» Настройка Cisco оборудования

Dr_Greg
С такими дела не имел, но вот это смущает:

Код:
route outside 0.0.0.0 0.0.0.0 195.5.5.207 1
route outside 0.0.0.0 0.0.0.0 195.5.5.206 1

Dr_Greg, действительно 2 дефолтных маршрута по меньшей мере страанно.
Также не верно настроен нат
смените на
global (outside) 1 interface
nat (inside) 1 192.168.28.0 255.255.255.0

2 Sterh84 and alespopov
Огромное спасибо, работает!

Помогите победить 3550-EMI, на предмет учета трафика
System image file is "flash:c3550-i5q3l2-mz.121-11.EA1/c3550-i5q3l2-mz.121-11.EA1.bin"
Bridging software.
Running Layer2/3 Switching Image
Model number: WS-C3550-24-EMI
sh run#
!
ip accounting-threshold 3000
ip accounting-list 0.0.0.0 0.0.0.0
!
interface FastEthernet0/1
no switchport
ip address 192.168.55.97 255.255.255.0
ip accounting output-packets
interface FastEthernet0/2
no switchport
ip address 192.168.97.1 255.255.255.0
ip accounting output-packets
interface FastEthernet0/3
description --- to fa0/2 --- ( т.е. подключен ко 2 порту этого же коммутатора)
no ip address
!
interface FastEthernet0/4
description --- to ip 192.168.97.2 ---
no ip address
!
interface FastEthernet0/5
description --- to ip 192.168.97.3 ---
no ip address
!

Нужно считать трафик
по sh ip accounting -- тишина
Source Destination Packets Bytes

Accounting data age is 53

Упорно считать НЕ хочет или я много хочу?!

Возможно Не правильная схема
Задача - аплинк, и 10 доунлинков, посчитать трафик.

На 3550 посчитать наврядли удасться.

Цитата:

На 3550 посчитать наврядли удасться.

Даже на EMI, она роутить умеет?
команды принимает, но пусто все

роутить != считать правильно
На 3550, 3750 нормально даже по show access-list не всё попадает, что пропускает. Это всё таки железки больше рассчитаны на коммутацию, а уже маршрутизация больше как дополнение, и требовать полноценного от неё - это неправильно.

помогите настроить, впервые в руках держу
1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(25)
родные 2 порта и в слоте 0 4-порта
какую прошиву если надо поменять SDM 2.5 стоит

есть 2 физ сети в в одном диапазоне 192.168.1.0/24 соеденены wifi мостом

нужно из сети А получить доступ до 2-х IP сети В
В1 - 1с сервер, В2 - прокси, майл
из сети В в сети А доступ до любой машины на порт (удаленный админ)
остальной трафик блокировать

sn2sn
В вашем случае надо всеголишь прописать ИП на интерфейсах и написать Аксес Листы. Используйте СДМ это достаточно просто, думаю проблем не возникнет.
Не помню по мумолчаию настроен ли СДМ. В случае если нет , вам необходимо будет подключитсья и активировать сервер коммандой ip http server, а также настроить авторизацию.

Цитата:

Не помню по мумолчаию настроен ли СДМ.

мне кажется, что по умолчанию, все же НЕ настроен. [more=вот инструкция по настройке:]

Код: Configuring router to run SDM


    
Follow the instructions below to configure a router to run SDM.

Step 1:

1. Connect to your router using Telnet, SSH or via console.
2. Enter the global configuration mode using the command:
Router>enable
Router#conf terminal
Router(config)#

Step 2 :

Enable the router's HTTP/HTTPS server, using the following Cisco IOS commands:

Router(config)# ip http server

Router(config)# ip http secure-server

Router(config)# ip http authentication local

Note:- HTTPS is enabled only for crypto enabled IOS images.

Step 3:

Create a user with privilege level 15.

Router(config)# username <username> privilege 15 password 0 <password>

Note:- Replace <username> and <password> with the username and password that you want to configure.

Step 4:

Configure SSH and Telnet for local login and privilege level 15:

Router(config)# line vty 0 4

Router(config-line)# privilege level 15

Router(config-line)# login local

Router(config-line)# transport input telnet

Router(config-line)# transport input telnet ssh

Router(config-line)# exit

Step 5: (Optional) Enable local logging to support the log monitoring function:

Router(config)# logging buffered 51200 warning

Настроил VPN сервер на базе Cisco IOS Router согласно
инструкции.

Работает. Клиент подключается.
Получает IP адрес из ip local pool ippool 10.16.20.1 10.16.20.200

В сети используется протокол маршрутизации - eigrp.

Проблема - подключенному клиенту доступны только сети роутера. Удаленные сети доступные через 1, 2 маршрутизатора не доступны.

Причина - пул адресов клиентов не включается в апдейты eigrp.

network 10.16.20.0 0.0.0.255 указана в настройках eigrp.
ip route не содержит маршрут для 10.16.20.0 сети.

Как заставить eigrp сообщать другим маршрутизаторам о 10.16.20.0 сети?

Sterh84
на других интерфейсах из SDM не дал поставить IP из той же подсети из-за этого возникла проблема
возможно из консоли и даст но тогда нужно очень точно править Аксес Листы и возможно что то еще
у меня есть мануал только Basic CLI
подходит для Cisco 1800, 2800, 3800 series routers

линк нужен на полный этот случайно нашел в разделе другого не предлагают или закопан

Цитата:

Настроил VPN сервер на базе Cisco IOS Router согласно
инструкции.

Работает. Клиент подключается.
Получает IP адрес из ip local pool ippool 10.16.20.1 10.16.20.200

В сети используется протокол маршрутизации - eigrp.

Проблема - подключенному клиенту доступны только сети роутера. Удаленные сети доступные через 1, 2 маршрутизатора не доступны.

Причина - пул адресов клиентов не включается в апдейты eigrp.

network 10.16.20.0 0.0.0.255 указана в настройках eigrp.
ip route не содержит маршрут для 10.16.20.0 сети.

Как заставить eigrp сообщать другим маршрутизаторам о 10.16.20.0 сети?

Нашел решение
crypto dynamic-map dynamic-map-1 1
reverse-route
router eigrp 1
redistribute static

Есть такая задачка.
Имеются четыре циски, одна в центре, три в филиалах.
На всех них подняты туннели GRE, через которые реализована виртуальная
локальная сеть (10.1.0.0 центр, 10.2.0.0 первый филиал и т.д.).
Топология сети типа звезда, т.е филиалы общаются через центр.
Все работает нормально, но хочется настроить QoS, чтобы трафик, предназначенный для передачи через туннели, имел приоритет по отношению
к остальному трафику, идущему наружу.
Каким образом это можно реализовать? Желательно с примером конфига.

Cisco 1841 - жизнь с начала...

Господа, есть сабж
в кисках не разбираюсь, но появилось желание

хотел бы, чтоб мне подсказали, как сбросить киску на factory default и начать конфигурировать с помощью SDM
по com порту я туда залажу и даже очень могу править конфиги
но интересует именно схема "с начала"

подскажите по шагам новичку...

DmyDry
Раз есть полный доступ, то написать:

#erase startup-config
#reload

и подтвердить перезагрузку без сохранения running-config. Ну а потом ввести минимальные начальные параметры: имя/ip/mask/gw

Sorry for the bad question but I'm looking for a 12.4 version of the IOS for the 836 and I found your FTP server. As my russian sucks I try my luck here and ask if there is any way to download the IOSes for the 836?

Thanks for any reply.

    
Извините за плохой вопрос, но я ищу 12.4 версия в IOS на 836, и я нашел ваш FTP сервер. Как моя русский SUCKS я стараюсь моя удача здесь, и спросить, если есть какие-либо способом загрузить IOSes за 836?

Спасибо за ответ.

Dr_Bier

всё сделал, теперь не могу понять, как sdm зайти туда..

сначала SDM говорит:
Для входа на сервер 192.168.12.202 по адресу level_15_access нужны имя пользователя и пароль.
ввожу
admin
"secret"

идет дальше

запускает второе окно с java аутендификацией
enter login details to access level_15_access on /ip
ввожу то же самое

дальше

please type your ssh user name and password

и вот тут я затыкаюсь

что бы не вводил из паролей мной указанных на этапе setup - нифига

подскажите, что делаю не так?

Необходимо поднять QoS в сети.
В Центре Cisco 2811, в регионах Cisco 851.

VoIP не используется. За трафик конкурируют несколько tcp-сервисов: внутренний web портал, почта MS Exchange и бизнес приложение (тонкий клиент).

Бывают ситуации когда с портала скачивают большие объемы информации, загружая канал на 100%, остальные сервисы при этом начинают жутко тормозить.

Необходимо настроить чтоб трафик бизнес приложение был более приоритетным, остальным сервисам, оставшуюся ширину поровну.

Cisco 851 поддерживает только базовые функции Quality of Service (QoS) Features
· Weighted Fair Queuing (WFQ)
· Policy-based routing (PBR)
· Per-VC queuing
· Per-VC traffic shaping

Думаю конфигурации Cisco 851 будет достаточно (центральную Cisco конфигурировать не нужно). Правильно?
Можно ли с помощью этих базовых функций настроить требуемые мне параметры?
Можно ли пример конфига?

Спасибо.

Есть PIX 525, работают 3 интерфейса:

interface ethernet0 100full
interface gb-ethernet0 vlan200 logical
interface gb-ethernet0 vlan450 logical

nameif gb-ethernet0 outside security0
nameif vlan200 dmz security99
nameif vlan450 cme security98

ip address outside 206.xxxxxx 255.255.255.248
ip address dmz 63.xxxxxx.66 255.255.255.224
ip address cme 10.xxxxxx.2 255.255.255.0

Включена трансляция адресов из dmz в cme:

static (dmz,cme) 10.xxxxxx.80 63.xxxxxx.80 netmask 255.255.255.255 0 0
static (cme,dmz) 63.xxxxxx.80 10.xxxxxx.80 netmask 255.255.255.255 0 0

В зоне dmz есть сервер с одновременно с двумя адресами:

63.xxxxxx.80 и 10.xxxxxx.80

Раньше сервер мог сделать пинг по адресам 10.xxxxxx.1,
после перебоя с питанием (конфигурация не изменилась)
пинг больше не проходит и сервер не видит ни одного адреса 10.xxxxxx,
даже PIX 10.xxxxxx.2, но пингует PIX как 63.xxxxxx.66.

Кто подскажет в чём проблема ?

sn2sn
Мож я чего не так сказал Если есть интерфейс в данной сети то второй вы не поднимите, будет ругаться.
Ogerwahn
You can look for IOS on FTP or asks in topic (here more links on servers with IOS)

В наличии 1841 с настроенным Easy VPN Server'ом

Поискал в google, на сайте cisco, почитал IOS Configuration Guides, поэксперементировал с маршрутизатором. Как ни печально, но так и не нашел, как сделать чтобы определенному пользователю выдавался всегда один и тот же IP-адрес.
Это в принципе, при использовании Easy VPN, не возможно? Не там искал? Нужен более другой VPN?

Задача следующая: есть несколько пользователей, использующих VPN. Части из них необходимо зафиксировать IP-адреса. Оставшейся части можно выдавать произвольно.

Цитата:

Задача следующая: есть несколько пользователей, использующих VPN. Части из них необходимо зафиксировать IP-адреса. Оставшейся части можно выдавать произвольно.

Не гуру в Cisco.
Как вариант можно создать отдельные группы (персональные) с пулом адресов из одного адреса.
Для остальных создать группу с пулом из группы адресов.

Добавлено:
Предлагаю в шапку хорошую статью по QoS.
http://www.xnets.ru/plugins/content/content.php?content.85.2

Огиринал: http://www.nag.ru/2005/0717/0717.shtml, но там лишней инфы много.

rakis, не припомню сейчас точно но есть в параметрах dhcp clietn identyfier помоему так... Не совсем мак , что то еще добавляется к маку и получается идентификатор, а потом на его основе можно закрепить ИП. В отличе от того что есть в инетернете без всяких внешних файлов...

LukaBtbb
Походу так и прийдется делать Хорошо хоть их не сильно много.
Вопрос - ACS или Radius мне могут помочь?

Sterh84
pool для vpn-клиентов немного отличается от dhcp-сервера в IOS. Идентификатор клиента мне не поможет, его просто негде прописывать.

rakis Спорить не буду доберусь до АСА расскажу как извернуться

rakis
Radius как раз и создан для такого. Как раз там нужно будет прописать статичный ip для конкретного юзверя, а для остальных - пул.

Подскажите пожалуйста, что отключает в циске команда disable-eadi и на какие функции устройства влияет ее отсутствие или наличие.

Всем привет.
Встала интересная задачка сделать дублирование провайдеров с автоматическим переключением при падении одного из них. Все бы хорошо, есть track например, но ... На местах стоят 871 одним wan портом. Можно рискнуть использовать vlan на FastEthernet, но вот уверенности нет никакой. Дело немного осложняется наличием DMVPN. К тому же было бы интересно разобраться с nat overload при таком раскладе.

У кого-нибудь есть опыт по таким задачам?

народ помогите плиз с vpn на 1841 , устал уже , не могу понять в чем дело.
http://forum.ru-board.com/topic.cgi?forum=8&topic=33646#1