» Настройка Cisco оборудования

zubastiy 2901 все таки роутер а не свич, у него транк по другому настраивается

interface gigabitEthernet 0/1
no ip address
interface gigabitEthernet 0/1.2
encapsulation dot1Q 2
interface gigabitEthernet 0/1.5
encapsulation dot1Q 5

и так далее

я забыл дописать что роутеров в глаза не видел :) у меня только свитчи да логика.

Valery12
спасибо, буду пробовать!

Valery12
Цитата:

2901 все таки роутер а не свич, у него транк по другому настраивается

На самом деле это зависит от платформы, IOS, интерфейсного модуля, а не от того, свитч это или роутер...
На некоторых роутерах (1700 серии, например) вланы хранились в базе данных, и интерфейсы им назначались как раз командой switchport.
На более современных вланы организуются на субинтерфейсах,
типа gigabitEthernet 0/1.1, gigabitEthernet 0/1.2 и т.д.

Добрый день, коллеги!
Нужны файлы c3500xl-c3h2s-mz.120-5.WC3b.bin или c3500xl-c3h2s-mz.120-5.WC3b.tar. Пожалуйста помогите. Искал их на : Cisco IOS - нет в наличии.

V1968G Дорогой ты наш, подними глаза на шапку темы. Там ты найдешь (надеюсь), ссылку на тему в Варезнике, где ищут и раздают прошивки. Если там нет уже выложенной (хорошо ищется обычным текстовым поиском в версии страницы "для печати"), то попроси выложить.
А здесь это , мы люди законопослушные

Цитата:

На самом деле это зависит от платформы, IOS, интерфейсного модуля, а не от того, свитч это или роутер...
На некоторых роутерах (1700 серии, например) вланы хранились в базе данных, и интерфейсы им назначались как раз командой switchport.  
На более современных вланы организуются на субинтерфейсах,
типа gigabitEthernet 0/1.1, gigabitEthernet 0/1.2 и т.д.

ага, и все это обычно обозначается одним словом - RTFM

Только у нас почему-то это не принято

Цитата:

Только у нас почему-то это не принято

ткните плз носом в cisco.com, где про настройку транков на встроенных интерфейсах для 2901 (15.1) прочитать
для HWIC-4ESW - без проблем гуглится.

как надо думать, чтобы запрос составить? )

у меня пока ios 15.0 2901 trunk или encapsulation и всякие вариации не туда уводят.

cisco isr vlan

tankistua
не совсем то, но спасибо

после erase startup-config, router что то не грузиться вообще. Что нужно делать в таком случае? Вернее сказать не могу подсоединится к нему по консольному кабелю.

Очевидно нужно как при восстановлении пароля прервать загрузку и указать местоположение иоса. Если флеш, вставленную в слот, не увидит то загрузить иос с тфтп (ещё вариант бывает по z модему на 9600 по консоли). После загрузки прописать местоположение иоса для бут систем.

А закончились мои изыкания очень просто.
Приехал hp procurve 2650 и в связке с catalyst 2960 прекрасно заработал.

Но было полезно, спасибо за потраченное на меня время.

Ребят, добрый день.
Немного оффтопик, но надеюсь на вашу помощь и советы. Может быть уважаемый vlary тоже выскажет свое мнение.
У меня у самого есть только базовое представление о настройке и функционале оборудования циско. Однажды прослушал курс icnd1. Но фактического опыта работы нет.
В одну компанию нужно установить роутер со следующим функционалом:
1. Использовать два интернет канала от двух разных провайдеров. Один: это выделенный IP адрес (на 10 мегабит), другой роутер zyxel со свистком Yota в роли резервного канала на непонятно сколько мегабит. Схема работы такая: работают оба канала, но если падает основной канал, то все сервисы переносятся на Йоту.
2. На основной сервер выдать стабильную полосу пропускания. К примеру фиксированный мегабит.
3. Субарендаторам просто из каждого порта кидать в кабинет по витой паре. И что бы качественно работал шейпинг траффика. Т.е. к примеру по 256/512 килобит на 1 кабинет или типа того. (субарендаторов максимум кабинетов 10 будет)
4. Остальную ширину канала отдать на гостевой вайфай.
5. Я думаю проброс портов и впн сервер на внешнем интерфейсе это стандарт по умолчанию для любой железяки?
6. Вообще контора вся белая и пушистая, лицензионная, но в принципе я думаю им религия позволит в случае чего поставить прошивку где включится весь функционал.
7. В качестве ядра сети я думаю этот роутер выступать не будет. Поэтому порты можно выбрать 100 мегабитные (если это на цене сильно отразится). Траффик между сервером и локальными рабочими машинами сотрудников будет просто через какой нибудь гигабитный свич бегать. Может конечно тоже циско. Там своих сотрудников будет не больше 10 человек я думаю. А пока и того меньше.
8. Для сотрудников вайфая во внутреннюю сеть наверное не будет. А для интернета пусть используют гостевую сеть. В принципе вайфай тут уже отношение не имеет к обсуждаемому вопрос. Я так понимаю что я просто точку доступа повешу на 1 из портов и все.
9. Может я еще какой типовой функционал забыл?
Я посмотрел в интернете цены и растерялся. Стоимость от 30 до 200 тысяч рублей. В принципе цена в 30 тысяч меня не пугает. А вот к примеру в 60-80 уже в бюджет не влезет.
Заранее спасибо.

lypky
Цитата:

1. Использовать два интернет канала от двух разных провайдеров.

Легко. Смотреть в сторону policy based routing. Вот пример конфига для двух провайдеров:
Ссылка
2-3-4 Policing and Shaping Overview
5 - совершенно справедливо. На циске легко поднимаются как родные VPN (IPSec, SSL WebVPN), так и стандартные L2TP/IPSec, PPTP. Ну и НАТ в обе стороны.
6-7-8 - скип.
9 - лучше смотреть в сторону старых серий, можно даже подержанную купить, хуже они не становятся. В новой серии напряги с лицензированием, морока с заказом железок со встроенным шифрованием, ну и дороже они...
Вот сравнительный анализ пропускной способности для разных серий: Ссылка

vlary
добрый день. Спасибо за внимание.

А можно чуть более конкретно? Мне друг (который разбирается в вопросе больше меня) порекомендовал обратить внимание в сторону ASA (к примеру 5505).
Цены в базовой комплектации у них просто смешные (в интернет магазинах от 12К за 10 пользователей). Но плюс еще надо будет купить свич от циско Cisco Catalyst 2960 [WS-C2960-24TC-L] к примеру.

Но я даже не уверен смогу ли я за разумное время настроить в Асе проброс портов. И публикацию того или иного сервиса. Это же можно на асе?

Что вы думаете об этом?

На что обратить внимание в вашей ссылке про анализ пропускной способности?
У меня в распоряжении есть каталист 2811. У него максимальная пропускная способности 61 мегабит? Хватит ли этого для моих целей?


Спасибо за терпение.

lypky
Цитата:

Мне друг (который разбирается в вопросе больше меня) порекомендовал обратить внимание в сторону ASA

С Асой дела никогда не имел, информацию о ней лучше поискать в этой теме: Настройка Cisco PIX Firewall / ASA И ASA - это не роутер, а прежде всего фаервол. Несколько разные вещи...

Цитата:

У меня в распоряжении есть каталист 2811. У него максимальная пропускная способности 61 мегабит?

Серия "каталист" - это свитчи, их пропускная способность определяется скоростью портов. А C2811 в том документе - это Cisco 2811 Integrated Services Router.

lypky
Можно асу поставить, но ИМХО для вашей задачи это из пушки по воробьям.
Кроме того, такие вещи как два канала на асе не так просто сделать.

В вашем случае периферия это роутер 18xx/28xx или 19xx/29xx + ядро на свитче 2960/3560 + для wifi точки доступа 11хх/13хх...если все на cisco.

продолжил ковырятся с


Цитата:

ткните плз носом в cisco.com, где про настройку транков  на встроенных интерфейсах для 2901 (15.1) прочитать
для HWIC-4ESW - без проблем гуглится.

интересующий меня вариант - несколько vlan за коммутатором + trunk на isr - называется router on a stick

прекрасная how to - http://xgu.ru/wiki/vlan
я даже понял почти все )

vlary
спасибо, сейчас там задам вопрос.И да, аса это фаервол, но в моем случае разве это и не нужно? В ближайшее время мультифилиальной сети не намечается. Каких то хитрых маршрутов вроде бы делать не нужно. Может быть Аса будет в самый раз.

mxtvbk
А почему это Аса из пушки по воробьям? Если я правильно понял ценообразование - Аса наоборот дешевле? Нет?

Здравствуйте!
cisco 2950T-24, сеть без vlan? все в одном сегменте, подскажите если на ней возможность сделать связку IP+MAC, то есть в сети есть сервера (web, ftp, интернет шлюз и т.д.) нужно что бы через коммутатор не могли проходить другие связки, то есть защита от неопытных или очень опытные пользователи в момент настройки протокола TCP прописывают себе IP этих серверов.

vlh

Как вариант вам стоит поднять DHCP сервер и настроить DHCP Snoofing. После этого добавить в Базу данных статическую запись о привязке.

Ребят, еще вопрос. Он немного оффтопик, но все же может кто в личку или так ответит.
Для своих нехитрых целей решил выбрать связку:
CISCO1921/K9 + WS-C2960-24TC-L

Сам офис находится во Владивостоке, поэтому тут и цены подороже и в наличии товара мало.

1. И вопросы такие: CISCO1921/K9 - это модель без шифрования. Можно ли будет в дальнейшем докупить лицензию на шифрование или само железо не позволит включить шифрование AES для впн?

2. Второе - где в Москве можно недорого приобрести сабж. Ну чтобы наш представитель зашел туда - взял два свича в руки, заплатил и ушел?

3. Как работает гарантия циско? Если я куплю в мало мальски приличном магазине с чеком и всеми делами, то будет ли работать гарантия интернациональная? Или в случае проблем с оборудованием только к продавцу нужно обращаться?

Заранее спасибо.

lypky, по последнему вопросу... Пофигу где купил, но придётся регистрировать каждую железку у партнёра сиско системс и платить в год примерно штукарь вечно зелёных (зависит от железки) за единицу железа за поддержку (в том числе замена на новую).
На остальное не отвечу, но опять же нужно обращаться к партнёрам сиско системс. Список партнёров на сайте сиско системс.

JonJonson
так там же вся железяка стоит меньше тыщи?

Просто дилемма - тут скажем можно железяку купить за 35 рублей в приличной конторе Ланит ДВ. В Москве за 25 к примеру. Перевести не проблема. Если гарантия и регистрация у партнера стоит +30К, то какой тогда смысл?

Или я чего то не понимаю?

Спасибо.

lypky, цену нужно уточнять. Но насколько знаю, партнёров сиско системс не волнует за сколько вы купили. Они берут деньги за поддержку. туда входит замена по аварии и консультации по настройке того что вам нужно. Плюс IOS свежий, если нужен. А держать спеца с сертификатами дело не дешевое.

JonJonson
не совсем так. Саму cisco не волнует за сколько вы купили. А партнер продает по цене, зависящей от его жадности и доступной ему скидки от GPL

народ, вот конфа

Код: [no]
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c1841br
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone KYIV 2
clock summer-time KYIV recurring last Sun Mar 2:00 last Sun Oct 3:00
clock calendar-valid
ip cef
!
!
!
!
no ip domain lookup
ip domain name ...
ip host members.dyndns.org 204.13.248.112
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method dyndns
HTTP
add ...
remove ...
interval maximum 28 0 0 0
interval minimum 28 0 0 0
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-261599588
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-261599588
revocation-check none
rsakeypair TP-self-signed-261599588
!
!
crypto pki certificate chain ....
quit
username ... privilege 15 secret 5 ...
username .. privilege 15 secret 5 ..
username .. privilege 15 secret 5 ..
username .. password 0 ...
!
!
!
!
!
bba-group pppoe global
!
!
interface Tunnel0
bandwidth 1024
ip address 192.168.202.3 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
ip nhrp authentication nhrp
ip nhrp map 192.168.202.1 217.77.210.202
ip nhrp map multicast 217.77.210.202
ip nhrp network-id 1
ip nhrp nhs 192.168.202.1
ip nhrp registration no-unique
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1
description Link-to-ADSL-Internet-modem
ip address ...
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Dialer1
mtu 1492
ip ddns update hostname ...
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap ...
!
router eigrp 1
redistribute connected
network 192.168.202.0
distribute-list 25 out
distribute-list 24 in
no auto-summary
!
ip local pool vpn_pool 10.31.4.200 10.31.4.230
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 170 interface Dialer1 overload
ip nat inside source static tcp 10.31.4.11 9966 interface Dialer1 9966
ip nat inside source static tcp 10.31.4.11 5651 interface Dialer1 5651
ip nat inside source static tcp 10.31.4.12 26666 interface Dialer1 26666
ip nat inside source static tcp 10.31.4.11 16666 interface Dialer1 16666
ip nat inside source static tcp 10.31.4.10 5655 interface Dialer1 5655
ip nat inside source static tcp 10.31.4.10 5670 interface Dialer1 5670
!
access-list 23 permit 192.168.72.24
access-list 23 permit 213.227.248.68
access-list 23 permit 10.31.0.0 0.0.0.255
access-list 23 permit 10.31.4.0 0.0.0.255
access-list 23 permit 217.77.210.200 0.0.0.7
access-list 23 permit 192.168.202.0 0.0.0.255
access-list 24 permit 192.168.0.0 0.0.255.255
access-list 24 permit 10.31.0.0 0.0.255.255
access-list 25 permit 192.168.202.3
access-list 25 permit 192.168.107.0 0.0.0.255
access-list 25 permit 10.31.4.0 0.0.0.255
access-list 70 permit 192.168.107.1
access-list 70 permit 192.168.107.10
access-list 70 permit 192.168.107.12
access-list 170 permit ip host 10.31.4.11 any
access-list 170 permit ip host 10.31.4.12 any
access-list 170 permit ip host 10.31.4.10 any
access-list 170 permit ip host 10.31.4.14 any
access-list 170 permit ip host 10.31.4.18 any
access-list 170 permit ip host 10.31.4.5 any
access-list 170 permit ip host 10.31.4.201 any
[/no]

народ подскажите как мне посмотреть пакеты которые приходят на определенный интерфейс ISR 3945 и решения роутера по ним (отправить туда-то, дропнуть, ...) ?

demon1981 если есть ACL на этом интерфейсе - добавить к нужным строчкам LOG если нет то создать с правилом разрешающим любой трафик и опять же добавить LOG
перед этим стоит поднять syslog сервер и настроить на него роутер, что бы не возиться с консолью