» Настройка Cisco оборудования

Помер старый добрый 5-портовый dlink 3com, к которому были подключены 2 хоста vmware. На замену были куплены 2 sg500-28, настроен из них стек, выявлена следующая проблема: при миграции вирт. машины с одного хоста на другой, у вирт. машины пропадает сеть минут на 10-15.

Подскажите куда копать, чтобы работало как на 5 портовом dlink, без геморроя?
Кискин конфиг:

Код: config-file-header
switch995bb7
v1.2.7.76 / R750_NIK_1_2_584_002
CLI v1.0
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
spanning-tree mode mst
spanning-tree pathcost method short
port jumbo-frame
vlan database
vlan 1117-1120,1122-1123,1159,1555,2689
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
port-channel load-balance src-dst-mac-ip
gvrp enable
no bonjour enable
bonjour interface range vlan 1
hostname switch995bb7
passwords aging 0
username admin password encrypted 111 privilege 15
ip ssh server
no ip http secure-server
clock timezone " " 3
!
interface vlan 1
ip address 192.168.0.248 255.255.252.0
no ip address dhcp
!
interface vlan 1117
name ric_inet_vex
!
interface vlan 1118
name local_phone
!
interface vlan 1119
name ttk_inet_vex
!
interface vlan 1120
name ametist_dmz
!
interface vlan 1122
name ttk_inet_ametist
!
interface vlan 1123
name ttk_trunk_voip1
!
interface vlan 1159
name ttk_trunk_voip2
!
interface vlan 1555
name rtk_trunk_voip
!
interface vlan 2689
name ttk_sip_softline
!
interface gigabitethernet1/1/1
channel-group 1 mode on
!
interface gigabitethernet1/1/2
channel-group 1 mode on
!
interface gigabitethernet1/1/5
switchport trunk native vlan 1117
!
interface gigabitethernet1/1/6
switchport trunk native vlan 1118
!
interface gigabitethernet1/1/7
switchport trunk allowed vlan add 1122-1123,1159,2689
!
interface gigabitethernet1/1/13
channel-group 2 mode on
!
interface gigabitethernet1/1/14
channel-group 2 mode on
!
interface gigabitethernet1/1/17
switchport trunk native vlan 1119
!
interface gigabitethernet1/1/18
switchport trunk allowed vlan add 1555
switchport forbidden default-vlan
!
interface gigabitethernet1/1/25
gvrp enable
switchport trunk allowed vlan add 1120,1122-1123,1159,2689
!
interface gigabitethernet1/1/26
gvrp enable
switchport trunk allowed vlan add 1120
!
interface gigabitethernet2/1/1
channel-group 1 mode on
!
interface gigabitethernet2/1/2
channel-group 1 mode on
!
interface gigabitethernet2/1/5
switchport trunk native vlan 1117
!
interface gigabitethernet2/1/6
switchport trunk native vlan 1118
!
interface gigabitethernet2/1/7
switchport trunk allowed vlan add 1122-1123,1159,2689
!
interface gigabitethernet2/1/13
channel-group 2 mode on
!
interface gigabitethernet2/1/14
channel-group 2 mode on
!
interface gigabitethernet2/1/17
switchport trunk native vlan 1119
!
interface gigabitethernet2/1/18
switchport trunk allowed vlan add 1555
switchport forbidden default-vlan
!
interface gigabitethernet2/1/25
gvrp enable
switchport trunk allowed vlan add 1120,1122-1123,1159,2689
!
interface gigabitethernet2/1/26
gvrp enable
switchport trunk allowed vlan add 1120
!
interface Port-channel1
description virt_host1
switchport trunk allowed vlan add 1117-1119,1555
!
interface Port-channel2
description virt_host2
switchport trunk allowed vlan add 1117-1119,1555
!
snmp-server set rlAutomaticClockSetFromPCEnabled rlAutomaticClockSetFromPCEnabled true

vlary
Пишу как и обещал.
Перед изменением конфига решил обновить IOS, так как заметил некоторые проблемы в работе. Первым делом были ошибки авторизации, маршрутизатор упорно не принимал пароль. Так-же он стал, достаточно долго, запускаться. Ну и ошибка "configuration failed".
Нашел другую прошивку, версии 124-15.T17 и успешно залил. Описанные ошибки исчезли.
Сделал erace и переписал конфиг.
После ввода всех данных интерфейс NVIO был в режиме up/up, а после перезагрузки устройства перешел в режим "administratively down down". Если я правильно понимаю, то этот интерфейс отвечает за работу NATa или нет?
Вот конфиг

Цитата:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
no service password-recovery
!
hostname RP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model

dot11 syslog
!
!
ip cef
ip domain name isp
!
!
!
username admin privilege 15 secret 5 $1$XLnG$Xwhbumml/Kn4iwthRY7Q8/
username admin2 privilege 15 secret 5 $1$J02d$vy./7mFfUhoAXM93cD1em0
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description PREMIER
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description LOCAL
ip address 192.168.10.251 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 213.108.182.1
!
ip http server
ip http authentication local
ip http secure-server
ip nat inside source list 111 interface FastEthernet4 overload
!
access-list 111 permit ip 192.168.10.0 0.0.0.255 any
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Интернета на этом шлюзе так и нет...
Где я теперь мог накосячить ?

webadmin4ik
Не вижу поднятых и привязаных interface FastEthernet0 и тд
Что то типа этого
interface FastEthernet0
switchport access vlanХХХ
switchport mode access
spanning-tree portfast trunk

sky418 У 851 циски там вроде FastEthernet0 - FastEthernet3 жестко привязаны к vlan1.
Собственно, тупой 4-портовый свитч. А FastEthernet4 отдельный порт, типа WAN.
webadmin4ikПопробуй убрать эту строчку (с помощью no) ip route 0.0.0.0 0.0.0.0 213.108.182.1
и вместо нее прописать строчку
ip route 0.0.0.0 0.0.0.0 interface FastEthernet4 dhcp

sky418
Маршрутизатор не понимает команду "switchport access vlanХХХ". Я на это тоже обратил внимание. Возможно это связанно с моделью (CISCO 851). До этого настраивал 1921/K9 и там эти команды работали. Можно было легко "засуть" интерфейс в vlan.
На этом увы.....

BW4ever

Цитата:

были куплены 2 sg500-28, настроен из них стек, выявлена следующая проблема: при миграции вирт. машины с одного хоста на другой, у вирт. машины пропадает сеть минут на 10-15.

Вам необходимо выполнить действия по настройке коммутатора и vmware:
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004048
http://it-erate.com/setting-lag-vmware-esxi-5-cisco-sg300/

А switchport mode access это чудо тоже не понимает? Или в той железке это тоже не надо?
Странный девайс.

sky418
switchport mode access тоже не понимает, пробовал ввести команду на разных уровнях и интерфейсах.

vlary
Строку ip route 0.0.0.0 0.0.0.0 213.108.182.1 убрал.
Записал новую: ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp. На слово interface ругается. Пришлось убрать.
Результат тот-же, интернета в сети нет

webadmin4ik
Попробуйте через NVI, для этого выполните:

interface FastEthernet4
shutdown
no ip nat outside
no ip redirects
no shutdown
ip nat enable

interface Vlan1
shutdown
no ip nat inside
no ip redirects
no shutdown
ip nat enable

no ip nat inside source list 111 interface FastEthernet4 overload
no access-list 111 permit ip 192.168.10.0 0.0.0.255 any

access-list 1 permit 192.168.10.0 0.0.0.255
ip nat source list 1 interface FastEthernet4 overload

show ip nat nvi translations

webadmin4ik
А интернет-то вообще есть ? Вывод покажите:

#ping 213.180.193.3 source fastEthernet 4
#ping 213.180.193.3 source vlan 1
#sh ip nat stat

PS 213.180.193.3 это ya.ru

Цитата:

interface FastEthernet4
 shutdown
 no ip nat outside
 no ip redirects
 no shutdown
 ip nat enable

Я так понимаю вы ему последовательность команд написали а не конфиг

ginger
Цитата:

ip nat enable

ip nat enable и ip nat inside / outside - это два разных типа НАТ в циске.
Второй вариант представляет дополнительные возможности, но webadmin4ik они
в данном случае не нужны, вполне достаточно базовых, предоставляемых обычным НАТ.
Не надо его запутывать, лучше помочь настроить стандартный НАТ.
webadmin4ik Пробуй последовательно с ПК в сети:
1. Пинговать внутренний адрес циски
2. Пинговать ее внешний адрес.
3. Пинговать адрес 8.8.8.8
4. Пинговать имя www.ya.ru
Предварительно пинговать адрес 8.8.8.8 с самой циски.
Сообщи нам, на каком этапе пинг заткнется.
И еще. Какой ДНС сервер прописан на клиентах? Если адрес циски,
то для этого на ней ничего не настроено. Попробуй на ПК прописать
ДНС сервер провайдера или гугловский 8.8.8.8.

Добрый день товарищи.
Заранее хочу вас поблагодарить за такое внимание к моему вопросу
А теперь по порядку.
1. Пинговать внутренний адрес циски
Внутренний адрес циски 192.168.10.251. Пингуется этот адрес с любой рабочей станции в локальной сети (случайный выбор адресов х.х.х.139, 50, 91,15, 170).
2. Пинговать ее внешний адрес.
Внешний адрес маршрутизатора 213.108.182.20 (используется DHCP на интерфейсе Fa4, но провайдер выделил, как бы грубо это не звучало, лично нам этот IP). Адрес пингуется с разных станций.
3. Пинговать адрес 8.8.8.8
Он тоже пингуется.
4. Пинговать имя www.ya.ru
www.ya.ru не пингуется с компьютеров в сети, а вот адрес сайта 213.180.193.3 прекрасно пингуется.

ДНС на рабочих станциях прописан 192.168.10.251 (внутренний адрес циски). Если я прописывая в ДНС пройдера 213.108.183.3 или публичный 8.8.8.8 в настройках рабочих станций, то интернет прекрасно работает .
В конфиге явно не хватает настроек ДНС..... Как я раньше не обратил на это внимание.


Добавлено:
Дописал команды:

1. ip dns server
2. ip name-server 8.8.8.8

Правда ip name-server 213.108.183.3 и ip name-server 213.108.176.5 в конфиг не записались (это ДНСы провайдера)

Но все заработало. УРА

Всем огромное спасибо! Но самое огромное vlary

Цитата:

В конфиге явно не хватает настроек ДНС..... Как я раньше не обратил на это внимание.

в conf t
ip name-server "DNS" провайдера
добавь и будет счастье =)
днс без кавычек просто айпи

Уважаемые комрады, подскажите дельным советом или знающие:
Вопрос есть удаленная циска 881, при форс-мажорных обстоятельствах когда настройка на ней слетит например, или сотрется случайно или ей кто кто поможет стереть настройку... что хочу возможно ли сохранить стартап конфиг на флешку и с нее стартануть при запуске циски?
другими словами, если тфтп сервер будет не доступен.

webadmin4ik

881(config)#ip name-server 8.8.8.8 8.8.4.4 ?
A.B.C.D Domain server IP address (maximum of 6)
X:X:X:X::X Domain server IPv6 address (maximum of 6)
<cr>


Добавлено:

Цитата:

ip dns server

не забудьте закрыть 53 порты из интернета

cRYSMAS
Цитата:

возможно ли сохранить стартап конфиг на флешку и с нее стартануть при запуске циски?

А в чем проблема?
Код: #copy start flash:
Destination filename [startup-config]?
27608 bytes copied in 0.680 secs (40600 bytes/sec)
.............
#copy flash:startup-config startup-config
#reload

Цитата:

vlary

Цитата:

#copy start flash:
Destination filename [startup-config]?
27608 bytes copied in 0.680 secs (40600 bytes/sec)
.............
#copy flash:startup-config startup-config
#reload

ну как я понял, будет она всегда грузится с флешки?а вот мне нужно если вдруг стартап-конфиг "стерся" что б спасительная флешка была при запуске подтянула настройки с нее. Или этим способом который Вы мне показали?

cRYSMAS
Цитата:

а вот мне нужно если вдруг стартап-конфиг "стерся"

Что значит "стерся"? Конфиг на циске хранится в nvram:, при старте циска ищет его там,
если не найдет, загружается с "голым" конфигом.
Потому полноценного варианта чтобы циска при его отсутствии грузила его из другого места
и сама вставала в рабочее состояние, я не вижу.
Есть только методы, помогающие побыстрее поднять рухнувшую циску.
Читаем про Cisco IOS Resilient Configuration

Подскажите плиз вот по какому моменту:

Нашел на работе старенькую Cisco Linksys SLM224G. Хотел ее в дело пустить, но не тут то было. При включении данный аппарат беспрерывно мигает лампой system. Кнопка reset не помогает по вебморде доступа нет. НО если воткнуть сетевой кабель в одно из 24-х 10/100 мегабитных портов (с гигабитными не прокатывает), то вуаля сетвой кабель подключен. Сеть в системе есть. Иногда моргает всеми лампами на портах (делает reset как я догадываюсь) и... все повторяется заново.

Начал пытать коллег на работе и они вспомнили. У данной циски кто-то решил обновить прошивку. Но в процессе что-то пошло не так. И у меня складывается впечатление что циска чего-то ждет.

Есть ли возможность хоть что-то с ней сделать или в утиль.

2 webadmin4ik
Из всего я понял что данный чудо девайс пускает всех на lan портах в vlan1. Так?
Если так, то на мой взгляд - совершенно не правильно. Буду знать об этом "чуде" технике от cisco, и даже связываться не буду.
2 Goshish
Cisco Linksys SLM224G по большому счету никакого отношения к cisco не имеет, это не удавшиеся попытки от cisco создать упрощенные варианты, там даже IOS cisco нет, сколько прошло через руки не сталкивался ни разу. Попробуй зайти IE старой версии или в режиме совместимости, было такое не пускал на морду вообще, пока ослом не зайдешь. Ну или телнет в помощь, правда тупая ос там.

sky418
Я с Cisco (даже с такой неудачной) вообще дела не имел, вот хотел попробовать. Подскажите если не сложно как к ней достучаться по телнету. Или подскажите где почить что на данную тему. Просто есть интерес. Да забыл сказать не пингуется ip адрес Cisco по которому вебморда доступна.

Понятия не имею что там в мозгах вашего Linksys, и что конкретно вы пингуете, дефолтный адрес? Его может там уже давно и нет. Может порты в vlan(ы) другие загнаны и только один в нужном и т д. Если не изменяет память, то там должен быть RS232, хотя в интернете не нашел в спецификации, попробуйте обычным терминалом стать на него. Ну если его нет - тогда JTAG, и на прямую лить прошивку, если не занимались не разу, то лучше его вернуть на то место с которого взяли и забыть.

sky418
Вас понял, спасибо.

2 Goshish
А, кажется, дефолтного адреса там и нет по умолчанию, его самому вписывать через RS232 надо

Здравствуйте. Cisco 2950 в логах появляются такие ошибки:



Вроде по записи видно, что поднялся интерфейс, почему ошибка?

P.S.
нагуглил, что надо скорость на порту зафиксировать speed auto 100 duplex full. Сделал, но не помогло.

vlh А просто текст ошибки скопировать в пост было нельзя?

Цитата:

А просто текст ошибки скопировать в пост было нельзя?

Думал так больше информации будет.


Код: 3w0d: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to up

vlh Попробуй почитать это: Ссылка
Ну и зафиксировать скорость/дуплекс надо не только на циске,
но и на том девайсе, что втыкается в ее порт.

Цитата:

Попробуй почитать это: Ссылка

Почитаем.


Цитата:

Ну и зафиксировать скорость/дуплекс надо не только на циске,
но и на том девайсе, что втыкается в ее порт.

Коммутатор стоит на доступе, и какие ПК и девайсы подключают абоненты не известно. И тем более зафиксировать на них скорость. На DLink таких проблем нет. Вопрос в том, это критично? как это должно отражаться на работе абонента? От абонентов нареканий нет. Может syslog настроить не на дебаг, а на информация. Понятно, что сообщений таких наверное больше не будет, вопрос критично ли это для абонента? В инете пишут:


Цитата:

LINK-3-UPDOWN - нет несущей, из-за помех, отсутствия синхонизации и пр. (L1 проблема)
LINEPROTO-5-UPDOWN - соответственно, нет канального протокола (L2 проблема)

vlh
Цитата:

На DLink таких проблем нет.

Ага, особенно на неуправляемых. Меньше знаешь - крепче спишь.
Цитата:

От абонентов нареканий нет

Ну и замечательно, это самое главное.
А если все-таки мешает спать, можно поиграться с carrier-delay