» Настройка Cisco оборудования

Ruslanych
Цитата:

Подскажите, что может быть с Cisco Catalyst 500 - после перезагрузки слетает дата/время?

Да то же самое, что в обычном писюшном бивисе.
Неполадки с питанием от батарейки аппаратных часов.
Может, батарейка сдохла, может, цепь питания повреждена, может, контакты окислились...

Всем доброго времени суток. Подскажите вот по какому вопросу. Есть циска 7206vxr g2. Сейчас с толкнулся с проблемой что на нее нельзя прицепить 64x битную as. Версия ios 12.4. Можно ли решить эту проблему перепрошивкой и если да то поделитесь прошивой плиз.

Уважаемые спецы, подскажите плиз...

IP и шлюз поменял, но не пашет, а должно!

Правда я с Vlan ами не очень дружу. Не понимаю я как организовать
по этому принципу конфиг с нуля. И что это за ip address 195.23.*.* 255.255.255.252 secondary?
Читал , что должны быть публичные адреса...
Кошка 851.
Подобной статьи нигде не нашёл.... Помогите плиз. Нужно перестроить на другого провайдера.


[more=Конфа]
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname metaimpeks-sf
!
boot-start-marker
boot-end-marker
!
enable secret 5
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
!
!
ip cef
no ip domain lookup
ip domain name
ip name-server x.x.xx.x
!
!
!
username x
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key metaSF45 address x.x.x.x
!
!
crypto ipsec transform-set meta esp-3des esp-sha-hmac
!
crypto map meta local-address FastEthernet4
crypto map meta 1 ipsec-isakmp
! Incomplete
set peer 111.26.111.128
set transform-set meta
match address 100
!
!
!
interface Tunnel0
description -=BR=-
ip address x.x.x.88 255.255.255.252
tunnel source FastEthernet4
tunnel destination x.x.x.x
!
interface FastEthernet0
description Office LAN
no cdp enable
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description Inet uplink
ip address *.*.*.* 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
crypto map meta
!
interface Vlan1
description Office LAN
ip address 195.23.*.* 255.255.255.252 secondary
ip address 192.168.4.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 192.168.15.0 255.255.255.0 x.x.x.87
!
no ip http server
no ip http secure-server
ip nat inside source list 111 interface FastEthernet4 overload
!
access-list 111 permit ip 192.168.4.0 0.0.0.255 any
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport output all
line aux 0
line vty 0 4
exec-timeout 120 0
transport input ssh
transport output all
!
scheduler max-task-time 5000
end
[/more]

Infinity33 Ну во-первых: interface FastEthernet0
Где у него привязка к Vlan1?
Должно быть что-то типа
switchport access vlan 1

Цитата:

И что это за  ip address 195.23.*.*

Ну это тебе лучше знать.
Вообще-то secondary - это алиас.
Чувствуется, был у вас сисадмин, все работало, начальство решило,
а нахрена он нужен, если и так все работает?
А теперь вдруг пришлось на другого прова перейти,
и пипец, приплыли...

vlary
Спасибо конечно за оценку нашей деятельности, но я за помощью пришёл, а Вы меня мордой по батарее.
Может у Вас стиль жизни такой?Форум не специализированный по кошкам. Не хотите или не можете помочь ввиду своего мировозрения - ничего, людей много и специалисты тоже есть. Помогут.
Я понимаю, как работает кошка просто со статикой, а эту не понимаю. Ходил на курсы только они ничего не дают, пока сам не перелапатишь. Только опыт... как за рулём.

Цитата:

[И что это за ip address 195.23.*.*

просто публичный ip address, который никак не завязан с нашей конфой.

Infinity33
Цитата:

но я за помощью пришёл, а Вы меня мордой по батарее.

Разве? По-моему, это было в адрес руководства конторы.
И кстати, я дал ответ по существу. Насчет привязки Vlan к интерфейсу.
Цитата:

просто публичный ip address, который никак не завязан с нашей конфой.

Тогда что он в конфе делает?

vlary

Цитата:

Тогда что он в конфе делает?

Ну не я же писал... ошибки только выдавал.
Прибил нафиг. Всё настроил.
Провайдер дал неправильный IP.
P.S. Да, я только учусь кошек настраивать. И многое не умею, но пока всё сам.... И слава богу!

подскажите имеется cisco2960 , где последнюю прошивку взять ? , 3 года нормально работал , теперь зависает , то по одному выкидывает , то всех сразу , прошить хочу попробовать , мож поможет ?

Сразу хочу извиниться за неосведомленность, но...
Вопрос следующий:
Есть 2911
на интерфейс Gi0/2 подняты 2 вирт. инт. 0/2.1 (native vlan и vlan 2040)
порт 0/0 соединен со шлюзом

трафик который с native - гуляет как нужно и выходит за шлюз, а вот с vlan 2040 ходит по сети а за шлюз не смотрит...

Прошу совета!

tip22
Цитата:

где последнюю прошивку взять ?

Глаза поднять на шапку темы не судьба?
BobaCH
Цитата:

порт 0/0 соединен со шлюзом

Что за шлюз? Рисуй схему.

Вот она, шлюзом выступает девайс с криптозащитой...

Добавлено:


vlan 2040
vlan native

т.е. по сути vlan должен нормально гулять, но как-то не хочет

BobaCH Издеваешься? Под микроскопом рассматривать предлагаешь?
Если криптошлюз пингуется из vlan 2040, значит, косяки в его настройке.
Если нет - тогда что-то криво в циске. Во втором случае нужен ее конфиг
(естественно, под тегом more)

[more=Конфиг настройки]IS#sh run
Building configuration...

Current configuration : 2272 bytes
!
! Last configuration change at 06:53:59 UTC Thu Jul 17 2014 by bob
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname IS
!
boot-start-marker
boot-end-marker
!
!
no logging console
enable secret 5 $1$Kskq$H31MMADLzE0bKsZZUWkG/.
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 10.62.65.1 10.62.65.20
!
ip dhcp pool IS
network 10.62.65.0 255.255.255.0
default-router 10.62.65.1
domain-name IS.ru
dns-server 10.32.1.7 10.62.65.10
!
!
ip domain name prok
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn FCZ154621PF
!
!
vtp mode transparent
username simple privilege 15 password 7 06020A
username privilege 15 password 7 0000161
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
encapsulation dot1Q 1 native
ip address 10.62.64.2 255.255.255.252
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 20
ip address 10.62.97.1 255.255.255.0
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/2.1
encapsulation dot1Q 1 native
ip address 10.62.65.1 255.255.255.0
!
interface GigabitEthernet0/2.2040
encapsulation dot1Q 2040
ip address 10.62.71.1 255.255.255.248
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 10.62.64.1
ip route 10.62.96.0 255.255.255.128 10.62.71.2
!
access-list 111 permit ip host 10.62.97.97 any
access-list 111 permit icmp host 10.62.97.97 any
!
!
!
!
!
!
!
!
control-plane
!
!
!
line con 0
password 7 104A0C090A0506021A0B7873777B6066
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 60 0
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
end
[/more]

Добавлено:
С Native шлюз пингуется, а с др. vlan-ов - никак...

BobaCH
Цитата:

С Native шлюз пингуется, а с др. vlan-ов - никак...

Попробуй с др. vlan-ов пинговать адрес 10.62.64.2.
У меня такое впечатление, что криптошлюз не имеет понятия о сетях в других vlan-ах.
Либо не настроен на принятие от них пакетов.

Пинговал, с других vlan шлюз недоступен. Как только я убираю vlan c подсети (10.62.96.0/25) которая сейчас в 2040, то все нормально работает...

Добавлено:

[more=ping с PC]
C:\Users\Администратор>ping 10.62.97.1
Обмен пакетами с 10.62.97.1 по с 32 байтами данных:
Ответ от 10.62.97.1: число байт=32 время<1мс TTL=255

C:\Users\Администратор>ping 10.62.64.2

Обмен пакетами с 10.62.64.2 по с 32 байтами данных:
Ответ от 10.62.64.2: число байт=32 время<1мс TTL=255

C:\Users\Администратор>ping 10.62.64.1

Обмен пакетами с 10.62.64.1 по с 32 байтами данных:
Превышен интервал ожидания для запроса.

____________________________________________________________

10.62.97.1 - шлюз для vlan, он же подинтерфес 0/1.1

10.62.64.2 - интерфейс смотрящий на шлюз 0/0.1, тот самый на который у меня нет доступа с vlan (подинтерфейс я уже создал для эксперимента, когда его не было, ip стоял на самом интерфейсе, ситуация была такой же)

10.62.64.1 - шлюз по умолчанию, на который траф. с vlan-ов не идет[/more]

[more=ping с cisco]ISOP#ping 10.62.64.1 source GigabitEthernet 0/1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.62.64.1, timeout is 2 seconds:
Packet sent with a source address of 10.62.64.2
.......
Success rate is 0 percent (0/5), round-trip min/avg/max = 1/1/1 ms
ISOP#sh ip ro
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override

Gateway of last resort is 10.62.64.1 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.62.64.1
10.0.0.0/8 is variably subnetted, 9 subnets, 5 masks
C 10.62.64.0/30 is directly connected, GigabitEthernet0/0.1
L 10.62.64.2/32 is directly connected, GigabitEthernet0/0.1
C 10.62.65.0/24 is directly connected, GigabitEthernet0/2.1
L 10.62.65.1/32 is directly connected, GigabitEthernet0/2.1
C 10.62.71.0/29 is directly connected, GigabitEthernet0/2.2040
L 10.62.71.1/32 is directly connected, GigabitEthernet0/2.2040
S 10.62.96.0/25 [1/0] via 10.62.71.2
C 10.62.97.0/24 is directly connected, GigabitEthernet0/1.1
L 10.62.97.1/32 is directly connected, GigabitEthernet0/1.1[/more]

Добавлено:
для меня оч важно чтобы с локального влана 10.62.71.1 (2040) ходили пакеты
а они даже с циски ping 10.62.64.1 sou gi0/2.2040 не ходят

BobaCH Ну коль скоро компы из vlan-ов пингуют адрес 10.62.64.2,
то с настройками циски все нормально.
Попробуй с циски пинговать адрес 10.62.64.1 с адресом источника 10.62.71.1.

пинг с циски на адрес 10.62.64.1 (шлюз) с source 10.62.71.1 - не идут...

пинги с vlan (source 10.62.71.1 и 10.62.97.1 - они с тегами) не идут, а с native - идут

BobaCH
Цитата:

пинг с циски на адрес 10.62.64.1 (шлюз) с source 10.62.71.1 - не идут...

Тогда крути роутинг на криптошлюзе. Похоже, он не знает, куда отправлять пакеты
для сетей 10.62.71.0 и 10.62.97.0. И бросает по своему дефолт маршруту, где они естественно рубятся.

В том то и дело, когда я убираю vlan, и гоняю эти сети без них (10.62.71.0 или 10.62.97.0) - все ходит хорошо!

Добавлено:
Ну да ладно, спасибо за помощь!

tip22
при наличии сервис-контракта прошивки скачиваются с cisco.com
если его нет - поиск по ftp (mmnt.ru) или в варезнике есть специальная тема - cisco IOS называется, там посмотрите.

Добавлено:
retry1983
для вашего железа поддержка 4х битных ASN в следующих IOS: Releases 12.0(32)S11, 12.0(33)S, 12.0(32)SY
ну и позднее разумеется. Ищите на ftp и в разделе варезник есть тема "Cisco IOS"

Здравствуйте.

Столкнулся со следующей проблемой
Имеется Cisco Catalyst 3850 (WS-C3850-24T-E) к нему подключен сервер с Hyper-V (2012R2)
на котором запущено несколько виртуальных машин которые находятся в одной подсети.
Стоит задача в том чтобы виртуальные машины не могли общается на Layer 2 уровне, для этого хочу использовать разные Private vlan для виртуальных машин. Private vlan настраиваются на уровне адаптеров самих виртуальных машин. PrimaryVlanId 100 -SecondaryVlanId 1-10
На циске настроен vlan 100.
Проблема заключается том что виртуальные машины с Private VLAN не видят сеть…
Какую конфигурацию порта следует произвести на циске чтобы она принимала и удаляла pvlan теги на порту?

Цитата:

vlary

Вопрос к Вам - уже спрашивал но все же, вдруг чем посоветуете. Имеется cisco sg200-50 консоли порта нету у нее, есть отдельно 49 и 50 (Lan) в сторонке и 2 порта mini-GBIC ports. Подключаю к ней комп через кабель с одной стороны ком-порт с другой rj45. Индикатор в порту 49-50 не горит, то биш как бы отключен. Вопрос а их несколько:
- нужен спец. шнурок циско вроде как ком порт - rj45 или любой пойдет ком порт - rj45?
- подключать шнурок в любой ЛАН или в отдельные 49-50 порт для настройки?
- Какое нить ПО идет для подключение к циске через машину? или просто по PuTTY?
Буду ждать ответа...
Спасибо заранее

Для подключения к cisco sg200 возмите обычный кабель Rj45-RJ-45. Втыкаете в любой порт. Адрес по умолчанию 192.168.1.254. Вход через веб-интерфейс (это смарт серия).
Читайте мануал http://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbss/sf20x_sg20x/quick_start/guide/en_US/Sx200_QSG_En.pdf

Цитата:

gr0mW

Спасибо прояснили, догадывался но думаю уточню=)

Помогите настроить Cisco1811 на работу с 2-мя провайдерами !! проблема в том что один провайдер выдает IP по DHCP а второй выдает ip для интерфейса тоже по DHCP а выход в интернет через L2TP!!??!!??

Доброго дня!
Подскажите по ошибке %IP-4-DUPADDR: Duplicate address. Две ночи подряд появляется данное сообщение в течении 1 часа, потом все нормально. То что конфликт адресов это я понял, но пугает то что это происходит на WANе. Собственно чтобы это могло быть?
Сильно не пинайте, ибо в данной теме не силен ((. Заранее спасибо.

kreativ4eg Поглядеть
show arp
show mac-address-table | inc мак_адрес
Набрать в гугле - база мак адресов, походить по ссылкам, попробовать определить вендора сетевухи
например тут http://ru.adminsub.net/mac-address-finder
Поскольку на WAN интерфейсе, то подумать, кто в твоей IP сети мог присваивать этот адрес, если тебе пров выдал подсеть. Если wan интерфейс чисто линковочный до прова, то сообщить прову, чтобы принял меры.

в мак таблице не получится так как дело было в выходные, а заметил сейчас, но в ошибке он указан как 0024.1ddd.6587-gigabyte. Возможно ли запретить просто данный мак на этот порт?

kreativ4eg wan интерфейс включен куда? в свич или сразу к прову (у прова свич или что?). Если свич твой то кто еще в него включен? Сначала подумай о проблеме в твоей сети. Если проблема со стороны прова, то запрет мака на твоей стороне тебе может не помочь. По идее Инет у тебя должен пропадать, так как пров будет слать пакеты не на тот мак.

далее идет в свич прова, на него у меня доступа нет, сейчас опять проскакивают сообщения.А если через ACL попробовать, вот только не знаю как правильно это сделать