» Настройка Cisco оборудования

Andru75
Цитата:

самими средствами машрутизатора не представляется возможным.

И это правильно. Ибо маршрутизатор трудится на сетевом уровне, а HTTP proxy - на ровне приложений.

Стоит отметить, что сиско системс в своё время выпускало cache engine (может и сейчас выпускает). Это тот же http прокси и даже больше. И их не обязательно нужно было выстраивать описанной выше цепочкой. Достаточно было перенаправить трафик используя протокол wccp. Причём таких проксей могло быть несколько. Для повышения производительности и повышения отказоустойчивости.

Кстати, squid так же поддерживает wccp

Цитата:

Стоит отметить, что сиско системс в своё время выпускало cache engine (может и сейчас выпускает)

у них сейчас покруче штука будет IronPort


Цитата:

Web-шлюзы Cisco IronPort S-серии защищают ПК сотрудников и серверы компании от заражения вирусами через посещаемые веб-сайты, позволяют контролировать трафик на предмет утечек информации или нарушений правил пользования Интернетом, а также выполняют функции кэширующего прокси-сервера.

Здравствуйте, уважаемые знатоки сетей. Помогите со следующим вопросом.
Есть три офиса, которые необходимо объеденить в одну сеть через интернет.
На данный момент в каждом офисе имеется:
1. Подключение к интернету через роутер д-линк, со статическим IP адресом.
2. Прокси-сервер, через который получают доступ в интернет ПК в ЛВС.
Вопрос - как сделать чтобы ПК в каждом офисе видели ПК в удаленных офисах (т.е. была единая сеть) и кроме этого, с каждого ПК был доступ в интернет через прокси-сервер. Интересют решения на базе оборудования Cisco. Прошу знающих людей посоветовать с выбором оборудования (может роутеры серии 28хх?) и если есть возможность, набросать примерную конфигурацию.

Сделал примерную схему. Адресацию можно менять.
http://img62.imageshack.us/img62/9493/netoffice.jpg

KabirNovosibirsk опыт показывает что понятие прокси трактуют слишком широко, что Вы под этим подразумеваете? В любом случае использование в каждом офисе одинаковой адресации 172.16.1.0/24 очень плохая идея.

Valery12
Понятно. Адресацию можно будет сделать в каждом офисе свою, это не проблема.
Через прокси осуществляется доступ в интернет в офисах и логирование кто куда заходил.

прокси в классическом понимании это "посредник" скажем клиент желает посмотреть страницу яндекса, он может сам послать запрос на сервер яндекса а может послать свой запрос на прокси, который от своего имени обратится к яндексу а полученную страницу потом передаст клиенту. Так вот через такой настоящий прокси сети связать невозможно, он не для того придуман. Но сейчас многие называют "ПРОКСИ" любой фаервол (который иногда может а иногда и нет выполнять функцию прокси).
Короче на первом этапе нужно связать сети так, что бы любой компьютер мог по IP связаться с другим (лучшая проверка пинг) без всяких НАТ и прокси, для этого на границах сетей должны стоять маршрутизаторы с функциями фервола (применительно к cisco - router) либо фаерволы с функциями маршрутизатора (применительно к cisco - ASA) между которыми строятся туннели через интернет для прозрачной связи сетевых сегментов.
На следующем этапе (если "видимость" подразумевает видимость компьютеров windows в сетевом окружении) поднимается домен с минимум одним КД, а лучше в каждом филиале по КД и сервер WINS, а все компьютеры вводятся в домен.

KabirNovosibirsk На цисках это делается элементарно с помощью GRE туннелей. Если у вас административно центр + филиалы, можно сделать топологию "звезда". Если равноправные подразделения - то "каждый с каждым". При маниакальной тяге к секурности туннели можно зашифровать. Если в каждом офисе по паре провайдеров - зарезервировать, прокинув по туннелю через каждого провайдера.
Прокси лучше иметь в каждом офисе свой, дабы не гонять лишний трафик. Это либо просто NAT, либо его комбинация с HTTP proxy.
Циска 28хх подойдет. В случае "звезды", и если народу много, в центре лучше поставить 38хх.

vlary
Да, офис-1 это будет административный центр. Остальные два офиса - это филиалы. Прокси в каждом филиале свой.
Ты не мог бы дать примерную конфигу, как это сделать на цисках 28хх?
А циски надо будет ставить вместо д-линков? Если да, то на цисках надо будет поднимать еще авторизацию для интернета и тогда возникает еще дополнительный вопрос - как это сделать?

KabirNovosibirsk
Цитата:

Ты не мог бы дать примерную конфигу

А еще лучше - все вам настроить?

Цитата:

А циски надо будет ставить вместо д-линков?

У меня в паре мелких офисов (до 5 чел) работают D-Link DFL-260E. Они умеют строить GRE туннели с циской.

Цитата:

как это сделать?

Чем мне нравится циска, это что у них на сайте есть вся необходимая документация. И что в отличие от винды тупое клацанье мышью не катит, нужно соображать, что делаешь.
Так что готовьтесь много читать...

vlary

Цитата:

А еще лучше - все вам настроить?

Конечно лучше - приезжай к нам в Новосибирск

Шучу. Буду сам вникать с помощью советов на этом форуме.

Valery12
Сейчас у нас CCProxy под виндой. Это настоящий прокси или нет?

Цитата:

Сейчас у нас CCProxy под виндой. Это настоящий прокси или нет?

да это именно прокси сервер

Мужики. Нужна нестандартная настройка циско оборудования.
В общем такая проблема. Есть 881W-GN-E-K9 , в ней как вы знаете вентилятор. Ночью падлюко дребезжит и мешает спать. Можно как-то на ночь его в конфиге потише делать или вообще вырубить ? Или я обречен разбирать тушку ? Как бы смешно не звучало , но прошу по возможности к вопросу отнестись серьезно.

ktoto1 не должен он так шуметь, нужно разобрать и смазать.

Доброго времени суток, есть такая проблема.
ДАНО : CISCO2911
System image file is "flash:c2900-universalk9-mz.SPA.150-1.M2.bin"

Локалка в ней адреса ee.ee.ee.ee/32 , rr.rr.rr.rr/32 и т.д, два провайдера инета по эзернету - основной AA.AA.AA.AA и резервный BB.BB.BB.BB , переключаются автоматом при падении основного. В локалке есть куча железа которая по "своему" ВПН ломится в инет на определенный ресурс XX.XX.XX.XX на порт 4500

Диманический нат решено было не юзать, так что вопрос не про него. И его мы не касаемся потому что к делу он не относится.

вот такой конфиг

interface GigabitEthernet0/1
description ***TO INTERNET***
ip address AA.AA.AA.AA 255.255.255.252
ip access-group OUTSIDE_RULES in
ip nat outside


interface GigabitEthernet0/2
description ***TO INTERNET2***
ip address BB.BB.BB.BB 255.255.255.252
ip access-group OUTSIDE_RULES in
ip nat outside

ip nat inside source route-map isp1 interface GigabitEthernet0/1 overload
ip nat inside source route-map isp2 interface GigabitEthernet0/2 overload


ip nat inside source static udp ww.ww.ww.ww 4500 AA.AA.AA.AA 34500 route-map isp1 extendable
ip nat inside source static udp ee.ee.ee.ee 4500 AA.AA.AA.AA 34501 route-map isp1 extendable
ip nat inside source static udp rr.rr.rr.rr 4500 AA.AA.AA.AA 34502 route-map isp1 extendable
ip nat inside source static udp tt.tt.tt.tt 4500 AA.AA.AA.AA 34503 route-map isp1 extendable
ip nat inside source static udp yy.yy.yy.yy 4500 AA.AA.AA.AA 34504 route-map isp1 extendable

и так далее...

ip nat inside source static udp ww.ww.ww.ww 4500 BB.BB.BB.BB 34500 route-map isp2 extendable
ip nat inside source static udp ee.ee.ee.ee 4500 BB.BB.BB.BB 34501 route-map isp2 extendable
ip nat inside source static udp rr.rr.rr.rr 4500 BB.BB.BB.BB 34502 route-map isp2 extendable
ip nat inside source static udp tt.tt.tt.tt 4500 BB.BB.BB.BB 34503 route-map isp2 extendable
ip nat inside source static udp yy.yy.yy.yy 4500 BB.BB.BB.BB 34504 route-map isp2 extendable

access-list 101 permit ip (локалка в которой железки ww.ww.ww.ww/32 и.т.д) any
access-list 101 deny ip any any


route-map isp2 permit 10
match ip address 101
match interface GigabitEthernet0/2
!
route-map isp1 permit 10
match ip address 101
match interface GigabitEthernet0/1

Внимание вопрос

sh ip nat tra | in XX.XX.XX.XX

udp AA.AA.AA.AA:34500 ww.ww.ww.ww:4500 XX.XX.XX.XX:4500 XX.XX.XX.XX:4500
udp AA.AA.AA.AA:34501 ee.ee.ee.ee:4500 XX.XX.XX.XX:4500 XX.XX.XX.XX:4500
udp AA.AA.AA.AA:34502 rr.rr.rr.rr:4500 XX.XX.XX.XX:4500 XX.XX.XX.XX:4500
udp AA.AA.AA.AA:34501 tt.tt.tt.tt:4500 XX.XX.XX.XX:4500 XX.XX.XX.XX:4500
udp AA.AA.AA.AA:34501 yy.yy.yy.yy:4500 XX.XX.XX.XX:4500 XX.XX.XX.XX:4500

ну и так далее
а стало быть часть железок не работает
ЧТО ЗА ФИГНЯ? скажите чего-нить умное плиз

ps: причем трансляции без роут-мапы абсолютно нормально себя ведут , занимают нужные порты, с ними все работает как часы

Доброго дня, подскажите как реализовать задачу:
Есть клиент (внешний динамический ip) в другом городе - например город В и есть в городе А сервер который обслуживает только по доступу с определенных IP тех кто в городе А,
есть cisco router в городе А с IP с которого открыт доступ к серверу в городе А,
как настроить доступ клиенту с города В через этот роутер, чтобы сервер видел IP роутера и соответственно пускал клиента. Спасибо.

redandsun А с какой радости у тебя в обеих route-map один и тот же access-list 101?
DmitryV На циске поднять VPN сервер, и пусть клиент из города В цепляется к ней, а она будет НАТить его через свой айпи на сервер в городе А.

vlary
на cisco 1921 только лицензия Base в наличии, я так понял что так не пройдет поднять VPN, как ещё можно реализовать?
И cisco и сервер в городе A в разных внешних сетях. на сервере просто прописаны правила доступа с определенных IP дописать туда другие нет возможности.

DmitryV Ну, если в сети, где циска, есть еще свободный "белый" айпи, или хост с "белым" айпи, поднять VPN сервер на нем. А НАТить через циску. Думаю, лицензии Base для этого ей хватит.
Но вообще-то не понимаю, откуда такое нищебродство. Появилась потребность в VPN - так купите необходимую лицензию. Чем больше бабла потратите на инфраструктуру, тем сильнее вас начальство уважать будет.

vlary
да временно для гостя на 1 месяц всего надо дать доступ... пока не приехал с отпуска админ сервера и не прописал его IP

есть два маршрутизатора cisco 1941 / k9, нужно поднять между ними site to site vpn, есть ли хорошая статья, кто посоветует? Как узнать какая должна быть лицензия для этого? IOS version 15.1(4)M3, c1900-universalk9-mz.spa.151-4.m3.bin, или подскажите пожалуйста где можно посмотреть.
Заранее спасибо!!!

vlary А с какой радости у тебя в обеих route-map один и тот же access-list 101?
А что тебя так смущает? Это только часть конфига связанная с vpn, все остальное (много-много всего), и оно тоже входит в acl 101, работает нормально.

Что тебя все таки так смутило, рассказывай...

День добрый.

Есть вопрос по настройке ядра сети.

Два 4506 коммутаторы доступа - стек 3750 подключается к обоим 4506.
Как настроить эти транки чтобы оба были активны.

4506 Х 4506
\ /
3750

С таким железом первый раз сталкиваюсь. Неделю гуглю примера настройки найти не могу.

redandsun route-map должна принимать решение, куда отправить пакет, через первого провайдера или второго. Делается это через акцесс-листы. Поскольку они у тебя одинаковые, всегда срабатывает route-map isp2, до route-map isp1 дело не доходит.

vlary в роут-мапе, за аксес листом стоит интерфейс, по этому проверяется 2 условия


Добавлено:
vlary кстати, если эта запись не правильна, то переключение каналов не должно работать. Но все работает

Приветствую.
Подскажите как через SNMP Set переключать каналы (с WAN1 на WAN2 и обратно) на роутере Linksys rv042. Какие OID использовать?

Немного подкорректирую вопрос:
Как можно командой переключить канал с WAN1 на WAN2 на роутере Linksys rv042?

Спасибо.

SKAS
Возможно что-то типа этого видимо, подправте если не прав:
[more]

Код:
interface GigabitEthernet1/0/11
description Member Po2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 25
switchport mode trunk
switchport nonegotiate
channel-group 2 mode on
!
interface GigabitEthernet2/0/12
description Member Po2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 25
switchport mode trunk
switchport nonegotiate
channel-group 2 mode on
!
! Это само сгенереруется, после указания 'channel-group выше':
!
interface Port-channel2
description ChGrp2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 25
switchport mode trunk
switchport nonegotiate
spanning-tree portfast trunk
spanning-tree guard loop
end

Добавлено:
!
port-channel load-balance src-dst-ip

А в случае балансировки по lacp, то так:
int GigabitEthernet...
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 30
switchport mode trunk
switchport nonegotiate
channel-protocol lacp
channel-group 3 mode active

alespopov что то мне кажется это не то, port-channel подразумевает связь нескольких портов одного коммутатора с несколькими портами другого коммутатора . Я в аналогичной ситуации просто разрулил виланы (через RSTP), что бы половина шла через один коммутатор а половина через другой.

Valery12
Ну да, зависит от задачи конечно. Просто вопрос был как оба транка активными организовать и я так понял что один типа vlan на обе 4506 разрулить, и по всей видимости нужно что-то типа балансировки и HA коли стэк из 3750 имеется.

Цитата:

port-channel подразумевает связь нескольких портов одного коммутатора с несколькими портами другого коммутато

Не обязательно, можно так-же таким образом и хосты с vmware подключать, и СХД например, но поскольку vmware LACP не держит, а например NetApp умеет, то я привел оба варианта.
Я с этими 4506 не знаком, возможно Ваш вариант более разумен, но мне непонятен с точки зрения high availability.

alespopov
Так можно объединить два транка на 3750 в один port-channel? А как оба 4506 поймут что их нада обьединить. У них что общая база channel-group будет? Или требуется дополнительная настройка?
У Procurve это называется распределёный транк (distributed trunk). А у Cisco как такое настроить

upd: Разобрался сам, на 4500 VSS не поддерживается, буду делать между 4500 L3 канал, тогда оба линка на 3750 будут активны, без port-channel