...

Друзья, прошу вашей помощи.
Ситуация следующая:
Не пингуется внешний мир с локалки. Сервак(XenServer) шлюз пингует, сам себя пингует, другой сервак(XenServer) пингует, а внешний мир не хочет. Еще не получается запинговать ни с кошки ни с XenServer'а мой сервак со старой виндой 2003 на которой стоит домен, днс. Ну и фиг собственно с ним, наверно что-то от предыдущих настроек осталось. Я все равно буду переустанавливать винду. Наверно после переустановки и он начнется пинговать.
Из дома прекрасно делаю впн и цепляюсь консолью(XenCenter) к сервкам(XenServer). Да и без впн, по внешнему ip нормально цепляюсь благодаря пробросу портов.
Я уже конфиг весь наизусть выучил ))), перепроверил все настройки, ну все вроде правильно.
На всякий случай перед отправкой поста, еше раз посмотрел конфиг, ну хоть об стену головой, не могу сообразить в чем дело. ((


Цитата:

Конфиг удалил в связи с решением проблемы

Ugend88
wireshark запускали на внешнем интерфейсе?
с самого маршрутизатора пинги уходят?
show ip nat trans что показывает?

Цитата:

access-list 100

может стоит использовать простой аксес-лист? всмысле стандартный.

ESX091 Строго говоря, акцесс-лист должен быть такой:
access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

vlary
=) и каким же образом это влияет на пинги?))

ESX091
Цитата:

=) и каким же образом это влияет на пинги?))

Да это так, для чистоты жанра. А по сути проблемы, либо человек чего-то недописал из реального конфига, типа акцесс-листов для фильтров, либо пинги бреются на следующем хопе, который route 0.0.0.0 0.0.0.0 x.x.x.x . В данной конфигурации все должно работать.
А вообще не понятно, работает ли у него все остальное, кроме пингов. Да и интерес к теме, он похоже, потерял.

Не не не, не потерял )) только приехал с работы.
Ща соберусь с мыслей и отпишусь )

Собственно отписываюсь.
Сразу оговорюсь, что в настройке кошки я не силен, так сказать только учусь.

to ESX091

Цитата:

wireshark запускали на внешнем интерфейсе?

Не запускал, можно ли это провернуть находясь дома?

Цитата:

с самого маршрутизатора пинги уходят?

С самой кошки все замечательно пингуется, и локалка и внешний мир.

to vlary

Цитата:

А по сути проблемы, либо человек чего-то недописал из реального конфига, типа акцесс-листов для фильтров, либо пинги бреются на следующем хопе, который route 0.0.0.0 0.0.0.0 x.x.x.x .

Все, что выдала кошка, все выложил. Честное пионерское )))

Цитата:

А вообще не понятно, работает ли у него все остальное, кроме пингов.

Все остальное, что? У меня пока два сервака с XenServer на которых еще ничего не установленно, кошка и свич. )
VPN работает нормально, проброс портов пашет.

Ugend88
запускаете пинг с любого внутреннего узла, например на 8.8.8.8
пока идет пинг
1. смотрите на кошке и показываете здесь
show ip nat translations icmp
2. сможете ли поснифить трафик который уходит в сторону провайдера от cisco?