» Настройка Cisco оборудования

добрый день.

Переезжаю с PIX515 + 8 штука удаленных сетей за ASA5505 на cisco1811 + удаленные сети за ASA



В центре теперь cisco1811 - 192.168.7.0/24
В сети 192.168.7.0/24 есть OVPN сервер к которому прицеплено несколько удаленных сетей. Одна из них 192.168.2.0/24




Настроил, но есть проблемы. Из центральной (и удаленной сети за OVPN) сети удаленные сети начинают быть доступны только после того как выполнен какой либо запрос с хоста удаленной сети в центральную сеть.

Тобишь пока не выполнена инициализация соединения из удаленной сети - попасть на хосты в удаленной сети нет возможности.

Что можно сделать (помимо скрипта который в удаленной сети будет опрашивать все сетки ))))

Построил между ASA5505 и cisco1811 IPSEC как говорит cisco.com



в построении отличие, у меня множество сетей а в примере одна.


на cisco1811 получилось так.


Код: crypto isakmp policy 1
encr aes
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
crypto isakmp key rk.cljcnegf address ccccc36.20
crypto isakmp key rk.cljcnegf address cccccc10.186
crypto isakmp key rk.cljcnegf address ccccc107.34
!
!
crypto ipsec transform-set IPSEC-SET esp-3des esp-sha-hmac
!
crypto map ipsec-map 1 ipsec-isakmp
set peer ccccc
set peer ccc79.29.71
set peer cccc236.30
set peer cccc100.186
set transform-set IPSEC-SET
match address to-ipsec-networks

interface FastEthernet1
ip address eeeeeee.226 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map ipsec-map

ip access-list extended to-ipsec-networks
permit ip 192.168.2.0 0.0.0.255 192.168.33.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.33.0 0.0.0.255
permit ip 192.168.7.0 0.0.0.255 192.168.33.0 0.0.0.255
permit ip 192.168.72.0 0.0.0.255 192.168.33.0 0.0.0.255
permit ip 192.168.92.0 0.0.0.255 192.168.33.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.7.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.72.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.92.0 0.0.0.255 192.168.40.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.54.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.54.0 0.0.0.255
permit ip 192.168.7.0 0.0.0.255 192.168.54.0 0.0.0.255
permit ip 192.168.72.0 0.0.0.255 192.168.54.0 0.0.0.255
permit ip 192.168.92.0 0.0.0.255 192.168.54.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.37.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.37.0 0.0.0.255
permit ip 192.168.7.0 0.0.0.255 192.168.37.0 0.0.0.255
permit ip 192.168.72.0 0.0.0.255 192.168.37.0 0.0.0.255
permit ip 192.168.92.0 0.0.0.255 192.168.37.0 0.0.0.255

Прошу помощи.
Имеется CISCO 881 и ADSL модем. Задача: настроить инет на киске. Прописываю


Код:
interface fastEthernet4
description wan
ip address dhcp client-id FastEthernet4
no shutdown
ip nat outside
interface vlan10
ip nat inside
exit
ip access-list extended nat
permit ip 10.0.14.0 0.0.0.255 any
exit
ip nat inside source list nat interface fastEthernet4 overload

дефолтный маршрут вы получаете от модема (ибо он dhcp сервер для wan). следовательно нужно именно на модеме настроить правильную раздачу.

Netw0rk
Цитата:

Имеется CISCO 881 и ADSL модем

Причем тогда dhcp? Вроде как через ADSL обычно PPPoE поднимается?

Цитата:

Причем тогда dhcp? Вроде как через ADSL обычно PPPoE поднимается?

PPPoE модем сам поднимает.

Решено. Методом тыка и перебора. Прописал
Код: ip route 0.0.0.0 0.0.0.0 DHCP

Netw0rk

Цитата:

PPPoE модем сам поднимает

Ну и назачем это? Настраивай модем бриджем, и поднимай
PPPoE на циске.

Цитата:

Ну и назачем это? Настраивай модем бриджем, и поднимай
PPPoE на циске.

А зачем это? Есть уже настроенные модемы поднимающие PPPoE. Есть уже готовый скрипт конфига для киски. Что мне даст поднятый PPPoE на киске и чем он так плох на модеме?

Netw0rk

А зачем тебе тогда вообще циско ? Ставь момед настраивай на нем ДХЦП , раздавай клиентам интернет.
Ну а циску спряч, а лучше сожги ©

Цитата:

Netw0rk
 
А зачем тебе тогда вообще циско ? Ставь момед настраивай на нем ДХЦП , раздавай клиентам интернет.  
Ну а циску спряч, а лучше сожги ©

скорее всего, это дополнительная сложность, по этому Netw0rk не хочет плодить новую сущность (настройка аутенфикации на циске)

Добавлено:
Добрый день еще раз.

Есть cisco 1811 ios 12.4

На ней подняты тоннели до удаленных сетей - ASA5505 и DMVPN до cisco 8XX

На этой же циске хочу поднять еще клиентский L2TP VPN, но боюсь развалить существующую схему подключения.

Возможно ли это реализовать?
Текущий конфиг


Код:
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
crypto isakmp key to asa address asa-ip-address
crypto isakmp key key-to-dmvpn address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set IPSEC-SET esp-3des esp-sha-hmac
crypto ipsec transform-set Z-Trasf-Set esp-aes esp-sha-hmac
!
crypto ipsec profile Z-Profile
set transform-set Z-Trasf-Set
!
!
crypto map ipsec-map 1 ipsec-isakmp
set many asa ip
set transform-set IPSEC-SET
match address to-ipsec-networks

interface Tunnel0
всякая фигня про настройки тоннеля
tunnel protection ipsec profile Z-Profile

interface FastEthernet1
ip address wan-ip
crypto map ipsec-map

Цитата:

А зачем тебе тогда вообще циско ?

Я не считаю нужным обрисовывать всю ситуацию. А так же объясняться почему это вдруг мне захотелось раздавать инет через cisco а не через модем. Так же я не вижу ничего плохого в авторизации самим модемом. Был конкретный затык в виду малого опыта администрирования кисок.

ktoto1
Если не знаете ответ на конкретный вопрос лучше воздержаться.

zubastiy
Телепат? Первый форум где живого телепата вижу
Действительно не хотелось заморачиваться с авторизацией PPPoE. Но как сегодня выяснилось. Придется. Нашлись 2 офиса где инет идет по выделенке от всем известного проавйдера а авторизация она самая. Интересно они когда нибудь откроют для себя p2p хотя бы для юрлиц?

Если у когонить пробегала инфа как настроить PPPoE прошу поделиться

Цитата:

сразу понятно, нужно либо использовать для клиентов key от dmvpn spoke либо явно указывать ip (что не возможно по ряду причин) - это в целом, не большая проблема. но что делать с policy и динамической криптомапой, которую нужно будет повестить на внешний интерфейс, где уже есть крипто мапа для asa?

zubastiy я в прошлом году в этой теме вариант предлагал, ключевое слово "crypto keyring"

Netw0rk

Цитата:

Я не считаю нужным....

Ну тогда прости дружище. Добро пожаловать сюда. Там нет необходимости объясняться В нормальном объяснении проблемы уже наполовину есть содержание решения этой проблемы.

Цитата:

zubastiy я в прошлом году в этой теме вариант предлагал, ключевое слово "crypto keyring"

Спасибо, "crypto keyring" то что нужно.
Указующий перст от Valery12 - как всегда точен.

Netw0rk
Цитата:

Имеется CISCO ASA 5510.

Не совсем в тему...
Настройка Cisco PIX Firewall / ASA
В шапке есть, кстати.

vlary
Упс. Виноват. Исправлюсь.

Помогите настроить dial plan на аппарате spa504g, так что бы 3-х значные номера можно было набирать только которые начинаются с 5-ки, а всё что начинается на 9 разрешить полностью (что то типа звонки совершать можно только внутри своей группы и соответственно выход в город через 9)
Спасибо

Имеется основной офис, который выходит в инет через Cisco ASA5505, на ней поднят DHCP и VPN (подключение по IPSec) , при подключении по VPN клиентам выдаются ip-адреса из той же подсети, что и внутренним клиентам (только пул DHCP начинается с 192.168.0.30, а пул для VPN клиентов с 192.168.0.130)
Так же имеется дополнительный офис, в котором до последнего времени выход в инет был просто через мегафон-модем, воткнутый в роутер (TP-Link TL-MR3020). И клиенты подключались по VPN к основному офису. Сейчас потребовалась удаленная печать и управление и достали Cisco 881, которую необходимо по VPN подцепить к основному офису, проблема в том, что способ получения инета изменить нельзя, а значит в инет смотреть она будет так же через маршрутизатор, поэтому вопрос что необходимо настроить на 881, чтобы она могла поддерживать VPN туннель с основным офисом, поднимать его при обрыве связи и позволяла раздавать IP-адреса клиентам в дополнительном офисе через этот туннель. И какую лицензию требуется докупить чтобы 881 позволяла поднимать VPN-тунели?

Lord_NIKON
не совсем понятно какая предполагается цель использования 881 (как маршрутизатор сможет помочь с удаленной печатью и управлением?). Если бы TP-Link можно было бы в режиме бриджа настроить, то теоретически на 881 можно было бы поднять vpn lan2lan с asa.

И как вы предполагаете раздавать ip адреса через vpn? Только если это будет l2 vpn...
Для поддержки ipsec на 881 нужен IOS без слов npe в имени файла.
ios-ы в варезнике.

Подскажите: Что я делаю не так, не получается зайти на Cisco Catalyst 2960.
Используется
Ноут Бук HP ProBook 6540b c COM портом
Windows 7 32bit
программа Hyper Terminal, Putty
используется порт COM1,кабель синего цвета в комплекте
Настройки COM1/9600/8/1/none|None (настройки менялись но всё не осталось на прежнем уровне)
Последовательность подключения:
Включаю Putty или Hyper Terminal, потом включаю cisco
Может есть какая то или какие то хитрости, по подсоединению?
Пустое окно ни чего не происходит

shkidok Сколько минут ждали? Пару минут? Сделайте наоборот что ли, включите циску, подождите 2-3 минуты, запустите терминал и нажмите в окне Enter.

Добрый день!

В наличии следующая схема:

/ -> H.323 -> ITSP
Avaya -> E1 -> C2921
\ -> E1 - POTS

Задача:
1. С номеров 100, 101, 102 отправить звонки в ITSP
2. C номеров 1хх отправить звонки в POTS

Первая мысль которая пришла в голову - использовать COR. К сожалению, вся найденная документация описывает вариант с ephone, чего у меня нет.

Вторая мысль - использовать TCL-скрипт, который в dial-peer'е будет проверять called/calling номера и блокировать, если находит соответсвия.

Вопрос: есть ли путь проще? Если да, то подскажите пожалуйста куда копать дальше.

Спасибо

P.S. Будь вместо Avaya установлен CUCM, вопроса бы не было...

rakis
зачем COR, зачем TCL ???
для вашего случая используйте
dial-peer voice 111 voip
answer-address ^10[0-2]$
destination-pattern ipv4:x.x.x.x

dial-peer voice 222 pots
answer-address ^1..$
port y/y/y

mxtvbk
Спасибо
В том и беда, что не работает у меня с answer-address , иначе и не думал бы об альтернативах

Конфиг ниже
dial-peer voice 81 voip
answer-address ^10[0-2]$
destination-pattern 8T
session target ipv4:1.2.3.4
codec g729br8
dtmf-relay h245-alphanumeric
ip qos dscp cs5 media
ip qos dscp cs3 signaling

dial-peer voice 82 pots
answer-address ^1..$
destination-pattern 8T
progress_ind alert enable 8
port 0/2/0:15

rakis
в таком случае смотрите debug voip ccapi inout

Приветствую.
Не пинайте строго, если не в ту тему. Но по CISCO не знаю куда писать.
Подскажите пожалуйста по оборудованию:
Нужна железка с 2мя WLAN (будет приходить 2 провайдера), как минимум 16 портов (или 24), которые можно разделить на 2vlan - 8 портов под телевидение от провайдера и 8 портов под непосредственно интернет. Соответственно, что бы железка могла переключатся между WLANами в случае падения одного из провайдеров. Провайдер работает по l2tp Ещё нужен проброс портов и хорошая скорость работы. + железке надо подключить WIFI для раздачи интернета.
Сейчас есть обычный домашний ASUS RT16-N и Catalist 2960, на котором я планировал сделать 2 vlan, но подумал - вдруг есть готовое решение, что бы огород не городить?

Простите за ламерские вопросы.

Zvuv1
Цитата:

Нужна железка с 2мя WLAN, как минимум 16 портов (или 24)

У вас, уважаемый, в голове полнейшая каша. Тут уже пахнет незнанием не CISCO, а вообще сетевых технологий.
WLAN - это обычно Wireless Local Area Network, беспроводная локальная сеть, а WAN порт (Wide Area Network) - это порт маршрутизатора, смотрящий в сторону провайдера.
В отличие от "домашних" роутеров, WAN и LAN порты в Cisco никак не различаются, вы сами выбираете, какие будут WAN, а какие - LAN.
Как минимум 16 портов (или 24) - это уже прерогатива коммутаторов, а не маршрутизаторов.
Вам нужно будет просто докупить свитч (не обязательно тоже Cisco, но лучше не D-Link).
Можете использовать тот же Catalist, если мало портов, купить еще один.
Обычно на "средней" циске 2 Ethernet интерфейса, но никто не мешает докупить дополнительный модуль с одним, двумя или четырьмя Ethernet портами.
Но даже имея всего два Ethernet интерфейса, вам никто не помешает разбить один их на несколько VLAN (не путать с WLAN!) - по числу провайдеров.
Переключатся между WLANами провайдерами в случае падения одного из них умеют почти все циски, при правильной их настройке, ессно.
WIFI тут вообще не при делах, хотя у циски, конечно, есть и точки доступа, типа Aironet, и младшие модели роутеров с беспроводным модулем.
Так что взять что-то "в одном флаконе", что одним махом решит все ваши задачи, вам однозначно не удастся.
А за остальным welcome в профильные темы:
Выбор роутера (router)
Выбор коммутатора (switch)
Выбор оборудования (Wi-Fi) для организации беспроводной сети

Добрый день.

Помогите плз советом.

Есть помещение (точка присутствия) куда приходит два провайдера.
По свичу на каждого провайдера.
От одного провайдера получаем два линка (задействовано 2 порта на свиче прова) и от другого провайдера 3 линка. Суммарная полоса пропускания порядка 300 мбпс

Есть второе помещение, куда нужно "притащить" эти линки.
Между помещениями оптика

Из оборудования сейчас только catalist 2960 и isr 2901 + HWIC-4ESW
В конечном итоге нужно получить публичные IP на портах HWIC-4ESW и nat для обычных клиентов.

Думается мне вот так.
Линки от провайдеров втыкать в catalist 2960.
отдельный vlan (201, 202, 203 и тд) на каждый линк и trunk в гигабитный порт скоммутированный с оптическим конвертером.

Возможно ли на 2901 один из гигабитных портов перевести в транк, для двух vlan 201 и 202 (делать свичинг в порты на HWIC-4ESW, а для остальных vlan делать nat на втором интерфейсе?

нат разве работает только на физическом интерфейсе ? разве на влан-е не будет работать?

Логика следующая:
1) поднимаешь между цисками транк
2) на 2901 поднимаешь интерфейс vlan201, на него вешаешь внешний айпишник, клиентов запихиваешь в другой влан, например 303 загоняешь в него всех клиентов, поднимаешь интерфейс vlan303 на 2901 тоже. Дальше делаешь нат.
3) с аса вообще никаких проблем не вижу - просто запихиваешь ее в 201 влан и цепляешь внешний нужный айпишник

*1) поднимаешь между цисками транк *
switchport mode trunk на isr2901 работает только на интерфейсах HWIC-4ESW
на гигабитном интерфейсе нет такого.

cisco2901r2-ek(config)#interface gigabitEthernet 0/1
cisco2901r2-ek(config-if)#switchport mode trunk
^
% Invalid input detected at '^' marker.

нужен именно гигабитный транк (
*нат разве работает только на физическом интерфейсе ? разве на влан-е не будет работать? *
будет конечно, это я "образно" написал.

switchport mode для встроенных интерфейсах на 2901 отсутствует вовсе (