» Настройка Cisco оборудования

AMuHb

Цитата:

Кто как борется с пропажей ntp в новых иосах 857 циски?

В вашем случае наверное доступна команда sntp.

Цитата:

Кто как борется с пропажей ntp в новых иосах 857 циски?

В вашем случае наверное доступна команда sntp.

а разве в старых была? я всегда на 800 серии использовал sntp

да была раньше поддержка, а вот за наводку про sntp благодарствую работает великолепно.

Нужна консультация знающих людей. Проблема с передачей GRE и/или фрагментацией пакетов.
Интернет-подключение подается по локалке (через цепочку коммутаторов 3750 - 3750 - 2940 - 2940).
Клиент использует стандартный инструментарий WinXP для поднятия VPN-подключения (PPTP), но получает ошибку 721. « You receive an "Error 721" error message when you try to establish a VPN connection. This issue may occur if the network firewall does not permit Generic Routing Encapsulation (GRE) protocol traffic. GRE is IP Protocol 47. PPTP uses GRE for tunneled data.»

С интернетом проблем нет, прямое подключение клиента к оборудованию провайдера также ошибок не вызывает, поэтому однозначно что-то в Cisc'ах.
Просьба сориентировать в нужном направлении, куда копать.

lexapass
на L3 коммутаторах могут быть ACL. Посмотрите их. IP протокол 47 должен быть открытым. А в ACL наверное TCP, UDP фигурирует.

Здравствуйте. возникла проблема:
имеется cisco 2621
залил новый образ ios на нее из rommon'a по tftp и изменил confreg в беспамятстве на 0x1202 после чего перезагрузил.
теперь маршрутеризатор отказывается загружаться вообще и реагирует на break только добавлением "----" уже к существующим как на картинке
http://img862.imageshack.us/img862/8080/74133574.jpg
Люди добрые,помогите побороть циску!

Добавлено:
*fixed* создам лучше тему,сорри за флуд

m0tif
Да просто вы выставили скорость консольного порта в 1200 baud rate. Соответственно и соединяйтесь терминалом на этой скорости и будет вам счастье.

вопрос отпал

Подскажите, пожалуйста, как для Cisco 871 настроить удаленный доступ для управления по SSH. Само SSH у меня настроено и работает, но подключиться я могу только изнутри (из LAN). Я пробовал добавить в список ACL внешние адреса, с которых хочу управлять удаленно, но толку никакого.
Если кто ткнет меня в мануал, где это хорошо расписано, буду очень благодарен. А то у меня есть неплохая книжка по ASA - но часть команд не работает, смотрю команды IOS - там тоже есть различия. Вконец запутался в обилии доков и не могу понять, какой из них надо пользоваться.

Цитата:

Само SSH у меня настроено и работает, но подключиться я могу только изнутри (из LAN). Я пробовал добавить в список ACL внешние адреса, с которых хочу управлять удаленно, но толку никакого.

значит этот ACL привязан к внутреннему интерфейсу

Имхо, лучше вешать acl непосредственно на line vty, что-то типа:
ip access-list standard VTY-ACCESS-IN
permit 172.16.0.0 0.0.255.255
permit 88.66.44.22
deny any log
+
line vty 0 15
transport input ssh
ip access-class VTY-ACCESS-IN in

Только точно описывайте подсети и узлы, с которых должен быть доступ

Я делал примерно так же, но не уверен в синтаксисе

access-list 103 remark VTY Access-class list
access-list 103 remark SDM_ACL Category=1
access-list 103 permit ip 192.168.10.0 0.0.0.255 any
access-list 103 permit ip xxx.ууу.116.0 0.0.0.255 any

line vty 0 4
access-class 103 in
privilege level 15

Но в циске через SDM был включен базовый файервол, может он не пускает входящий трафик.

miant
show run
покажите

miant
А Вы уверены что не пускает ваше оборудование? На асе все легко проверяется packet tracer'ом.
А вообще в таких случаях диагностике помогает telnet на 22 порт

kbessmertniy

Цитата:

miant
show run
покажите

как только покажет, сразу станет ясно

Я попробовал настроить циску заново, не включая файервол - удаленный доступ заработал (все настройки и ACL остались те же, я загрузил их по tftp из старого конфига). Спасибо всем за помощь.
Нашел в инете Cookbook по IOS 12.4, вроде самое то - буду разбираться дальше. Главное, что железка уже стоит на месте, и экспериментировать по вечерам есть возможность.
Но как-то неудобно работать с конфигом - особенно при корректировке списков ACL. Есть какие-нибудь online/offline редакторы с подсветкой и проверкой синтаксиса?

Приветствую мужики. Не выходит что-то каменный цветок.

Дано :

!
object-group network trusted
host 1.1.1.1
!

access-list 102 permit ip object-group trusted any
access-list 102 deny ip any any

interface GigabitEthernet0/1
ip access-group 102 in

пытаюсь пинговаться с 1.1.1.1 и парадоксально попадаю deny.

c2900-universalk9-mz.SPA.150-1.M5.bin.

подскажите плиз где туплю или паламатые обж группы ?

PS : причем если добавляю между ними
15 access-list 102 permit ip host 1.1.1.1 any , то сразу-же всё хорошо прекрасная маркиза.
Вывод : 1) я дурак 2) не пашут обж группы.
Если пункт первый плиз как их правильно применять, если второй как покрасивее решить вопрос гибкого администрирования большого количества аклов

ktoto1 Restrictions for Object Groups for ACLs:
You can use object groups only in extended named and numbered ACLs.

ktoto1
у меня работает с Вашим конфигом
c2900-universalk9-mz.SPA.150-1.M4.bin
вообще функционал object group на ios достаточно сырой.

Добавлено:
R2911-Lab#show access-lists 102
Extended IP access list 102
10 permit ip object-group trusted any (8 matches)
20 deny ip any any (365 matches)

R2911-Lab#show object-group
Network object group trusted
host 1.1.1.1

R2911-Lab#

ESX091

Странно однако.... Я сделал таки как советовал miant. Перебросил на неймед аклы

ip access-list extended policy
permit ip object-group trusted any
deny ip any any

И заработало. Если у Вас работает, то таки глюк. А последнего иоса кавеиты чего-то найти не могу.

у меня глюк?
как интересно..

Цитата:

You can use object groups only in extended named and numbered ACLs

acl 102 относится к extended numbered ACLs
так что странно обратное

ESX091

Я говорю вообще, глюк иоса. В одних случаях работает, в других нет. Системы пока что найти не могу. Реально сыроватая фича, но очень нужная.

ESX091
Я эту цитату понял так, что кроме номера в ACL должно быть явно указано extended. У вас это есть, поэтому работает.

в последних версиях софта работает стабильно.

Большая часть из того что указано поддерживается SRW224G4-K9.

Ребята, хочу с вами проконсультироваться, стоит следующая задача:
Организовать по всему зданию WiFi, с тремя разными идентификаторами сети (SSID), один для служебного пользования, другой для Voice (WiFi-трубки) и наконец последний для клиентов.
Во время перемещения по зданию, необходимо чтобы беспроводные устройства (iPhone, iPad, WiFi-трубки) автоматически подключались к беспроводной сети, как я предполагаю сами устройства по видимому должны иметь одинаковый SSID? Если я не права, то поправте меня пожалуйста.
Второй вопрос касается так называемого контроллера, возможно ли вместо контроллера от cisco, использовать альтернативу, например ChilliSpot?
И последнее, что я хочу у вас спросить, это про сами cisco aironet, какую из моделей и с каким набором логики вы посоветуете исходя из задачи описанной мною выше, добавлю только то, что коммутаторы к которым будет осуществляться подключение не поддерживают PoE.
Спасибо.

Мне видится такое направление:
1) идентификации в радиусе, в зависимости от этого переключать абонентов в разные VLAN (гм, а какой признак ?).
2) SSID соответственно один на всех один.
А для питания есть инжекторы.

to ginger

Цитата:

как я предполагаю сами устройства по видимому должны иметь одинаковый SSID?

да. на всех устройствах должны быть настроены как минимум 3 одинаковых сида.
+ для роуминга точки должны быть в одном домене.

Цитата:

Второй вопрос касается так называемого контроллера, возможно ли вместо контроллера от cisco, использовать альтернативу, например ChilliSpot?

это для того, чтобы потестить себе или клиенту? не пробовал. но как будет время займусь. интересно стало=). на самом деле cisco wlc и cisco ap очень много вкусного и интересного.
не уверен, что это можно реализовать на фриварном софте.
встречный вопрос такой, если хотите контроллер не cisco, то зачем он вообще нужен?

Цитата:

какую из моделей и с каким набором логики вы посоветуете исходя из задачи описанной мною выше

о каком наборе логики идет речь? если коротко то выбирать можно из
clear air
802.11a/g/n
внешние/встроенные антенны
офис/склад/outdoor
прочие полезности cisco

alespopov

Цитата:

А для питания есть инжекторы.

Спасибо.
ESX091

Цитата:

да. на всех устройствах должны быть настроены как минимум 3 одинаковых сида.
+ для роуминга точки должны быть в одном домене.

Ага, так и предполагала.

Цитата:

это для того, чтобы потестить себе или клиенту? не пробовал. но как будет время займусь. интересно стало=). на самом деле cisco wlc и cisco ap очень много вкусного и интересного.
не уверен, что это можно реализовать на фриварном софте.
встречный вопрос такой, если хотите контроллер не cisco, то зачем он вообще нужен?

Да, тестировать систему, ваш вопрос про контроллер ввел меня несколько в смятение, и действительно ведь можно и без него?) Тогда вопрос, раз при поставленной задаче можно обойтись без контроллера, то его функции наверное может взять на себя межсетевой экран, который при помощи trunk-портов будет соединен со всеми беспроводными точками, правильно ли я рассуждаю?

Цитата:

о каком наборе логики идет речь? если коротко то выбирать можно из

Нас интересует в первую очередь 802.11a/g/n
Спасибо.

Цитата:

Тогда вопрос, раз при поставленной задаче можно обойтись без контроллера, то его функции наверное может взять на себя межсетевой экран, который при помощи trunk-портов будет соединен со всеми беспроводными точками, правильно ли я рассуждаю?

не правильно. контроллер (WLC) нужен прежде всего для управления (первичная настойка и дальнейшая поддержка, например, RRM).
можно обойтись без WLC, если будете использовать обычные точки доступа.
а причем тут межсетевой экран? )
Если честно, то я не увидел задачи...