» Настройка Cisco оборудования

Добрый день!

Не могу подключиться к C6504 по telnet

Вопрос снимаю.
После перезагрузки все ОК.
Видимо случайно применил access-list и он болтался в running-config

Подскажите в чем проблема.

Подключился к роутеру Cisco 891-K9 удаленно (из дома через интернет) с помощью Cisco Configuration Professional (взял на cisco.com). Прописал IP, логин, пароль. Нажал Discover - открылись настройки роутера. После этого ВООБЩЕ НИЧЕГО НЕ ДЕЛАЛ, не менял настроек и не сохранялся, просто закрыл программу через Alt+F4.

После этого интернет упал. Роутер не пингуется.

Что я сделал не так, и что вообще произошло?
Сбились настройки?

Физического доступа к устройству у меня нет.

Назрел такой вопрос.

Есть работающий NM-CE-BP ACNS 5.3.(?)
Можно ли его как то заставить понимать ipv6, или даже пытаться не стоит, и надо искать другое решение ?

Уважаемое сообщество прошу помощи советом. Назрел вопрос апгрейда пограничного роутера. Сейчас стоит Cisco 7301 и необходимо заменить на железку с поддержкой BGP, PPPoE, NetFlow, Radius и самое главное почему меняется это количество гигабитных портов, т.к. в 7301 имеется только 3 порта, и все они используются, соответственно не получается организовать еще два линка к другим двум провайдерам. Дайте совет на какую модельку обратить внимание? Насколько я понял для c7301 нет модулей увеличивающих количество гигабитных портов. Локальный представитель посоветовал приобрести ASR1001-4X1GE

а влан-ами разве нельзя обойтись? принять линки в свитч и завернуть в вланы

snow spirit
Если слот свободный, то можете вставить модуль с одним гигабитным портом либо 2FE.
А в общем-то, 73-ая серия очень старая и в этом году снимается с продаж.
Посмотрите в сторону ASR. А вот модель и комплектация зависит от пожеланий клиента)))

tankistua

Цитата:

а влан-ами разве нельзя обойтись? принять линки в свитч и завернуть в вланы

сейчас так и будет сделанно, линки зайдут на cisco 3550 с нее через vlan'ы пойдут на 7301, но это не даст возможности использовать все линнки по максимуму. И все упрется в 1Гигабит между 7301 и 3550.

ESX091

Цитата:

snow spirit
Если слот свободный, то можете вставить модуль с одним гигабитным портом либо 2FE.
А в общем-то, 73-ая серия очень старая и в этом году снимается с продаж.
Посмотрите в сторону ASR. А вот модель и комплектация зависит от пожеланий клиента)))

Насколько я понял для 7301 нет совместимых модулей PA с гигабитным портом, да и мудли с 2FE тоже как бы не выход, т.к. опять таки не позволят использовать дополнительные каналы по максимуму. С тем что старая серия согласен. В принципе она оправдала себя да и еще долго бы служила верой и правдой. Похоже что ASR1001 оптимальный вариант.

Добрый день!
У меня следующий вопрос.
Имеется центральный офис, в нем два VLAN-а 192.168.0.0 и 192.168.1.0
Имеется удаленный офис, в нем тоже два VLAN-а 10.0.0.0 и 10.0.1.0
На данный момент настроен VPN-канал между VLAN-ом 192.168.0.0 центрального офиса и VLAN-ом 10.0.0.0 удаленного офиса.
На стороне удаленного офиса работает C6504.
На стороне центрального офиса работает C1921.
C1921 имеет два интерфейса, один интерфейс с IP-адресом в сети 192.168.0.0, второй интерфейс во внешний мир.
---------------------------------------------------------------------------------------
Вопрос:
Как настроить VPN для работы с VLAN-ми 192.168.0.0 и 192.168.1.0 центрального офиса из удаленного, ведь C1921 имеет всего два интерфейса, оба из которых заняты?
Может можно сделать так, чтобы интефейс был виден сразу из двух VLAN-ов?
Спасибо!

Shemb
Цитата:

Может можно сделать так, чтобы интефейс был виден сразу из двух VLAN-ов?

На один интерфейс можно повесить очень много вланов.
Цитата:

C1921 имеет два интерфейса, один интерфейс с IP-адресом в сети 192.168.0.0

Никто не мешает сделать примерно так:
Допустим, в локалку смотрит FastEthernet0/0

Код: interface FastEthernet0/0
description Local Lan
no ip address
no ip redirects
duplex auto
speed auto
fair-queue
no cdp enable
!
interface FastEthernet0/0.1
encapsulation dot1Q 2
ip address 192.168.0.1 255.255.255.0
;

interface FastEthernet0/0.2
encapsulation dot1Q 3
ip address 192.168.1.1 255.255.255.0
;

Приветствую друзья.
Итак : весёлые аксес листы.

.....
access-list 100 remark TRUSTED IPS
access-list 100 permit ip object-group trusted any
access-list 100 remark PUBLIC SERVICES
access-list 100 permit udp any object-group public
......

Как бы так извратится чтобы комменты поредактировать, но так чтобы сами листы не трогать.

ip access-list extended 100 - чего-то не даёт вставлять remark между строк.

ktoto1
можно только в ip access-list standard/extended:

Код: MSK-3750X-CORE(config)#ip access-list standard 44
MSK-3750X-CORE(config-std-nacl)#?
Standard Access List configuration commands:
<1-2147483647> Sequence Number....

slut
я так и делаю
ip access-list extended 100
начинаю номер вводить дупустим 25 , потом ?
и вот что получаю :

Цитата:

cisco(config-ext-nacl)#110 ?
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
permit Specify packets to forward

то есть вставка remark вроде как не предусмотренна
если делать без номера, получаем

Цитата:

cisco(config-ext-nacl)#?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment

Багонутый ИОС ? Проверьте плиз у себя, даёт ли искомое ?

ktoto1
Удалите лист и забейте понова, без указания всякиз там seq и с нужными ремарками

У меня cisco 3945 с лицензиями uk, ipsec, модуль VWIC-2MFT-G.703.
Нужно настроить e1. Что такое NM-HDV?
Могу ли я поднять e1 на 2811 без этого модуля?

гугль уже не советчик штоле?

alespopov

Ну, с удалением аксес листа любой может, особенно если циско просто на столе валяется. А если циска под трафиком, то манипуляции с листами надо бы делать осторожнее. Потому вариант с удалением не очень хорош. Вобщем понятно : Работать с ремарками в листах по человечески нельзя.

ktoto1
Да, это так, увы. Так даже ихний-же софт поступает, т.е. удаляет именно сначала, если нужно в середину чего-то вставить/поменять. Если добавить в конце, - то конечно уже просто дописывает. И если это лист доступа к ней-же, то могут быть сюрпризы

я обычно делаю в таком порядке
копирую список
правлю в блокноте
даю другое имя (если именной конечно, просто к имени номер добавляю) или другой номер
загружаю обратно
даю команду reload in 2
прикрепляю новый список к интерфейсу вместо старого
если все в порядке reload cancel
если нет, жду перезагрузки и возмущенных звонков

Привет всем.
Столкнулся с проблемой, оставил офис на растерзания одному админу (он сказал что он админ) на две недельки по я буду на море. А он гад, решил внести коррективы в нашу сеть. И что то сделал с Cisco WS-C2948G что он даже не включается. Внутри горит два зелёных светодиода. Загрузки в терминале не вижу. По его словах он просто хотел сбросить пароль (мог просто спросить)

Собственно прошу помощи

Он даже сохранил код последних операций в терменале


rommon 8 > promrestore
Are you sure you want to restore the PROM (y/n) [n]? y
Restoring PROM: copying 524288 bytes from 0x71000000 to 0x74300000
Erasing 524288 bytes at 0x74300000... Done!
Starting write of 524288 bytes to 0x74300000.(This will take a minute.)
PROM successfully restored!
rommon 9 > version
WS-C2948G bootrom version 6.1(4), built on 2001.07.30 14:43:26
H/W Revisions: Fin: 2 Head: 11 Board: 1
Supervisor MAC addresses: 00:09:44:36:58:00 through 00:09:44:36:5b:ff (1024 addr
esses)
Installed memory: 64 MB
rommon 10 > reset

Очень нужна Ваша помощь, а то не знаю что делать...

Забыл сказать что все кулера крутятся и на плате горят два зелёных диода CR5, CR6
В коммутаторе есть разьем PLCC-32 - но он пуст, нет микрухи, и о ней инфы тоже (была, или нет).

Ни кто не еще не щупал SM-SRE-700-K9 или SM-SRE-900-K9, серверные модули которые ставятся на ISR G2.

Valery12:
Брали на тест 700-ый, поднимали на нём две виртуалки: W2K3 c AD + *nix c Websense. Вроде ползает, но тормознуто. 900-ый должен быть поинтересней, но его не было на тот момент у поставщиков на тест. Пока внедрение отложили до лучших времён.

DmitrySP спасибо, я рассматриваю как вариант апгрейда малых филиалов - одной виртуалки вполне хватит, а что нужно для легального использования кроме покупки железа, смартнет? лицензия от vmware или можно бесплатный ESXi?

Valery12
Софт c ESXi для SRE лежит бесплатно тут:
http://www.cisco.com/cisco/software/type.html?mdfid=283484999&flowid=27722

Софт требует лицензию, но есть встроенный триал на ~8 недель. Сама лицензия стоит $495GPL, SKU: L-FL-SRE-V-HOST=

Приветствую коллеги

Я новичек в cisco, поэтому прошу помощи в настройке

Есть L3 свитч 3560v2-24TS к нему подсоединена раб.станция с IP 192.168.0.5.
и есть L2 свитч D-Link DES-3028 c подключенной к нему раб.станцией с IP 192.168.1.5.

не идут пинги с одной станции на другую и наоборот.

прилагаю конфиги 3560 и d-link 3028P:

[more=конфиг 3560][/more]cisco3560#show run
Building configuration...

Current configuration : 2280 bytes
!
! Last configuration change at 13:16:07 UTC Thu Jul 12 2012
! NVRAM config last updated at 13:11:48 UTC Thu Jul 12 2012
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco3560
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$mznQ$oWduofn.4PRfSsTuHkQO8.
enable password 7 0739245E471D160B1A465D45
!
no aaa new-model
system mtu routing 1500
ip subnet-zero
ip routing
no ip domain-lookup
ip domain-name mydomain
ip name-server 192.168.0.77
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
interface FastEthernet0/1
switchport access vlan 155
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 154
switchport mode access
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,154,155
switchport mode trunk
switchport nonegotiate
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 10.1.1.2 255.255.255.0
!
interface Vlan154
ip address 192.168.1.1 255.255.255.0
!
interface Vlan155
ip address 192.168.0.1 255.255.255.0
!
ip default-gateway 192.168.0.226
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.226
ip route 192.168.1.0 255.255.255.0 192.168.0.0
ip route 192.168.0.0 255.255.255.0 192.168.1.0
ip http server
ip http secure-server
!
!
control-plane
!
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
ntp server 192.168.0.77 version 2 source Vlan1
end


cisco3560#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Gi0/1, Gi0/2
154 goszakup active Fa0/2
155 buhg active Fa0/1
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
154 enet 100154 1500 - - - - - 0 0
155 enet 100155 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------[/more]


[more=конфиг 3028P][/more]DES-3028P:4#show switch
Command: show switch

Device Type : DES-3028P Fast Ethernet Switch
MAC Address : 34-08-04-95-85-8A
IP Address : 192.168.0.20 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.0.226
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.00.B27
Hardware Version : A2
Serial Number : P1D22B3000336
System Name : dlink20-operb
System Location :
System Contact :
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Disabled
VLAN trunk : Disabled
802.1x : Disabled
TELNET : Disabled
WEB : Enabled(TCP 80)
RMON : Disabled
SSH : Enabled(TCP 22)
SSL : Disabled
Clipaging : Enabled
Syslog Global State: Disabled
Dual Image : Supported
Password Encryption Status : Disabled

DES-3028P:4#show vlan
Command: show vlan


VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Enabled
Member Ports : 1-28
Static Ports : 1-28
Current Tagged Ports : 24
Current Untagged Ports : 1-23,25-28
Static Tagged Ports : 24
Static Untagged Ports : 1-23,25-28
Forbidden Ports :


Total Entries : 1

DES-3028P:4#[more][/more]

на обоих свитчах настроил 24 порт как транковый и соединил между собой.

ErlahA
Цитата:

ip route 192.168.1.0 255.255.255.0 192.168.0.0
ip route 192.168.0.0 255.255.255.0 192.168.1.0

Что за чушь? Шлюзом должен быть адрес хоста, а не сети.

vlary:
Я бы сказал по другому: а зачем вобще нужны записи ip route, если включена опция ip routing и обе подсети (192.168.0.0/24 и 192.168.1.0/24) являются connected?

ErlahA:
Я правильно понял что длинк подключен к каталисту транком? Тогда где у вас на длинке VLAN 154? По VTP длинк vlan-ы от каталиста точно не получит, т.к. VTP - это Cisco Proprietary.

И ещё из увиденного:
ntp server 192.168.0.77 version 2 source Vlan1 - время никогда в жизни не обновится, т.к. в VLAN 1 у вас подсеть 10.1.10/24.
ip default-gateway 192.168.0.226 - не имеет смысла, т.к. есть ip route 0.0.0.0....

DmitrySP
Цитата:

Я бы сказал по другому: а зачем вобще нужны записи ip route, если включена опция ip routing ...

Дело в том, что подобными идиотскими настройками можно вообще похерить нормальную работу девайса. Поэтому они не просто бесполезны, они вредны.

Привет всем.
Столкнулся с проблемой, оставил офис на растерзания одному админу (он сказал что он админ) на две недельки по я буду на море. А он гад, решил внести коррективы в нашу сеть. И что то сделал с Cisco WS-C2948G что он даже не включается. Внутри горит два зелёных светодиода. Загрузки в терминале не вижу. По его словах он просто хотел сбросить пароль (мог просто спросить)

Собственно прошу помощи

Он даже сохранил код последних операций в терменале


rommon 8 > promrestore
Are you sure you want to restore the PROM (y/n) [n]? y
Restoring PROM: copying 524288 bytes from 0x71000000 to 0x74300000
Erasing 524288 bytes at 0x74300000... Done!
Starting write of 524288 bytes to 0x74300000.(This will take a minute.)
PROM successfully restored!
rommon 9 > version
WS-C2948G bootrom version 6.1(4), built on 2001.07.30 14:43:26
H/W Revisions: Fin: 2 Head: 11 Board: 1
Supervisor MAC addresses: 00:09:44:36:58:00 through 00:09:44:36:5b:ff (1024 addr
esses)
Installed memory: 64 MB
rommon 10 > reset

Очень нужна Ваша помощь, а то не знаю что делать...

Забыл сказать что все кулера крутятся и на плате горят два зелёных диода CR5, CR6
В коммутаторе есть разьем PLCC-32 - но он пуст, нет микрухи, и о ней инфы тоже (была, или нет).

Здравствуйте!
Собираемся взять на пробу Catalyst 2950T-24 от нее интересует пока блокировка трафика между портами и разрешение работать только с одним или двумя и т.д.
то есть например порты с 1 по 22 могут работать только с 23-24 у и обратно порты 23-24 могут работать с 1-24
на DLink есть такая функция как - Traffic Segmentation в cisco этого нет, настроить Vlan не подходит так как а 23-24 портах стоит оборудование которое не может работать с Vlan, привязка ip к порту тоже не подходит так как на некоторых портах находятся целые подсети.
Что есть в этом коммутаторе что бы изолировать порты и разрешить им работать по определенному алгоритму?

vlh
Цитата:

Vlan не подходит так как а 23-24 портах стоит оборудование которое не может работать с Vlan

Что за чепуха? На практически любом коммутаторе, не обязательно Cisco, ты можешь настроить один или несколько port based VLAN, включить туда нужные порты, и они будут работать в полной изоляции. Причем для девайсов, туда подключенных, это будет выглядеть как отдельный физический свитч, и поддерживать тегирование им совершенно необязательно.