» Настройка Cisco оборудования

flipside
а все остальное работает?
тогда может быть

fixup protocol icmp?

[q][/q]
неа ничего не работает ( и почему то шлюз какой то странный выхватывает 192.168.1.2

Здравствуйте товарищи. Может у кого нибудь есть IOS c2600-adventerprisek9-mz.124-25d.bin, или возможно кто то сможет скачать http://www.cisco.com/cisco/software/release.html?mdfid=277801009&flowid=7326&reltype=latest&rellifecycle=MD&relind=AVAILABLE&release=12.4.25d&softwareid=280805680&sortparam=5 Спасибо!

halsser
Цитата:

Всего записей: 1 | Зарегистр. 29-07-2011

С места в карьер - и пальцем в небо!
ИОСы на здешнем форуме спрашивают тут: Cisco IOS

flipside
если есть возможность - переходите на 7.0. тогда смогу подсказать. на 6.3 давно не работал

Приветствую друзья.
возникла необходимость экспортировать специфические маршруты из dhcp pool . Можно ли такое как нибудь организовать ? Дефолт в силу определенных причин экспортировать не хочу . Есть у меня подозрение что это нельзя сделать в рамках ppp, но уж очень хочется.

Краткое описание того что хочу сделать.

есть циско. На ней натроен VPN . При подсоединении к циске винда начинает весь трафик сыпать через это ВПН подключение. Поборол это путем отключения импорта дефолта в настройке подключения винды. Всё отлично работает но роуты на определенные сети в винде приходится вручную добавлять. А я лентяй. И даже батник не очень хочу запускать.

На всякий случай вот кусочки конфига циски :

vpdn-group l2tp
accept-dialin
protocol l2tp
virtual-template 2
local name l2tp8
no l2tp tunnel authentication
l2tp tunnel receive-window 128

interface Virtual-Template2
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp-pool for_ppp
ppp mtu adaptive
ppp authentication ms-chap-v2 ms-chap callin
!

ip dhcp pool for_ppp
network 192.168.45.0 255.255.255.0
default-router 192.168.45.1
dns-server 192.168.1.1

Доброго дня!
Нужно разрешить для одного хоста в локальной сети ходить на на адрес 0.0.0.0 на 443 порт
Но все дело в том, что данные правила уже есть, но только они не совсем верные, поэтому нужно заново пересоздать правило.
Если я сделаю так, это будет верным решением? :

Удаляем строчки:
conf t
ip access-list ext 100
no 10
no 20

Добавляем на их место

10 permit host 192.168.0.103 host 0.0.0.0 eq 443
20 permit host 192.168.0.112 host 0.0.0.0 eq 443

может я просто что то забыл...., подскажите пожалуйста.

Заранее спасибо.

FESSSS
я на opennet.ru уже ответил

ktoto1
задавал идентичный вопрос
ответили:


Цитата:

Pavel Shirshov (pavelsh)     2011-08-10 02:54:19


Делаете раздачу адресов по dhcp.
interface Virtual-Template1
peer default ip address dhcp-pool pptp-users

В dhcp прописываете
ip dhcp pool pptp-users
network 10.0.67.0 255.255.255.0
default-router 10.0.67.1
dns-server 10.5.9.4 10.0.1.1
netbios-name-server 10.5.9.4 10.0.1.1
option 249 hex 10c0.a80a.fff1.0108.0a0a.fff1.01
option 121 hex 10c0.a80a.fff1.0108.0a0a.fff1.01

Вся суть в option 249 и в option 121. Описание поищите в гугле и в rfc как эти options кодируются.
Поднялось все на этом ios-е 124-24.T4 на T3 и до была ошибка, которая есть в bug tool-е

у себя прописал, но еще не проверил

Доброго дня!

Подскажите пожалуйста, может кто решал такую задачу:
Есть сайт, на сайте есть "кнопка" (интернет-банкинг), нужно чтобы при нажатии этой кнопки, ссылка выводила на адрес в локальную сеть, и открывала https страничку.
Что и где надо настроить, не совсем понимаю...., или можно просто пробросить порты на циске, или что другое....,никак не пойму, заранее спасибо.

kadaber Спасибо отец.

проверил работает . Опция 121 не нужна. Для осей начиная от XP и дальше нужна только 249.

FESSSS
Цитата:

Есть сайт, на сайте есть "кнопка"

А циска здесь причем? На ней ты можешь только закрыть доступ к этому сайту.
По взрослому делается так. На локальном ДНС организовывается поддельная зона totbank.ru, там прописываешь локальный айпишник своего вебсервера, и делаешь все, что заблагорассудится.
Впредь выбирай разделы, куда постить. Сисадмины такой хреновиной, как фишинг, спуфинг и прочее не занимаются. Это вопрос или для местного флейма, или для Андеграунда.

Циска при том, что когда человек нажмет ссылку, его проводят по адресу 111.111.111.111 порт 1111, и она соответственно проведет его внутрь...., так я думаю.
И причем тут локальный ДНС....., не понимаю, у нас сервер сайта на чужом ресурсе.

FESSSS 1. Определись с тем, чего конкретно ты хочешь добиться.
2. Определись с разделом, куда в зависимости от п.1 задать свой вопрос (Андеграунд, В помощь вебмастеру, Web-программирование).
3. Найди там похожую тему или создай новую, если такой нет, и распиши подробно, что за сайт, чей он, что за кнопка, какой конечный результат нужен.
4. Запомни как "отче наш", что циска работает на сетевом и транспортном уровнях, а веб-сайты - на уровне приложений, и вместе им никогда не встретиться.
5. Проще всего, если следовать из твоей куцей информации, повесить непосредственно на кнопку переход по адресу 111.111.111.111 порт 1111.

Прив!

IP-шлюз Cisco 2811 принимает E1, раздает через Catalyst 500 на телефоны Cisco IP Phone 7911 (и другие) телефонию внутри офиса. Все работает как часы, настраивал не я - не трогаю телефонию вообще. Потребовалось один телефон+комп вынести в соседнее здание, вышел через Zyxel P781M (Ethernet over VDSL). Подключаю телефон, к телефону - комп (классика Cisco) - вуаля! На компе есть коннект, телефон: "Настройка IP" и висит в этом статусе. Телефон работает, если подключен напрямую в Catalyst, другие телефоны пробовал - то же. Хелп, куда копать?

Цитата:

Проще всего, если следовать из твоей куцей информации, повесить непосредственно на кнопку переход по адресу 111.111.111.111 порт 1111.

Именно это мне и надо сделать, подскажи плизззз =) Как?
В цисках я почти что ноль...,человек просто в отпуск ушел за них отвечающий, а сделать надо.

vlary
Прям таки только на сетевом и транспортном уровнях? а про глубокую инспекцию слышал? любой рутер, не говорю уже про ASAшки может.

Зачем гнуть пальцы, когда человеку нужно всего лиш пробросить порт. Он хоть и описал не техническим языком, но достаточно, чтобы понять. А причем тут DNS вот уже действительно вопрос.

FESSSS
Вот команда, которая прокидывает https порт с внешнего адреса (11.12.13.14) на внутренний.
ip nat inside source static tcp 192.168.0.10 433 11.12.13.14 433 extendable

разумеется ссылка на сайте выглядит как https://11.12.13.14

Otkrick

мож DHCP не доходит до него ? Немного не понял что как и куда подключено.... Комп первый а потом телефон или телефон первый а потом комп ?

flipside

Код: vpngroup mskdig split-tunnel vpnpool
access-list vpnpool permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0

Цитата:

Подключаю телефон, к телефону - комп (классика Cisco) - вуаля!

в класике это работает когда на коммутаторе порт куда подключается телефон настроен как транк, в котором голосовой вилан идет тегированный а вилан данных нетегированный, встроенный коммутатор телефона забирает свой трафик а нетегированный пропускает дальше
В данном случае нужно смотреть настройки VLAN на Zyxel P781M если он поддерживает 802.1Q, потому что похоже сейчас он пропускает только нетегированные фреймы

Цитата:

Otkrick

мож DHCP не доходит до него ? Немного не понял что как и куда подключено.... Комп первый а потом телефон или телефон первый а потом комп ?

как вариант, есть идеи как проверить? но до компа доходит же при тех же условиях

* К свитчу Cisco Catalyst 500 подключен телефон IP Phone 7911, к телефону подключен комп: свитч-тел-комп

Otkrick
будте добры настройку каталиста, в частности этого порта
Valery12

Цитата:

в класике это работает когда на коммутаторе порт куда подключается телефон настроен как транк

я бы сказал не транк, у мульти влан акцес

Цитата:

я бы сказал не транк, у мульти влан акцес

конечно дело терминологии, но по мне так типичный транк, с тем отличием что вместо native vlan используется data vlan.
автор не дает полную схему своего творения, я так понимаю что он соединил две каталисты посредством двух вдсл модемов, тогда мало правильно настроить порт для телефона, должны быть настроены порты которые соединяют модемы и должны быть настроены сами модемы. насколько я помню такие модемы работают в нескольких режимах с виланами: либо Port-based либо 802.1Q отсюда и нужно плясать.
И не забыть разрешить на каталистах CDP

Цитата:

конечно дело терминологии, но по мне так типичный транк

Я безусловно понимаю, что Вы имеет ввиду, но все таки если быть чесным, то порт можно настроить именно транком, но это не самый используемый вариант.

А вообще да, дайте полную схему

Внесу свои пять копеек по-поводу мнения Valery12 относительно Voice-VLAN.

0) Предполагаю, что данные и голос в сети должны обслуживаться по-разному, т.е. должны быть четко разделены между собой. Возможные подключения телефона.
1) Порт подключения "access". Данные и голос идут вместе. Это может привести к тому, что всплески трафика данных будут отрицательно влиять на качество голоса. Конечно, если телефон "умный", он сможет ограничивать трафик данных дабы он не забивал голосовой трафик. Также он сможет маркировать соответствующим образом голос и данные. Поэтому в качестве основной меры предполагается сразу разносить трафик голоса и данных по разным VLANs.
2) Если телефон "тупой" и не может маркировать трафик, то в этом случае лучше всего подключать телефон в один "access"-порт, а компьютер в другой "access"-порт.
3) CDP + Voice-VLAN, LLDP-MED + Voice-VLAN. В данном случае порт является обычным "access"-портом до тех пор, пока к нему не подключится телефон. После этого коммутатор распознает (по CDP или LLDP-MED) наличие телефона, если нужно и/или возможно, передает на него некоторые параметры QoS и включает у себя Voice-VLAN. Отличие Voice-VLAN от Native-VLAN в том, что Voice-VLAN включается как только будет включен телефон, а Native-VLAN включен все время. Я очень сильно подозреваю, что это и есть главная "фича" Voice-VLAN и чтобы отличать от обычного "trunk" дали ей другое название.


Цитата:

конечно дело терминологии, но по мне так типичный транк, с тем отличием что вместо native vlan используется data vlan.

IMHO. Название Voice-VLAN это, конечно, просто терминология чтобы отличать обычный "trunk"-порт от "trunk"-порта который без телефона просто "access"-порт а с телефоном становится "trunk"-портом с возможностью передачи некоторых параметров QoS телефону. Ну, с таким же успехом мы можем вместо слова "мотоцикл" говорить "велосипед с установленным двигателем, увеличенными размерами колес на котором можно быстро ехать при наличии бензина в баке" .

IMHO2. Относительно Native-VLAN. На вскидку не приведу ссылку, но вроде как Cisco в курсах проектирования сети рекомендует в целях безопасности:
1) для всех портов Native-VLAN указать неиспользуемый нигде VLAN. Т.е. использование Native-VLAN не очень рекомендуется.
2) все неиспользуемые сделать "access"-портами принадлежащими неиспольуемому нигде VLAN
3) все неиспользуемые порты выключить

Цитата:

3) CDP + Voice-VLAN, LLDP-MED + Voice-VLAN. В данном случае порт является обычным "access"-портом до тех пор, пока к нему не подключится телефон.

вот так выглядит обычный "access"-порт

interface FastEthernet0/1
switchport mode access
switchport access vlan 50

а вот так порт для IP телефона

interface FastEthernet0/1
switchport mode access
switchport access vlan 50
switchport voice vlan 10

и эта последняя строчка сама не появляется при подключении телефона - ее туда админ добавляет. И только в этом случае свич по CDP передаст телефону номер его VLAN и он сможет помечать фреймы правильным тегом.


Цитата:

Если телефон "тупой" и не может маркировать трафик

если в телефоне есть гнездо для подключения компьютера значит в него встроен двухпортовый свич с поддержкой 802.1q и маркировать трафик он может в любом случае. Тупость может заключаться в том что не всякий телефон понимает по CDP или LLDP на какой vlan ему нужно настроится, но не проблема его и вручную настроить или отключить тегирование чтобы он смог работать в обычном "access"-порту

А сравнение такое я делал для человека, который возможно не совсем в курсе настроек телефонии, так сказать для наглядности и только.

Valery12
Да, я согласен с тем, что все настройки делаются на стороне коммутатора потому как именно он отдает их телефону.

Далее, вы пишете вот это
первое:

Цитата:

если в телефоне есть гнездо для подключения компьютера значит в него встроен двухпортовый свич с поддержкой 802.1q и маркировать трафик он может в любом случае.

и вот это, второе:

Цитата:

Тупость может заключаться в том что не всякий телефон понимает по CDP или LLDP на какой vlan ему нужно настроится

и я не понимаю почему вы считаете, что первое - выполняется всегда, а второе - НЕ всегда. Для меня оба пункта не очевидны и требуют проверки по документации. Да, бывают моменты когда оборудование ведет себя не так как написано в документации, но на этапе подбора телефона нужно читать "datasheet" и смотреть что он может делать т.к. лично для меня, наличие отдельного порта для подключения компьютера НЕ означает поддержку 802.1Q.


Вообще, я хотел лишь заметить, что считать "trunk" и "access"-порт с включенным "voice-VLAN" - это очень плохо т.к. это разные вещи предназначенные для разных целей и, как следствие, умеющих делать разные вещи.


Цитата:

А сравнение такое я делал для человека, который возможно не совсем в курсе настроек телефонии, так сказать для наглядности и только.

Ну, здесь, конечно, вам виднее. Главное не оказать человеку "медвежью услугу", если он собирается заниматься этим, то лучше сразу говорить суровую "правду".

Цитата:

Вообще, я хотел лишь заметить, что считать "trunk" и "access"-порт с включенным "voice-VLAN" - это очень плохо т.к. это разные вещи предназначенные для разных целей и, как следствие, умеющих делать разные вещи.

Вот хоть убейте, но я считаю по другому, "access"-порт с включенным "voice-VLAN" это "специфический" "trunk-порт" с дополнительными возможностями, а именно берем класически настроенный порт

Цитата:

interface FastEthernet0/1
switchport mode access
switchport access vlan 50
switchport voice vlan 10

и вот такой транковый

Цитата:

interface FastEthernet0/1
switchport mode trunk
switchport trunk native 50
switchport trunk allow vlan 10

И тот и другой вариант изначально делает одно и то же - vlan 10 тегирует, vlan 50 отправляет без тегов,
разница во втором случае:
- даже родной цискофон придется настраивать вручную, в том числе и приоритезацию
- вместо IP телефона можно подключить что угодно (в первом случае коммутатор пропустит трафик только от телефона)
Тоесть к обычному транку мы получаем дополнительные фичи: автонастройку и дополнительный контроль порта

P.S.
Надеюсь мы никого не раздражаем этим теоретическими рассуждениями, ибо кардинальных разногласий нет и все понимают о чем говорят.

Цитата:

кардинальных разногласий нет и все понимают о чем говорят.

Да, это верно. Это просто я стараюсь думать и запоминать в терминах производителя и технологий. Так, на всякий случай.

Я с голосом не работал и знаком только с "фичами" для коммутаторов, расказанных в "Routing & Switching"-курсах.


Цитата:

даже родной цискофон придется настраивать вручную, в том числе и приоритезацию

Наверное это так, я не в курсе можно ли по CDP передавать номер VLAN и приоритет которые должен использовать телефон.

Немного не в тему, но я тут читал про подобную "фичу" для коммутаторов от Juniper Networks. Они используют стандартный LLDP-MED. Посредством данного протокола на телефон передается информация о Data-VLAN и Voice-VLAN о том в каком виде передавать (тег, без тега), номер VLAN и приоритет по 802.1p.
Список телефонов, понимающих LLDP-MED, год назад был не очень большой, от Cisco было около 11 моделей и насколько полно они поддерживали LLDP-MED это тоже вопрос. Но, думаю, это дело времени. Стандарт открытый, другие производители подтянуться, наверное. Т.к. самым правильным решением является настройка всех параметров на порту коммутатора. Если подключается телефон и он проходит аутентификацию, то данные должны быть переданы ему от коммутатора и нечего одни и те же настройки делать на двух сторонах! IMHO.

Цитата:

Список телефонов, понимающих LLDP-MED, год назад был не очень большой, от Cisco было около 11 моделей

Знаю что Nortel удалось подружить через LLDP, а вот у меня avaya хоть и поддерживает этот протокол но все равно не понимает на какой вилан настроится, в результате приходилось отдавать настройки по DHCP, сначала телефон получал адрес в data vlan читал option 242 (или 176 в зависимости от модели) выяснял свой voice vlan, перезагружался и уже получал адрес в voice vlan. Потом плюнул и стал подключать их в обычный access port без компьютеров.