» Настройка Cisco оборудования

881W
В локальной (проводной) сети на одном компе не могу настроить статику (в динамике работает). Со статикой нет интернета, перезагрузка не помогает. Где рыть?

version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname RTR881W
!
boot-start-marker
boot system flash:c880data-universalk9-mz.153-3.M1.bin
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 8
logging buffered 51200 informational
!
no aaa new-model
clock timezone MSK 4 0
service-module wlan-ap 0 bootimage autonomous
!
crypto pki trustpoint tti
revocation-check crl
!
crypto pki trustpoint TP-self-signed-1084056278
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1084056278
revocation-check none
rsakeypair TP-self-signed-1084056278
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-1084056278
certificate self-signed 01 nvram:IOS-Self-Sig#C.cer
!
ip dhcp excluded-address 192.168.1.1 192.168.1.100
!
ip dhcp pool Private
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 77.37.255.30 77.37.251.33
domain-name home
!
ip dhcp pool Guest
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
dns-server 8.8.8.8
!
no ip domain lookup
ip domain name home
ip host mznas.dyndns.org 192.168.1.63
ip host mike1st.no-ip.org 192.168.1.107
ip name-server 77.37.255.30
ip name-server 77.37.251.33
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
license udi pid CISCO881W-GN-A-K9 sn <skipped>
license accept end user agreement
license boot module c880-data level advipservices
!
archive
log config
hidekeys
username Mike privilege 15 view root secret 4 <skipped>
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
<skipped>
quit
!
no ip ftp passive
!
interface FastEthernet0
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
switchport access vlan 12
no ip address
!
interface FastEthernet3
switchport access vlan 12
no ip address
!
interface FastEthernet4
description ISP Connection
ip address dhcp
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 1024
duplex auto
speed auto
no cdp enable
!
interface wlan-ap0
description Service module to manage the enbedded AP
ip address 192.168.3.3 255.255.255.0
ip flow ingress
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
switchport mode trunk
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip directed-broadcast
ip flow ingress
ip nat inside
ip virtual-reassembly in max-reassemblies 1024
ip tcp adjust-mss 1452
!
interface Vlan12
description Guest Vlan
ip address 172.16.1.1 255.255.255.0
ip virtual-reassembly in
!
interface Dialer0
no ip address
!
interface vmi1
no ip address
!
ip forward-protocol nd
ip forward-protocol udp discard
ip forward-protocol udp echo
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
!
ip nat pool passive_FTP 192.168.1.63 192.168.1.63 netmask 255.255.255.0 type rotary
ip nat pool NAS_Bittorrent 192.168.1.63 192.168.1.63 netmask 255.255.255.0 type rotary
ip nat pool RAC 192.168.1.2 192.168.1.2 netmask 255.255.255.0 type rotary
ip nat inside source list NAT_ALLOWED interface FastEthernet4 overload
ip nat inside source static tcp 192.168.1.2 30539 interface FastEthernet4 30539
ip nat inside source static udp 192.168.1.2 30539 interface FastEthernet4 30539
ip nat inside source static tcp 192.168.1.4 57649 interface FastEthernet4 57649
ip nat inside source static udp 192.168.1.4 57649 interface FastEthernet4 57649
ip nat inside source static tcp 192.168.1.2 13852 interface FastEthernet4 13852
ip nat inside source static tcp 192.168.1.2 5650 interface FastEthernet4 5650
ip nat inside source static tcp 192.168.1.2 5651 interface FastEthernet4 5651
ip nat inside source static tcp 192.168.1.63 20 interface FastEthernet4 20
ip nat inside source static tcp 192.168.1.63 221 interface FastEthernet4 221
ip nat inside source static tcp 192.168.1.63 23 interface FastEthernet4 23
ip nat inside source static tcp 192.168.1.63 22 interface FastEthernet4 22
ip nat inside source static tcp 192.168.1.63 873 interface FastEthernet4 873
ip nat inside source static tcp 192.168.1.63 53 interface FastEthernet4 53
ip nat inside source static tcp 192.168.1.63 80 interface FastEthernet4 80
ip nat inside source static tcp 192.168.1.63 111 interface FastEthernet4 111
ip nat inside source static udp 192.168.1.63 111 interface FastEthernet4 111
ip nat inside source static tcp 192.168.1.63 892 interface FastEthernet4 892
ip nat inside source static udp 192.168.1.63 892 interface FastEthernet4 892
ip nat inside source static tcp 192.168.1.63 2049 interface FastEthernet4 2049
ip nat inside source static udp 192.168.1.63 2049 interface FastEthernet4 2049
ip nat inside source static udp 192.168.1.63 137 interface FastEthernet4 137
ip nat inside source static udp 192.168.1.63 138 interface FastEthernet4 138
ip nat inside source static udp 192.168.1.63 139 interface FastEthernet4 139
ip nat inside source static tcp 192.168.1.63 25 interface FastEthernet4 25
ip nat inside source static tcp 192.168.1.63 110 interface FastEthernet4 110
ip nat inside source static tcp 192.168.1.63 143 interface FastEthernet4 143
ip nat inside source static tcp 192.168.1.63 993 interface FastEthernet4 993
ip nat inside source static tcp 192.168.1.63 995 interface FastEthernet4 995
ip nat inside source static tcp 192.168.1.63 389 interface FastEthernet4 389
ip nat inside source static udp 192.168.1.63 389 interface FastEthernet4 389
ip nat inside source static tcp 192.168.1.2 443 interface FastEthernet4 443
ip nat inside source static tcp 192.168.1.2 8080 interface FastEthernet4 8080
ip nat inside source static tcp 192.168.1.63 445 interface FastEthernet4 445
ip nat inside source static udp 192.168.1.63 445 interface FastEthernet4 445
ip nat inside source static tcp 192.168.1.63 537 interface FastEthernet4 537
ip nat inside source static udp 192.168.1.63 537 interface FastEthernet4 537
ip nat inside source static tcp 192.168.1.63 989 interface FastEthernet4 989
ip nat inside source static tcp 192.168.1.63 990 interface FastEthernet4 990
ip nat inside source static tcp 192.168.1.63 548 interface FastEthernet4 548
ip nat inside source static tcp 192.168.1.63 3260 interface FastEthernet4 3260
ip nat inside source static tcp 192.168.1.63 3306 interface FastEthernet4 3306
ip nat inside source static udp 192.168.1.63 3306 interface FastEthernet4 3306
ip nat inside source static tcp 192.168.1.63 3689 interface FastEthernet4 3689
ip nat inside source static tcp 192.168.1.63 4662 interface FastEthernet4 4662
ip nat inside source static udp 192.168.1.63 4672 interface FastEthernet4 4672
ip nat inside source static tcp 192.168.1.63 5000 interface FastEthernet4 5000
ip nat inside source static tcp 192.168.1.63 5001 interface FastEthernet4 5001
ip nat inside source static tcp 192.168.1.63 5432 interface FastEthernet4 5432
ip nat inside source static udp 192.168.1.63 5432 interface FastEthernet4 5432
ip nat inside source static tcp 192.168.1.63 5353 interface FastEthernet4 5353
ip nat inside source static udp 192.168.1.63 5353 interface FastEthernet4 5353
ip nat inside source static udp 192.168.1.63 9997 interface FastEthernet4 9997
ip nat inside source static udp 192.168.1.63 9998 interface FastEthernet4 9998
ip nat inside source static udp 192.168.1.63 9999 interface FastEthernet4 9999
ip nat inside source static udp 192.168.1.2 9 interface FastEthernet4 9
ip nat inside source static udp 192.168.1.2 64999 interface FastEthernet4 64999
ip nat inside source static tcp 192.168.1.2 8600 interface FastEthernet4 8600
ip nat inside source static tcp 192.168.1.2 5123 interface FastEthernet4 5123
ip nat inside source static tcp 192.168.1.2 5120 interface FastEthernet4 5120
ip nat inside source static tcp 192.168.1.2 623 interface FastEthernet4 623
ip nat inside source static udp 192.168.1.2 623 interface FastEthernet4 623
ip nat inside source static tcp 192.168.1.2 80 interface FastEthernet4 80
ip nat inside source static tcp 192.168.1.2 7578 interface FastEthernet4 7578
ip nat inside source static tcp 192.168.1.2 443 interface FastEthernet4 443
ip nat inside source static udp 192.168.1.2 161 interface FastEthernet4 161
ip nat inside destination list NAS_Bittorrent_ACL pool NAS_Bittorrent
ip nat inside destination list RAC_ACL pool RAC
ip nat inside destination list passive_FTP_ACL pool passive_FTP
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip access-list extended NAS_Bittorrent_ACL
permit tcp any any range 6881 6891
ip access-list extended NAT_ALLOWED
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended RAC_ACL
permit tcp any any range 8700 8762
ip access-list extended passive_FTP_ACL
permit tcp any any range 55536 55663
!
ip sla auto discovery
ip sla 1
http get <skipped>
ip sla schedule 1 life 86000 start-time now recurring
ip sla 2
http get <skipped>
ip sla schedule 2 life 86000 start-time now recurring
ip sla 3
http get <skipped>
ip sla schedule 3 life 86000 start-time now recurring
kron occurrence TIME in 5:0 recurring
!
kron policy-list TIME
cli ntp server pool.ntp.org prefer source fa4
!
logging trap debugging
access-list 10 permit 192.43.244.18
access-list 10 remark NTP
access-list 101 remark My list
access-list 101 permit udp host 192.43.244.18 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 remark RMS & RAC
access-list 101 permit tcp any any range 5650 5651
access-list 101 permit tcp any any eq 8600
access-list 101 remark utorrent DHT
access-list 101 permit tcp any any eq 30539
access-list 101 permit udp any any eq 30539
access-list 101 permit tcp any any eq 57649
access-list 101 permit udp any any eq 57649
access-list 101 remark NAS begins
access-list 101 remark FTP port 21 blocked by MTS 21->221
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq 221
access-list 101 remark Passive FTP
access-list 101 permit tcp any any range 55536 55663
access-list 101 remark telnet: port 23 blocked by MTS
access-list 101 permit tcp any any eq telnet
access-list 101 remark SSH/Ecrypted Network Backup
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 873
access-list 101 remark DNS
access-list 101 permit tcp any any eq domain
access-list 101 remark PhotoStation 2+ Video, Web Service: port 80 blocked by MTS
access-list 101 permit tcp any any eq www
access-list 101 remark NFS
access-list 101 permit tcp any any eq sunrpc
access-list 101 permit udp any any eq sunrpc
access-list 101 permit tcp any any eq 892
access-list 101 permit udp any any eq 892
access-list 101 permit tcp any any eq 2049
access-list 101 permit udp any any eq 2049
access-list 101 remark NTP server
access-list 101 permit udp any any eq ntp
access-list 101 remark NetBIOS: ports 137-139 blocked by MTS
access-list 101 permit udp any any range netbios-ns netbios-ss
access-list 101 remark Mail Station: port 25 blocked by MTS
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq 993
access-list 101 permit tcp any any eq 995
access-list 101 remark LDAP
access-list 101 permit tcp any any eq 389
access-list 101 permit udp any any eq 389
access-list 101 remark HTTPS: port 443 blocked by MTS 443->1443
access-list 101 permit tcp any any eq 443
access-list 101 remark Microsoft-ds (CIFS): port 445 blocked by MTS
access-list 101 permit tcp any any eq 445
access-list 101 permit udp any any eq 445
access-list 101 remark Network Media Streamig Protocol
access-list 101 permit tcp any any eq 537
access-list 101 permit udp any any eq 537
access-list 101 remark FTP over TLS/SSL
access-list 101 permit tcp any any eq 989
access-list 101 permit tcp any any eq 990
access-list 101 remark Apple Filing Protocol
access-list 101 permit tcp any any eq 548
access-list 101 remark iSCSI
access-list 101 permit tcp any any eq 3260
access-list 101 remark MySQL Service
access-list 101 permit tcp any any eq 3306
access-list 101 permit udp any any eq 3306
access-list 101 remark DAAP
access-list 101 permit tcp any any eq 3689
access-list 101 remark eMule
access-list 101 permit tcp any any eq 4662
access-list 101 permit udp any any eq 4672
access-list 101 remark Management Console, File Station, Audio Station
access-list 101 permit tcp any any eq 5000
access-list 101 permit tcp any any eq 5001
access-list 101 remark Download Redirector
access-list 101 permit tcp any any eq 5432
access-list 101 permit udp any any eq 5432
access-list 101 remark iTunes Service -> Multicast DNS
access-list 101 permit tcp any any eq 5353
access-list 101 permit udp any any eq 5353
access-list 101 remark NAS Setup
access-list 101 permit udp any any range 9997 9999
access-list 101 remark NAS finishes
access-list 101 remark WoL
access-list 101 permit udp any any eq echo
access-list 101 permit udp any any eq discard
access-list 150 permit tcp any any eq 22
access-list 150 permit tcp any any eq 443
access-list 150 permit tcp any any eq telnet
access-list 101 remark ASMB4-iKVM
access-list 101 permit tcp any any eq 5123
access-list 101 permit tcp any any eq 5120
access-list 101 permit tcp any any eq 623
access-list 101 permit udp any any eq 623
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 7578
access-list 101 permit tcp any any eq 443
access-list 101 permit udp any any eq 161
cdp timer 10
arp 192.168.1.2 0030.487f.4bc2 ARPA
!
control-plane
!
line con 0
privilege level 15
password 7 version 15.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname RTR881W
!
boot-start-marker
boot system flash:c880data-universalk9-mz.153-3.M1.bin
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 8
logging buffered 51200 informational
!
no aaa new-model
clock timezone MSK 4 0
service-module wlan-ap 0 bootimage autonomous
!
crypto pki trustpoint tti
revocation-check crl
!
crypto pki trustpoint TP-self-signed-1084056278
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1084056278
revocation-check none
rsakeypair TP-self-signed-1084056278
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-1084056278
certificate self-signed 01 nvram:IOS-Self-Sig#C.cer
!
ip dhcp excluded-address 192.168.1.1 192.168.1.100
!
ip dhcp pool Private
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 77.37.255.30 77.37.251.33
domain-name home
!
ip dhcp pool Guest
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
dns-server 8.8.8.8
!
no ip domain lookup
ip domain name home
ip host mznas.dyndns.org 192.168.1.63
ip host mike1st.no-ip.org 192.168.1.107
ip name-server 77.37.255.30
ip name-server 77.37.251.33
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
license udi pid CISCO881W-GN-A-K9 sn <skipped>
license accept end user agreement
license boot module c880-data level advipservices
!
archive
log config
hidekeys
username Mike privilege 15 view root secret 4 <skipped>
!
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
<skipped>
quit
!
no ip ftp passive
!
interface FastEthernet0
switchport mode trunk
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
switchport access vlan 12
no ip address
!
interface FastEthernet3
switchport access vlan 12
no ip address
!
interface FastEthernet4
description ISP Connection
ip address dhcp
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in max-reassemblies 1024
duplex auto
speed auto
no cdp enable
!
interface wlan-ap0
description Service module to manage the enbedded AP
ip address 192.168.3.3 255.255.255.0
ip flow ingress
arp timeout 0
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
switchport mode trunk
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip directed-broadcast
ip flow ingress
ip nat inside
ip virtual-reassembly in max-reassemblies 1024
ip tcp adjust-mss 1452
!
interface Vlan12
description Guest Vlan
ip address 172.16.1.1 255.255.255.0
ip virtual-reassembly in
!
interface Dialer0
no ip address
!
interface vmi1
no ip address
!
ip forward-protocol nd
ip forward-protocol udp discard
ip forward-protocol udp echo
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
!
ip nat pool passive_FTP 192.168.1.63 192.168.1.63 netmask 255.255.255.0 type rotary
ip nat pool NAS_Bittorrent 192.168.1.63 192.168.1.63 netmask 255.255.255.0 type rotary
ip nat pool RAC 192.168.1.2 192.168.1.2 netmask 255.255.255.0 type rotary
ip nat inside source list NAT_ALLOWED interface FastEthernet4 overload
ip nat inside source static tcp 192.168.1.2 30539 interface FastEthernet4 30539
ip nat inside source static udp 192.168.1.2 30539 interface FastEthernet4 30539
ip nat inside source static tcp 192.168.1.4 57649 interface FastEthernet4 57649
ip nat inside source static udp 192.168.1.4 57649 interface FastEthernet4 57649
ip nat inside source static tcp 192.168.1.2 13852 interface FastEthernet4 13852
ip nat inside source static tcp 192.168.1.2 5650 interface FastEthernet4 5650
ip nat inside source static tcp 192.168.1.2 5651 interface FastEthernet4 5651
ip nat inside source static tcp 192.168.1.63 20 interface FastEthernet4 20
ip nat inside source static tcp 192.168.1.63 221 interface FastEthernet4 221
ip nat inside source static tcp 192.168.1.63 23 interface FastEthernet4 23
ip nat inside source static tcp 192.168.1.63 22 interface FastEthernet4 22
ip nat inside source static tcp 192.168.1.63 873 interface FastEthernet4 873
ip nat inside source static tcp 192.168.1.63 53 interface FastEthernet4 53
ip nat inside source static tcp 192.168.1.63 80 interface FastEthernet4 80
ip nat inside source static tcp 192.168.1.63 111 interface FastEthernet4 111
ip nat inside source static udp 192.168.1.63 111 interface FastEthernet4 111
ip nat inside source static tcp 192.168.1.63 892 interface FastEthernet4 892
ip nat inside source static udp 192.168.1.63 892 interface FastEthernet4 892
ip nat inside source static tcp 192.168.1.63 2049 interface FastEthernet4 2049
ip nat inside source static udp 192.168.1.63 2049 interface FastEthernet4 2049
ip nat inside source static udp 192.168.1.63 137 interface FastEthernet4 137
ip nat inside source static udp 192.168.1.63 138 interface FastEthernet4 138
ip nat inside source static udp 192.168.1.63 139 interface FastEthernet4 139
ip nat inside source static tcp 192.168.1.63 25 interface FastEthernet4 25
ip nat inside source static tcp 192.168.1.63 110 interface FastEthernet4 110
ip nat inside source static tcp 192.168.1.63 143 interface FastEthernet4 143
ip nat inside source static tcp 192.168.1.63 993 interface FastEthernet4 993
ip nat inside source static tcp 192.168.1.63 995 interface FastEthernet4 995
ip nat inside source static tcp 192.168.1.63 389 interface FastEthernet4 389
ip nat inside source static udp 192.168.1.63 389 interface FastEthernet4 389
ip nat inside source static tcp 192.168.1.2 443 interface FastEthernet4 443
ip nat inside source static tcp 192.168.1.2 8080 interface FastEthernet4 8080
ip nat inside source static tcp 192.168.1.63 445 interface FastEthernet4 445
ip nat inside source static udp 192.168.1.63 445 interface FastEthernet4 445
ip nat inside source static tcp 192.168.1.63 537 interface FastEthernet4 537
ip nat inside source static udp 192.168.1.63 537 interface FastEthernet4 537
ip nat inside source static tcp 192.168.1.63 989 interface FastEthernet4 989
ip nat inside source static tcp 192.168.1.63 990 interface FastEthernet4 990
ip nat inside source static tcp 192.168.1.63 548 interface FastEthernet4 548
ip nat inside source static tcp 192.168.1.63 3260 interface FastEthernet4 3260
ip nat inside source static tcp 192.168.1.63 3306 interface FastEthernet4 3306
ip nat inside source static udp 192.168.1.63 3306 interface FastEthernet4 3306
ip nat inside source static tcp 192.168.1.63 3689 interface FastEthernet4 3689
ip nat inside source static tcp 192.168.1.63 4662 interface FastEthernet4 4662
ip nat inside source static udp 192.168.1.63 4672 interface FastEthernet4 4672
ip nat inside source static tcp 192.168.1.63 5000 interface FastEthernet4 5000
ip nat inside source static tcp 192.168.1.63 5001 interface FastEthernet4 5001
ip nat inside source static tcp 192.168.1.63 5432 interface FastEthernet4 5432
ip nat inside source static udp 192.168.1.63 5432 interface FastEthernet4 5432
ip nat inside source static tcp 192.168.1.63 5353 interface FastEthernet4 5353
ip nat inside source static udp 192.168.1.63 5353 interface FastEthernet4 5353
ip nat inside source static udp 192.168.1.63 9997 interface FastEthernet4 9997
ip nat inside source static udp 192.168.1.63 9998 interface FastEthernet4 9998
ip nat inside source static udp 192.168.1.63 9999 interface FastEthernet4 9999
ip nat inside source static udp 192.168.1.2 9 interface FastEthernet4 9
ip nat inside source static udp 192.168.1.2 64999 interface FastEthernet4 64999
ip nat inside source static tcp 192.168.1.2 8600 interface FastEthernet4 8600
ip nat inside source static tcp 192.168.1.2 5123 interface FastEthernet4 5123
ip nat inside source static tcp 192.168.1.2 5120 interface FastEthernet4 5120
ip nat inside source static tcp 192.168.1.2 623 interface FastEthernet4 623
ip nat inside source static udp 192.168.1.2 623 interface FastEthernet4 623
ip nat inside source static tcp 192.168.1.2 80 interface FastEthernet4 80
ip nat inside source static tcp 192.168.1.2 7578 interface FastEthernet4 7578
ip nat inside source static tcp 192.168.1.2 443 interface FastEthernet4 443
ip nat inside source static udp 192.168.1.2 161 interface FastEthernet4 161
ip nat inside destination list NAS_Bittorrent_ACL pool NAS_Bittorrent
ip nat inside destination list RAC_ACL pool RAC
ip nat inside destination list passive_FTP_ACL pool passive_FTP
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip access-list extended NAS_Bittorrent_ACL
permit tcp any any range 6881 6891
ip access-list extended NAT_ALLOWED
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended RAC_ACL
permit tcp any any range 8700 8762
ip access-list extended passive_FTP_ACL
permit tcp any any range 55536 55663
!
ip sla auto discovery
ip sla 1
http get <skipped>
ip sla schedule 1 life 86000 start-time now recurring
ip sla 2
http get <skipped>
ip sla schedule 2 life 86000 start-time now recurring
ip sla 3
http get <skipped>
ip sla schedule 3 life 86000 start-time now recurring
kron occurrence TIME in 5:0 recurring
!
kron policy-list TIME
cli ntp server pool.ntp.org prefer source fa4
!
logging trap debugging
access-list 10 permit 192.43.244.18
access-list 10 remark NTP
access-list 101 remark My list
access-list 101 permit udp host 192.43.244.18 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 remark RMS & RAC
access-list 101 permit tcp any any range 5650 5651
access-list 101 permit tcp any any eq 8600
access-list 101 remark utorrent DHT
access-list 101 permit tcp any any eq 30539
access-list 101 permit udp any any eq 30539
access-list 101 permit tcp any any eq 57649
access-list 101 permit udp any any eq 57649
access-list 101 remark NAS begins
access-list 101 remark FTP port 21 blocked by MTS 21->221
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq 221
access-list 101 remark Passive FTP
access-list 101 permit tcp any any range 55536 55663
access-list 101 remark telnet: port 23 blocked by MTS
access-list 101 permit tcp any any eq telnet
access-list 101 remark SSH/Ecrypted Network Backup
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq 873
access-list 101 remark DNS
access-list 101 permit tcp any any eq domain
access-list 101 remark PhotoStation 2+ Video, Web Service: port 80 blocked by MTS
access-list 101 permit tcp any any eq www
access-list 101 remark NFS
access-list 101 permit tcp any any eq sunrpc
access-list 101 permit udp any any eq sunrpc
access-list 101 permit tcp any any eq 892
access-list 101 permit udp any any eq 892
access-list 101 permit tcp any any eq 2049
access-list 101 permit udp any any eq 2049
access-list 101 remark NTP server
access-list 101 permit udp any any eq ntp
access-list 101 remark NetBIOS: ports 137-139 blocked by MTS
access-list 101 permit udp any any range netbios-ns netbios-ss
access-list 101 remark Mail Station: port 25 blocked by MTS
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq 993
access-list 101 permit tcp any any eq 995
access-list 101 remark LDAP
access-list 101 permit tcp any any eq 389
access-list 101 permit udp any any eq 389
access-list 101 remark HTTPS: port 443 blocked by MTS 443->1443
access-list 101 permit tcp any any eq 443
access-list 101 remark Microsoft-ds (CIFS): port 445 blocked by MTS
access-list 101 permit tcp any any eq 445
access-list 101 permit udp any any eq 445
access-list 101 remark Network Media Streamig Protocol
access-list 101 permit tcp any any eq 537
access-list 101 permit udp any any eq 537
access-list 101 remark FTP over TLS/SSL
access-list 101 permit tcp any any eq 989
access-list 101 permit tcp any any eq 990
access-list 101 remark Apple Filing Protocol
access-list 101 permit tcp any any eq 548
access-list 101 remark iSCSI
access-list 101 permit tcp any any eq 3260
access-list 101 remark MySQL Service
access-list 101 permit tcp any any eq 3306
access-list 101 permit udp any any eq 3306
access-list 101 remark DAAP
access-list 101 permit tcp any any eq 3689
access-list 101 remark eMule
access-list 101 permit tcp any any eq 4662
access-list 101 permit udp any any eq 4672
access-list 101 remark Management Console, File Station, Audio Station
access-list 101 permit tcp any any eq 5000
access-list 101 permit tcp any any eq 5001
access-list 101 remark Download Redirector
access-list 101 permit tcp any any eq 5432
access-list 101 permit udp any any eq 5432
access-list 101 remark iTunes Service -> Multicast DNS
access-list 101 permit tcp any any eq 5353
access-list 101 permit udp any any eq 5353
access-list 101 remark NAS Setup
access-list 101 permit udp any any range 9997 9999
access-list 101 remark NAS finishes
access-list 101 remark WoL
access-list 101 permit udp any any eq echo
access-list 101 permit udp any any eq discard
access-list 150 permit tcp any any eq 22
access-list 150 permit tcp any any eq 443
access-list 150 permit tcp any any eq telnet
access-list 101 remark ASMB4-iKVM
access-list 101 permit tcp any any eq 5123
access-list 101 permit tcp any any eq 5120
access-list 101 permit tcp any any eq 623
access-list 101 permit udp any any eq 623
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 7578
access-list 101 permit tcp any any eq 443
access-list 101 permit udp any any eq 161
cdp timer 10
arp 192.168.1.2 0030.487f.4bc2 ARPA
!
control-plane
!
line con 0
privilege level 15
password 7 <skipped>
logging synchronous
login local
no modem enable
no activation-character
transport preferred telnet
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
access-class 23 in
password 7 <skipped>
login local
length 0
transport input all
!
scheduler max-task-time 5000
ntp access-group peer 10
ntp update-calendar
ntp server pool.ntp.org prefer
ntp server time.nist.gov
!
end
logging synchronous
login local
no modem enable
no activation-character
transport preferred telnet
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
line vty 0 4
access-class 23 in
password 7 <skipped>
login local
length 0
transport input all
!
scheduler max-task-time 5000
ntp access-group peer 10
ntp update-calendar
ntp server pool.ntp.org prefer
ntp server time.nist.gov
!
end

есть роутер cisco 28 серии, подскажите как поднять pppoe сессию на сабинтерфейсе?

darknomad
Что за циска? На сабе вроде нельзя было. Если есть свичевая карта можно на VLAN-е поднять.

Добавлено:

Цитата:

881W  
В локальной (проводной) сети на одном компе не могу настроить статику (в динамике работает). Со статикой нет интернета, перезагрузка не помогает. Где рыть?

Что такое статика и динамика?

Цитата:

Что за циска?

2821 например, но оно и не важно, тут суть вопроса именно в том, чтобы поднять именно на сабинтерфейсе свитчевого модуля в ней нет

Цитата:

2821 например, но оно и не важно, тут суть вопроса именно в том, чтобы поднять именно на сабинтерфейсе свитчевого модуля в ней нет

А что мешает на саб повесить локалку, а на сам интерфейс pppoe client и настроить dialer

Добавлено:
Да и это раз, а два какая версия IOS вроде как на 124-22.T и свежее без проблем pppoe client на сабе

darknomad

Хоть версию IOS скажите...

Подскажите, плз, можно ли заставить циску автоматически добавлять IP с которых брутфорсят в acl (типа login block-for, напр.: если за 10 сек 3 неудачных входа - IP в acl и deny)?
... или как грамотно защитится от такого рода атак?

kib5
Цитата:

добавлять IP с которых брутфорсят

Что брутфорсят то? Саму циску или что-то за ней?

Да, саму циску...

kib5 Если у вас статические IP, то лучше сделайте аксели для доступа снаружи на определенные IP адреса или подсети.
А защита от подбора паролей, если в вашем Иосе такая фича, то:
security authentication failure rate [попытки] [log]
После N неправильных паролей (по умолчанию – 10) будет вставлена 15 секундная задержка.

kib5

По поводу защиты cisco почитайте про control-plane

kib5 Ну подумаешь, школота резвится. Хороший пароль, и пусть себе на здоровье.
Если это так нервирует, можно вообще на внешнем интерфейсе SSH порт закрыть. А админить подключившись по VPN.

Подскажите как настроить vlan'ы на циске в следующей ситуации.
Есть cisco 2911 с модулем коммутатора.
В модуль коммутатора извне приходят 4 кабеля с других подсетей.
Допустим это будут подсети 192.168.2.1/24, 192.168.3.1/24, 192.168.4.1/24, 192.168.5.1/24.
Эти кабели соотвественно подключены в 2,3,4 порты модуля коммутатора.

На другом конце этих кабелей маршрутизаторы имеют адреса 192.168.2.2, 192.168.3.2, 192.168.4.2

К самой циске подключен сервер и локальная сеть, например 192.168.0.1/24

Необходимо настроить маршрутизацию между всеми этими подсетями.

Т.к. портам коммутатора назначить айпишники нельзя, то нужно создать vlanы и настроить маршрутизацию между этими vlanами.

Например настроим vlan2 на втором порту коммутатора:

sw1(config)# vlan 2
sw1(config-vlan)# name vlan2

sw1(config)# interface fa1/1
sw1(config-if)# switchport mode access
sw1(config-if)# switchport access vlan 2

Настроим маршрутизацию:
sw1(config)# ip routing
sw1(config)# interface Vlan2
sw1(config-if)# ip address 192.168.2.1 255.255.255.0
sw1(config-if)# no shutdown

Аналогично настраиваем на других портах vlan3 , vlan4
Все остальные порты у нас останутся на интерфейсе по умолчанию - vlan1.
Назначим ему адрес:
sw1(config-if)# interface Vlan2
sw1(config-if)# ip address 192.168.0.1 255.255.255.0

Затем настраиваем статическую маршрутизацию:
ip route 192.168.2.1 255.255.255.0 192.168.2.2
ip route 192.168.3.1 255.255.255.0 192.168.3.2
ip route 192.168.4.1 255.255.255.0 192.168.4.2

А и еще, надо будет удалить интерфейс vlan1 с портов 1,2,3?
Достаточно ли таких настроек, чтобы трафик забегал между этими подсетями?

galleon2005
Цитата:

Затем настраиваем статическую маршрутизацию:
ip route 192.168.2.1 255.255.255.0 192.168.2.2
ip route 192.168.3.1 255.255.255.0 192.168.3.2
ip route 192.168.4.1 255.255.255.0 192.168.4.2

Это еще что за чудо? Зачем нужна маршрутизация для локальных сетей на интерфейсах?
Цитата:

А и еще, надо будет удалить интерфейс vlan1 с портов 1,2,3?

А откуда он там взялся?

galleon2005

А что со свичевыми картами уже можно работать из global conf modem, я думал только из enable через vlan database.

Для локальных интерфесов и так будут маршруты.

Спасибо всем за помощь!
Почитал о control-plane... в принципе, - это подходит, (в идеале, хотелось бы, чтоб лог не забивался кучей неудачных попыток входа) хотя я и до этого пробовал использовать login block-for, но до конца не разобрался с login quiet-mode access-class. Получается, что я могу в нем указать адреса, которые не будут блокироватся в момент срабатывания защиты. (а то влупил 10мин логин-блока и сам войти не мог )



Цитата:

А админить подключившись по VPN

неплохая мысль - надо подумать...

vlary
Спасибо! Ошибки про маршрутизацию понял.
Получается маршруты нужны только в другие подсети, которые находятся за другими шлюзами. Например:

ip route 192.168.170.0 255.255.255.0 192.168.2.2
ip route 192.168.226.0 255.255.255.0 192.168.3.2


Цитата:

А откуда он там взялся?  

По умолчанию порты модуля коммутатора находятся во vlan 1 (default vlan)?
sw1# show vlan brief
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa1/0, Fa1/1,Fa1/2,Fa1/3,Fa1/4,
Fa1/5, Fa1/6, Fa1/7, Fa1/8, Fa1/9,
Fa110, Fa1/11, Fa1/12, Fa1/13,
Fa1/14, Fa1/15, Fa1/16

Хотя получается если порт в Access, и на нем другой влан, то он автоматически исключается из default vlan?

tsypkin

Цитата:

А что со свичевыми картами уже можно работать из global conf modem, я думал только из enable через vlan database.

На руках оборудования нет, я подумал, что конфигурирование свичевой карты в маршртизаторе точно такое же как и в простом коммутаторе.
http://xgu.ru/wiki/VLAN_%D0%B2_Cisco#.D0.9D.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B9.D0.BA.D0.B0_access_.D0.BF.D0.BE.D1.80.D1.82.D0.BE.D0.B2
Вот как здесь, или нет?



И еще один вопрос.
В данный момент стоит обычный неуправляемый коммутатор, в который воткнуты эти кабеля с подсетями.
Устройствам из разных подсетей сейчас маршрутизация не требуется, т.к. они общаются между собой на более низком уровне, без настройки IP адресов.
Если создать вланы, то они друг друга перестанут видеть?

galleon2005
Цитата:

сли создать вланы, то они друг друга перестанут видеть?

Да. Поскольку весь L2 трафик будет распространяться уже не по всем портам свитча, а только в пределах своего влана.

Цитата:

На руках оборудования нет, я подумал, что конфигурирование свичевой карты в маршртизаторе точно такое же как и в простом коммутаторе.
http://xgu.ru/wiki/VLAN_%D0%B2_Cisco#.D0.9D.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B9.D0.BA.D0.B0_access_.D0.BF.D0.BE.D1.80.D1.82.D0.BE.D0.B2
Вот как здесь, или нет?

У меня тоже под рукой нет железки со свичевой картой, вообще на 2821 в свое время долго не мог понять в чем дело.

Получил доступ к маршрутизатору.
Не получается настроить маршрутизацию между модулем коммутатора ES2-16-P, который установлен в Cisco 2911.
На модуле коммутатора подключены кабеля от других сетей и каждому порту назначен свой айпишник ( через switchport access vlan )
Нужно настроить OSPF, но его насколько я понимаю нужно настраивать на самом 2911.

Вопрос - как мне на основном конфиге 2911 "увидеть" подсети, которые прописаны в конфиге ES2-16-P ?
Как я понял, на роутере есть логический интерфейс коммутатора под названием G/E 1/0 который соединяется внутри циски с модулем коммутатора,
Получается нужно через этот интерфейс как то настроить хождение трафика и динамическую маршрутизацию.
Или мне на модуле коммутатора только нужно перевести нужные порты в switchport access vlan X, а все остальное уже делать в режиме настройки роутера?

Еще внутри модуля коммутатора, кроме G/E 0/1 и F/E 0/1 - 16 есть еще какие то виртуальные интерфейсы G/e 0/17 и G/E 0/18 - они для чего используются
часть конфига роутера -


Код: interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 192.168.200.1 255.255.255.0
!
interface GigabitEthernet1/0.2
encapsulation dot1Q 2
ip address 192.168.160.20 255.255.255.248

galleon2005

Вообще когда вы используете модуль ES2-16-P установив его в 2911, считайте что вы подключили порт GE0/1 модуля к порту GE1/0 маршрутизатора. Физически ничего соединять не надо все идет через backplane.

Т.е. на маршрутизаторе на GE1/0 делаете сабы, а на модуле VLAN'ы и на GE0/1 транк.

tsypkin
Ну в итоге получается так - если на модуле коммутатора виртуальный интерфейс GE 0/18 - в режиме shutdown - то вланы не пробрасываются.
Если на модуле коммутатора включить GE 0/18 и перевести его в режим trunk и настроить allowed vlans на нем - то все работает. На маршрутизаторе как вы и говорите, сабы на GE1/0, с этим вопросов нет.

Хотя на форумах пишут про GE 0/1, в том числе и вы, не знаю почему так. G/E 0/1 во всяком случае у меня не в транке и вообще не используется.

galleon2005
А в чем сейчас проблем ?

Сие танцы с бубном из за выбор ES2 а не ES3

Как мне кажется влан интерфейсы лучше перенести на 2911 в виде gi1/0. сабов и там уже делать все что душе угодно

Добавлено:
galleon2005
И советую прочитать Cisco ISR G2 Multi Gigabit Fabric

qwexak
сейчас все работает. просто долго не мог понять, что нужно настраивать транк именно на виртуальном ge 0/18, а не ge0/1.
В официальной документации про него не написано. Всего физических портов на коммутаторе 16


Вот часть конфига коммутатора:


Цитата:

....
!
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 4
switchport mode access
....

.....
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
switchport trunk allowed vlan 2-10
switchport mode trunk
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan2
no ip address
no ip route-cache
!
interface Vlan3
no ip address
no ip route-cache
!
....
!

часть конфига маршрутизатора


Цитата:

...
!
interface GigabitEthernet0/0
ip address 192.168.155.1 255.255.255.224
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet1/0
ip address 192.168.200.10 255.255.255.0
!
interface GigabitEthernet1/0.2
encapsulation dot1Q 2
ip address 192.168.150.17 255.255.255.248
!
interface GigabitEthernet1/0.3
encapsulation dot1Q 3
ip address 192.168.150.9 255.255.255.248
!
interface GigabitEthernet1/0.4
encapsulation dot1Q 4
ip address 192.168.150.1 255.255.255.248
!
.....

!

Подскажите, пожалуйста....
Случайно завалялся у меня бесхозный свитч CISCO 2960 (WS-2960-8TC-L). Знания по CISCO есть только теоретические, но есть желание хотя бы немножко их поднабраться.
Могу ли я на этом устройстве поднять домашнее подключение к интернет (Москва, Билайн со всеми вытекающими, т.е. l2tp и т.д.) , а имеющийся роутер с WiFi просто подключить в режиме AP в один из портов?

Я понимаю, что для поддержки l2tp наверняка нужна лицензия (Advanced IP services?) - бывает ли такая лицензия в принципе для этой серии устройств (существует ли соотв. образ OS)?

naPmu3aH
Цитата:

Могу ли я на этом устройстве поднять домашнее подключение к интернет

Для подключения к интернет нужен роутер (router).
Цитата:

наверняка нужна лицензия (Advanced IP services?) - бывает ли такая лицензия в принципе для этой серии устройств

Эта серия - свитчи 2 уровня ( Layer 2 ), ни о каких IP services ( Layer 3 ) и речи быть не может.

Доброго времени суток, дорогие форумчане!

Есть небольшая задача, может кто нибудь с ней уже сталкивался. Есть VPN сеть, построенная с использованием GRE на базе оборудования CISCO серии 2900. Требуется модернизировать эту сеть для работы по технологии mGRE (DMVPN). Точнее сделать плавный переход от GRE к mGRE. Как это проще сделать? Можно ли организовать одновременное функционирование GRE и mGRE?

С уважением и надеждой на помощь и советы, triangel.

P.S.: Если надо буду выкладывать необходимые конфиги, схемки.

изучаю Cisco Catalyst 4506 .. вопрос по VLAN-ам, что то я не нашел таких понятий как tagged VLAN и untagged VLAN, отсюда вопрос, какие VLAN-ы на cisco - tagget, untagget или это все на циске есть только по другому называется?

access port и trunk port

Помогите настроить Cisco 1041, как настроить вебинтерфейс для Cisco 1041?