Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco оборудования

Автор: DaniilVeselov
Дата сообщения: 25.03.2012 14:49
прописал ip route 0.0.0.0 0.0.0.0 172.19.10.1 но доступ в нет не появился(

Спасибо, надо будет почитать...
Автор: vlary
Дата сообщения: 25.03.2012 15:33
DaniilVeselov
Цитата:
но доступ в нет не появился
Да кто бы сомневался?
Что показывают (на самой циске) команды ping 172.19.10.1 и trace 8.8.8.8?
А на компах в сети интернет появится только после внимательного изучения той ссылки, что я дал, и приведения конфига в соответствие.
К сожалению (или к счастью) у циски нету графического интерфейса с большой красной кнопкой "Шоб усё заработало!".
Автор: DaniilVeselov
Дата сообщения: 25.03.2012 19:30
ping 172.19.10.1 успешный 5/5




trace 8.8.8.8

1 91.197.10.120 0 msec 0msec 0 msec
2 10.10.10.1 4 msec 0 msec 0 msec
3 89.20.136.61 4 msec 0 msec 4 msec
4 72.14.212.158 0 msec 8 msec 4 msec
5 209.85.241.44 64 msec 88 msec 64 msec
6 72.14.234.11 76 msec 76 msec 76 msec
7 209.85.254.112 72 msec 72 msec 72 msec
8 209.85.249.162 56 msec 56 msec 62 msec
9 8.8.8.8 72 msec 76 msec 92 msec

исправил косяк на интерфейсе GE0/0 (первый пров) mac неправильно вкатал...
интернета на GE0/1 не появилось((
Автор: vlary
Дата сообщения: 26.03.2012 09:57
DaniilVeselov
Цитата:
9 8.8.8.8              72 msec 76 msec 92 msec
Ну вот, а говорил - нет интернета

Цитата:
интернета на GE0/1 не появилось
По щучьему велению по твоему хотению? Вот разберешься с маршрутами, с раут-мапами по той статье, ссылку на которую я тебе дал - и все появится. И книжечку таки почитай. Как предисловие к вороху техдокументации с сайта Циско.


Автор: DaniilVeselov
Дата сообщения: 26.03.2012 13:45
а можно прям по пунктам перечислить что должно быть для прохождения трафика с GE0/0 на GE0/1 ? (допустим у меня пока один провайдер)

тоесть что и в каком порядке обычно для этого пишут, иначе я ещё долго буду сам искать что к чему...
Автор: vlary
Дата сообщения: 26.03.2012 17:15
DaniilVeselov
Цитата:
допустим у меня пока один провайдер

Тогда пока сделать так:

Код: access-list 120 deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 120 permit ip 192.168.0.0 0.0.0.255 any
no ip nat inside source route-map 111 interface GigabitEthernet0/0 overload
no ip nat inside source route-map 112 interface GigabitEthernet0/2 overload
ip nat inside source list 120 interface interface GigabitEthernet0/0 overload
Автор: junkware
Дата сообщения: 26.03.2012 23:13
Кто-нибудь делал WLC auth (web/EAP) + ISG policing и возможно ли такое вообще?
Автор: ESX091
Дата сообщения: 27.03.2012 15:36
junkware
а если точнее?
Автор: DaniilVeselov
Дата сообщения: 27.03.2012 22:00
что-то не заработало...(
Автор: vlary
Дата сообщения: 27.03.2012 23:02
DaniilVeselov
Цитата:
что-то не заработало...(
Очень информативно... Покажи сделанный конфиг. Клиенты шлюз 192.168.0.1 получают? В настройки dhcp на циске ДНС провайдера добавил? tracert 8.8.8.8 с клиента покажи.
Автор: halsser
Дата сообщения: 30.03.2012 22:17
Как объеденить два порта fastethernet на cisco 2621?
Автор: vlary
Дата сообщения: 30.03.2012 22:52
halsser Смотри в сторону EtherChannel
Автор: vlh
Дата сообщения: 02.04.2012 22:08
Здравствуйте.
подскажите где найти полное описание этого коммутатора - Linksys SPS208G
интересует поддерживает ли он ALC, может в нем это как то по другому называется, задача заблокировать на определенном интерфейсе прохождение пакетом от определенного IP к другому определенному IP и сколько таких правил можно создать, если это оборудование это поддерживает, например для сравнения DLink 3526 поддерживает всего 100.
Автор: vlary
Дата сообщения: 03.04.2012 00:58
vlh
Цитата:
подскажите где найти полное описание этого коммутатора - Linksys SPS208G
Где? На Циске, наверное: Cisco SPS208G 8-port 10/100 + 2-port Gigabit SP Switch
Автор: vlh
Дата сообщения: 03.04.2012 07:39
спасибо, искал там, но не нашел (значит плохо искал), по ссылке Access control есть то что мне нужно, но нет описания сколько правил можно создать, или это можно посмотреть на самом оборудовании? если то как?
Автор: vlary
Дата сообщения: 03.04.2012 12:34
vlh У циски нет ограничений на размер акцесс-листов, кроме имеющейся свободной памяти и допустимой загрузки процессора.
Автор: vlh
Дата сообщения: 03.04.2012 13:02

Цитата:
У циски нет ограничений на размер акцесс-листов, кроме имеющейся свободной памяти  и допустимой загрузки процессора.

мое первое оборудование от cisco и такая хорошая новость
я так понимаю памяти и процессора у него хватит прожевать 500 листов?
Автор: vlary
Дата сообщения: 03.04.2012 14:49
vlh
Цитата:
я так понимаю памяти и процессора у него хватит прожевать 500 листов?
Не листов, а правил в листе (листах). У циски такой порядок их нумерации:

Код: Cisco1(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<2700-2799> MPLS access list
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
Автор: vlh
Дата сообщения: 03.04.2012 16:04

Цитата:
Не листов, а правил в листе (листах)

я понял, не правильно выразился.

Цитата:
#access-list ?

а вот этого у меня нет в конфигурации.
есть только:

Код: console(config)# management access-list
WORD<1-32> Specifies the access list name.
Автор: vlary
Дата сообщения: 03.04.2012 21:11
vlh
Цитата:
я так понимаю можно создать от 1-32 access-listов с неорганиченным количеством правил в каждом
Правильно.

Цитата:
а вот этого у меня нет в конфигурации
Естественно. У тебя же просто коммутатор, а я показал акцесс-листы роутера.
Но вообще-то твое занятие мне непонятно. Делать из свитча фаервол - это бред.


Автор: vlh
Дата сообщения: 03.04.2012 23:03

Цитата:
Но вообще-то твое занятие мне непонятно. Делать из свитча фаервол  - это бред.

ну как бэ не совсем firewall, хочу ограничивать доступ к локальным ресурсам абонентам не оплатившим доступ в глобальную сеть, то есть скрипт проверят баланс абонента в биллинге и если он отрицательный заносит правило в коммутатор на запрет прохождения пакетов к локальному FTP, баланс стал положительным скрипт удаляет правило с сетевого оборудования.
в данный момент на месте cisco стоит 3526, но он имеет ограничения всего 100 правил, как бы после уплаты всех абонентов их конечно хватает, но в начале месяца большая часть не платит и правил нужно больше чем 100, в этот момент не все абоненты с отрицательным балансом заблокированы.
я понимаю что лучше всего это делать на коммутаторах доступа, загонять абонента например в гостивой vlan в котором он имеет доступ только в личный кабинет, но сеть построена можно сказать на не управляемом оборудовании, поэтому по нормальному пока сделать не получится.
Автор: alespopov
Дата сообщения: 04.04.2012 07:34
vlh
Ну а почему-б тогда не заплативших не добавлять в один, блокирующий, ACL ?
Ну а вообще я-б рассмотрел блокирование, если нужен только FTP, в самом FTP сервере, который умеет работать с базами данных. И там уже блокировать доступ динамически по IP. Для win: ws_ftp server например, а для юниксов думаю полно их.
Автор: JonJonson
Дата сообщения: 04.04.2012 08:24

Цитата:
Ну а почему-б тогда не заплативших не добавлять в один, блокирующий, ACL ?

Вообще-то ACL сиско системс разрешающие и последнее (не отображаемое правило) deny any any. Как-то принято разрешать дозволенное и об остальном не думать.
Автор: alespopov
Дата сообщения: 04.04.2012 09:17
JonJonson
Вероятно я не совсем понятно выразился про блокирующий ...
Никто не запрещает последним записать правило allow any any
А вот блокируемые IP, явно прописать как deny.

Автор: vlh
Дата сообщения: 04.04.2012 15:19

Цитата:
Ну а почему-б тогда не заплативших не добавлять в один, блокирующий, ACL ?

так я не спорю, конечно в один лист, а не для каждого IP свой лист.


Цитата:
Ну а вообще я-б рассмотрел блокирование, если нужен только FTP, в самом FTP сервере, который умеет работать с базами данных. И там уже блокировать доступ динамически по IP. Для win: ws_ftp server например, а для юниксов думаю полно их.

этот сервер умеет делать альянсы дисков? то есть например имеется два физических диска, а клиент подключившись к такому FTP серверу и зайдя в корневой каталог видит все каталоги с двух дисков как будто они расположены на одном диске, и так же как управлять таким сервером? он понимает работу скриптов? который берет с биллинга информацию о балансе и отправляет например через телнет заблокировать данный IP.
Автор: junkware
Дата сообщения: 06.04.2012 16:06
ESX091

Нашел решение: на ISG настраивается radius–proxy (для 7200 или ASR) или dhcp–radius–proxy (для ASR), а на WLC в качестве radius сервера указывается ISG. В итоге вся аутентификация идет централизованно от ISG и имеем полноценный IPoE без необходимости подымать портал.
Автор: mirba
Дата сообщения: 12.04.2012 16:24
Привет всем!
Прошу помочь прикрутить QoS к ЦИСКЕ 2811!
дело в том что начальство решило запустить айпи телефон по локальной сети нашей организации, без QoS сразу дает о себе знать очередь пакетов VoIP (застревают )что не дает нормально говорить по телефону(софтфоны через программу p2p VoIP)!
схема и сервисы сети:
центральный роутер-2811(выход в инет, причем через два провайдера, и свитчи к нему локалка головного), 4 филиала на циске C850 Software (C850-ADVSECURITYK9-M), Version 12.4(4)T7, REL -топология звезда
центральный циско с филиалами через VPNL2 подключены(местный провайдер такую услугу предоставляет, 5 точек телефонных линий)

по мимо айпи телефона работают по приоритету:
1) бизнес приложение фирмы
2) прокси сервер через которую выходят филиалы в инет
3) джаббер опенфае
3) сервер почтовик керио
4)...
так собственно вопрос в каком участке нужно QoS настроить на центарльном циске или на филиальских и самое главное как это все настраивается??? я новичок в цисках!
Автор: tankistua
Дата сообщения: 12.04.2012 16:39
настраивать надо там, где проблемы с работой войса.

что касается самой настройки - то как-бы гугль никто не отменял

Добавлено:
P/S/ чето мне кажется, что уже все давно за тебя сделано

interface FastEthernet0/0
auto qos
Автор: mirba
Дата сообщения: 13.04.2012 10:58
включил аутокуос
вот, и что это означает? мне бы для UDP пакетов включить, а здесь как бе к DNS пакетоам разрешен?

c2811#sh auto qos
!
policy-map AutoQoS-Policy-Fa0/1
class AutoQoS-Management-Fa0/1
bandwidth remaining percent 1
set dscp cs2
class class-default
fair-queue
!
class-map match-any AutoQoS-Management-Fa0/1
match protocol dns

FastEthernet0/1 -
!
interface FastEthernet0/1
service-policy output AutoQoS-Policy-Fa0/1
c2811#



Добавлено:
но проблема в том что это авто квос не хочет на интерфейсе который на филиалы смотрит не делает
кода добавляю пишет

no autoqos data discovered

вот лог:

c2811(config)#interface Fa0/2/2
c2811(config-if)#auto discovery qos
c2811(config-if)#auto qos
No AutoQoS data discovered
c2811(config-if)#
Автор: Neptunas
Дата сообщения: 20.04.2012 10:40
уважаемые знатоки, подскажите, пожалуйста, - что за херь с моей железкой (надеюсь ни с головой и не руками)! Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 15.1(4)M1, RELEASE SOFTWARE (fc1) нет доступа извне по https, исключительно по дефолтному. 443 порту! (если ставить, к примеру, ip http secure-port 4430, то все прекрасно работает).
из-за этой байды не могу опубликовать web-сервер в локальной сети по протоколу https!

мой конфиг:

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

Предыдущая тема: Не могу побороть вирус Nimda


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.