» Настройка Cisco оборудования

Вопрос по IPSec VPN'у:
Возможно ли создать IPSec туннель у которого на одном конце выход в интернет(т.е не фиксирован диапазон адресов, а на другом конце Cisco ASA или Cisco 2800)

Цитата:

Возможно ли создать IPSec туннель у которого на одном конце выход в интернет(т.е не фиксирован диапазон адресов, а на другом конце Cisco ASA или Cisco 2800)

не знаю как с ASA а с 2800 - DMVPN

Valery12
Спасибо, попробую.

Цитата:

Возможно ли создать IPSec туннель у которого на одном конце выход в интернет

Не совсем понял вопрос. Если речь идет о туннеле, который можно поднять между циской и любым компом в инете, несущем на себе Cisco VPN Client, то да.

denis_a

Поправил конфиг, теперь он выглядит [more=так]
Building configuration...

Current configuration : 1726 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco.home
!
boot-start-marker
boot-end-marker
!
logging buffered 4096
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
ip domain name cisco.home
!
!
!
!
!
archive
log config
hidekeys
!
!
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
mac-address XXXX.XXXX.XXXX
ip address 10.10.10.254 255.0.0.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe-client dial-pool-number 1
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 1.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no keepalive
ppp authentication chap callin
ppp chap hostname USERNAME
ppp chap password PASSWORD
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap refuse
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source list 102 interface FastEthernet4 overload
!
access-list 101 permit ip 10.0.0.0 0.255.255.255 any
access-list 102 permit ip host 88.88.88.88 any
dialer-list 1 protocol ip permit
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
logging synchronous
login local
transport input ssh
!
scheduler max-task-time 5000
end
[/more]

результат тот же: с клиента 1.1.1.2 пингуются интерфейсы fa4, dialer1 и vlan1. С самой железки не пингуется ничего. В и-нет, как и в провайдерскую сеть железка не выпускает.
Любопытная деталь - при вводе ip nat inside source list 101 interface Dialer1 overload выдаётся Configuration failed!, но сама команда при этом записывается в конфиг.

embers789

Ну тут скорее полная лажа с натом. Правильней было так

ip nat inside source list 101 interface Dialer1 overload
ip nat inside source list 101 interface FastEthernet4 overload
!
access-list 101 permit ip 1.1.1.0 0.0.0.255 any

Т.к. NAT ACL работает по принципу Кто -> Куда
Кто - это твоя внутренняя сеть, Куда - куда угодно (NAT outside).

И еще вопрос, даже в такой конфиге на Fa4, из внутренней сети идти ничего не будет, т.к. не указанно, на какие маршруты пускать. Типа:

ip route 10.0.0.0 255.0.0.0 10.10.10.1

Здраствуйте ув. форумчане!

Помогите пожалуйста с настройкой и распределением сетки.

Имеется:
1) Cisco 2600 series
2) 24 портовый свитч Linksys, профессиональный
оба в стойке
3) еще в дополнение можно задействовать 1 рутер линксис дешевенький и один свитч линксис тоже не ахти какой.

Так же имеем 5 ИП выделенных от провайдера и линию.

Требуется:
1) Предоставить 3 серверам прямой выход в инет по 3 фиксированным ип из предоставленых провайдером
2) Настроить локальную сеть для офиса, примерно 10 компов плюс минус с выходом в инет через 1 ИП из предоставленых провайдером (NAT?)

Нагрузка:
3 сервера в сумме имеют посещалку около 150к в сутки, нагрузка не очень большая, в основном редирект и отдача мелких статичных файлов. Офисные компы, обычная работа, веб+майл+фтп

Вопрос в следующем: как лучше и более грамотно построить схему соединения сети и какие настройки для ее эффективного использования вы можете посоветовать?

До этого циски не было, стоял обычный дешевенький рутер, но с увеличением посещалки на серверах, выход в инет и в целом работа сети стала подтормаживать, стали терятся пакеты, отклик сайтов увеличился и т.д., а сейчас откопали циску и решили все переделать..

Bazzillio
А поточнее, какая 2600? Дело в том, что разные 2600 имеют разную производительность от 7.5 Mbit до 35. Как бы циска не оказалась узким местом.

И в принципе это вполне легко реализуемо 4-мя правилами NAT. 1 - для локалки, и по одному для каждого сервера.

В случае дизайна, я бы предложил вынести 3 сервера в DMZ. Хотя такое по хорошему решается 2-мя железками. Т.е.

LAN - Firewall - Servers - Firewall - Inet

Но я думаю можно и так

LAN - Firewall(Cisco) - Inet
Server - Firewall(Cisco) - Inet

Т.е. Один порт с циски смотрит на свич к серверам, один в локалку и один или более в инет.

Уточните "Настроить локальную сеть для офиса", это в смысле Cisco должна полностью выполнять роль все, что связанно с сетью, т.е. DHCP, DNS.

denis_a
Спасибо за ответ!

Cisco 2621, у нее всего 2 порта, один внешний, второй внутренний, если я вас правильно понимаю, то внутренний порт должен смотреть в локалку тоесть подключен к свитчу.

Роль циски такова, раздавать сетку серверам, при этом сервера должны быть видны из инета по реальным ИП, и локалке где офисные компы, для локалки все через DHCP, для серверов требуется что бы у каждой машины ИП был статичный.

В данный момент все работает так: (возможно не совсем кошерно)
циска разруливает 5 ИП полученых от провайдера через свитч (не NAT), в этот свитч подключены сервера на которых ИП выставлены реальные, так же в свитч воткнут еще один рутер, который через второй свитч (NAT) разруливает локалку для офиса.

Что происходит, нагрузка через внешний рутер мягко говоря минимальная, что то около 4-5 мбит/с, по статистике циски примерно в среднем 100 пакетов/сек днем когда есть пики, но иногда сетка начинает жутко тормозить, на интерфейсах есть ошибки и коллизии причем как на внешнем к провайдеру так и на внутреннем где разруливаются ИП. Мое предположение что сеть построена не правильно, поэтому и прошу совета.

З.Ы. дополнительных железок не предусматривается, нужно обходится тем что есть.

Bazzillio

У 2621 пропускная способность 12.80 Mbps со включенным CEF и 0.768 Mbps без. Чесно - это цифры взятые с ихнего Quick reference и расчет они вели вот так.
Mbps calculated by pps * 64bytes * 8bits/byte
В реале может быть и по другому, как я понимаю как в "+" так и в "-", в зависимости от вторичной нагрузки. Поэтому собственно и спрашивал, циска конечно умная, но тормознутая для текущих условий. Хотя может этого и достаточно. Т.к. 12.8 и 5 - это чуть больше чем в 2-раза запас.


Цитата:

раздавать сетку серверам

Это как и раньше 4-ре правила NAT.

Повторю вопрос, может задал не совсем явно, DNS и DHCP должна обеспечивать циска или есть сервер, который этим занимается?

А сервера я бы поставил за циску, на ней можно и файервол повесить, хоть немного но надежней.

Т.е. так LAN + Servers - Cisco - WAN

Да, еще.
Свич поддерживает vlan?

Привет!

CEF помоему у нас отключен.. хотя как это проверить?
DHCP + DNS должна раздавать циска

а как узнать поддерживает ли свитч vlan, сорри я не супер спец в сетях, знаю базовые азы + кое что из того с чем приходилось связыватся.

Вопрос, "4 правила NAT" - это значит на серверах на сетевых интерфейсах будут ИП вида 10.*.*.* ?

Цитата:

CEF помоему у нас отключен.. хотя как это проверить?

В конфиге должна быть строчка
ip cef либо no ip cef.
Цитата:

а как узнать поддерживает ли свитч vlan

Зайдите через веб-интерфейс конфигуратора. Если в менюшках найдете настройку vlan, значит, поддерживает.
Цитата:

Вопрос, "4 правила NAT"

А это что еще за зверь? Вы с тремя источниками марксизма не путаете?

Bazzillio


Цитата:

CEF помоему у нас отключен.. хотя как это проверить?

1. В текущей кофигурации должна быть строка
ip cef
2. В новом IOS есть команда
sh cef interface brief
она покажет на каих интерфейсах он включен
3. sh ip cef
покажет %IPv4 CEF not running
4. sh ip int
на интерфейсах должно быть такое, если он включен
IP CEF switching is enabled
IP CEF switching turbo vector


Цитата:

а как узнать поддерживает ли свитч vlan

У свича должна быть поддержка 802.1Q


Цитата:

"4 правила NAT" - это значит на серверах на сетевых интерфейсах будут ИП вида 10.*.*.*

Да что-то типа. Ситуация вполне класическая, реализуется статическим NAT, Т.е

Это для каждого сервера:
ip nat inside source static 10.0.1.1 88.88.88.88
ip nat inside source static 10.0.1.2 88.88.88.89
ip nat inside source static 10.0.1.3 88.88.88.90

Это для локалки (Это PAT):
ip nat inside source list ACL_NAT interface FastEthernet0/0 overload

ip access-list standard ACL_NAT
permit 10.0.0.0 0.0.0.255

Еще вопрос, какая версия IOS?
sh ver

Большое спасибо за конфиг!

sh cef interface
показывает CEF not running

sh ip int
показывает:
FastEthernet0/0 is up, line protocol is up
Internet address is YY.YY.YY.34/28
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is disabled
IP Fast switching turbo vector
IP multicast fast switching is disabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Probe proxy name replies are disabled
Policy routing is disabled
Network address translation is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
WCCP Redirect exclude is disabled
BGP Policy Mapping is disabled

это внешний интерфейс, внутренний тоже самое только ип и маски другие

sh ver

Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IK9O3S-M), Version 12.2(19a), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 30-Sep-03 03:31 by pwade
Image text-base: 0x8000808C, data-base: 0x812C9EC0

ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)

Feedline uptime is 5 days, 34 minutes
System returned to ROM by power-on
System image file is "flash:c2600-ik9o3s-mz.122-19a.bin"

cisco 2621 (MPC860) processor (revision 0x600) with 60416K/5120K bytes of memory.
Processor board ID JAD052912X4 (115415460)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
1 Virtual Private Network (VPN) Module(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)


vlan - скорее всего не поддерживает, а зачем он нужен? что можно сделать?

cef - можно включить
ip cef в config mode


Цитата:

vlan - скорее всего не поддерживает, а зачем он нужен? что можно сделать?

с помощью него можно было бы серваки вынести в DMZ, через свич. Т.е. на свиче, часть портов для локалки в Vlan1 в котором они и так по умолчанию, 3 порта в vlan не 1, и порт идущий к роутеру настроить как trunk, а на циске сделать inter-vlan routing - и по сути получилось бы тоже, что если бы воткнуть сервера в отдельный порт на циске, за исключением скорости, но я не думаю, что она будет узким местом.

Я версию спрашивал, т.к. старые IOS чего-то не умеют, + тут видно сколько есть у тебя оперативки и флеша, судя по тому, что я вижу, сильно обновиться не получится в принципе.
последний для твоей серии c2600-ik9o3s3-mz.123-26.bin

Теперь все уже известно, осталось настроить. Вопрос хватит ли у нее функционала, может прийдется что-то обходить не совсем привычным способом.

Понятно! Спасибо, уточнил, vlan точно нету, свитчи обычные.

В целом все ясно, буду пробовать, спасибо за помощь.

2811 с 12.4(15)Т12 INT VOICE/VIDEO, IPIP GW, TDMIP GW AES
потребовалось настроить CUBE (h323 to sip, sip to h323)
маршрутизатор за NAT, для того чтобы переписать SIP заголовки необходима опция "Configurable SIP Parameter Modification", к сожалению в установленном IOS'е ее нет, есть в 12.4(15)XZ и старше.
Посмотрел в [more=Cisco Feature Navigator]
Features:
----------------------------------------------------
Call Detail Records (CDR) Feature Correlation ID for Supplementary Features
Caller ID on FXO for MGCP
CME (Communications Manager Express) 7.0 / SRST (Survivable Remote Site Telephony) 7.0
Configurable Bandwidth Parameters for SIP Calls
Configurable SIP Parameter Modification
Disable Outbound SIP Proxy on a per-Dial-Peer Basis
G.722-64K Support on CME; G.722 and iLBC Transcoding, Conferencing Support on CME
G.729br8 Codec as a Superset of G.729r8 and G.729br8 Codecs
Gatekeeper Enhancement: Support for extended InterZone Clear Token
ISDN FACILITY and NOTIFY Mapping to SIP INFO
ISDN Q.931 Tunneling over SIP TDM Gateway
SIP - Support for SIP Video Calls with Flow Around Media
SIP Delayed Offer to Early Offer for Video Calls
TCP MSS Adjust
Transparent Tunneling of QSIG and Q.931 over SIP-SIP Cisco Unified Border Element
[/more] и как то смутил меня очень маленький список опций.
В связи с чем вопрос: у кого-нибудь есть в работе этот IOS?
Требуемые опции: CUBE, Voice Gateway, GateKeeper

Bazzillio

А с настройкой помогать не нужно, ты же вроде просил по большей части именно это?

Слетелb COKIE на 857 циске, скормил ей от точ такой же циски естественно поменял мак адрес, но она при загрузке выдаёт

Queued messages:
*Mar 1 00:00:04.808: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging output.
FAILED: Cookie signature verification failed, status = 540

Как полечить её, сама железка находится в другом городе имею доступ к ней через консоль, погуглив решения не нашёл. Сервис центр из за того что она в другом городе напряжное решение.

Доброго дня, всем
Подскажите, пожалуйста, пытаюсь настроить VPN, ввожу:

router(config)# crypto isakmp ....
пишет invalid inpu detected

router(config)# crypto ?
выдает
ca Certification authority
key Long term key operations
pki Public Key components

вопрос - это ios обрезанный или надо что-то перед этим включить?
модель 1941, к9 есть

sh ver
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.0(1)M1, REL
EASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 14:14 by prod_rel_team

ROM: System Bootstrap, Version 15.0(1r)M3, RELEASE SOFTWARE (fc1)

volgin2k, ммм у Вас новая железка . Поздравляюю Надо начинать тему по отучению от жадности. У Вас установлен универсальный образ IOS, там все это пожмно попробывать бесплатно на 30 дней . Но потом это естественно отключиться , если кто расскажет методы лечения буду благодарен. Ну либо можете попробывать даунгрейд до версии 12.4. Но там не все поддерживается и может не завестись насколько я помню.

AMuHb, может быть, эта статья поможет?
How to resolve the "Warning: Cookie information is corrupt" error on Cisco routers

Sterh84
и железка новая, и я первый раз вообще с циской начал общение
а на счет 30 дней - посмотрю, спасибо за наводку
вроде как не прошло еще столько и в информации о лицензиях пишет что еще не все
Evaluation period left: 8 weeks 4 days - надо видимо как-то активировать

Возникла необходимость сбросить пароль на cisco800. Сделал все по инструкции http://www.cisco.com/en/US/products/hw/routers/ps259/products_password_recovery09186a0080094675.shtml
При попытке входа с новым паролем пишет ошибку % Login invalid. Это получается что логин неправильный? Как сбросить и логин и пароль на cisco800?

скромный вопрос, вот по этим: Catalyst 3560G (ядром) соединятся с 3560, и 2960.
есть-ли какая функция защиты в этих железках, от всякого рода мусора в сети,типа arpflood и атак внутри сети...

bahtey
есть и достаточно много фич на уровне L2 и L3.
посмотрите конфигурейшн гайды на сайте производителя
http://www.cisco.com/en/US/products/hw/switches/ps5023/products_installation_and_configuration_guides_list.html

у кого-нибудь есть информация о CXFF 642-384 cisco express foundation for field engineers
dumps p4s и так далее кто-нибудь его сдавал?

запустил GNS3. Router не стартует. Пишет: Error: 209-unable to start VM instance 'R2
что делать? Подскажите!

Всем доброго времени суток!

Возникло пару вопросов к гуру, так как сам с циской столкнулся впервые, и даже после чтения мануалов остались некоторые неясности.
Есть циска 851, есть локальная сеть на 5-6 ПК + сервер. Есть 2 точки доступа (Linksys WAP54G), которые будут подключены к портам FastEthernet1 и FastEthernet2 и к которым клиенты ресторана будут подключаться со своих устройств. IP адреса клиентам выдает dhcp, поднятый на циске. IP в локалке статические, из диапазона 192.168.1.1 - 192.168.1.99. dhcp выдает из диапазона 100-254.
Подключение к инету по pppoe.

Изначально конфиг выглядит вот так: [more=Конфиг]

Building configuration...

Current configuration : 5446 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname company
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
clock timezone EET 2
clock summer-time EET recurring last Sun Mar 2:00 last Sun Oct 2:00
!
crypto pki trustpoint TP-self-signed-1688527908
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1688527908
revocation-check none
rsakeypair TP-self-signed-1688527908
!
!
crypto pki certificate chain TP-self-signed-1688527908
certificate self-signed 01
3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31363838 35323739 3038301E 170D3130 30353231 31303136
35375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 36383835
32373930 3830819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100E1DA 6D594C14 5AD8E65F 99226E09 7F0AAACF 65172854 08E306E9 EA2086EA
DC2A512F D0266F8E 8B80A6C4 0A6839F6 9396ED23 E4352D39 D7F266CB 7973A262
635FA65C C424BC34 1ED80C84 10181F99 6ED7E889 C78C4348 61F89C22 E885EAD7
E948FDE7 767DC949 CB450DC9 E52BEAE4 890FA631 F449FDA8 B02C9201 8A649C15
E31D0203 010001A3 76307430 0F060355 1D130101 FF040530 030101FF 30210603
551D1104 1A301882 16416375 6D617269 2E616375 6D617269 2E636F6D 2E756130
1F060355 1D230418 30168014 16BA2EC0 160ED0A5 EA12F54F D04D0C77 38481572
301D0603 551D0E04 16041416 BA2EC016 0ED0A5EA 12F54FD0 4D0C7738 48157230
0D06092A 864886F7 0D010104 05000381 8100BAB8 09C58514 0F09F1DC B25D3CE0
4AD01A10 AEDE045B 734459D9 BB4EFB13 F7BF892B 955BEB35 3684CB90 438F4990
4D1431DB 23443E1A 7C37B9DB 99C1D826 0F1491B2 B1A5492E 99A3DE92 ED14A7BF
52D7A051 1C15DCD0 F5E7BA2F D29087CA 3B416A6C E7C3CB63 3D573701 6745932C
CDFE0DED BD800BDA F022479A B80BC989 9CC7
quit
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2 192.168.1.99
!
ip dhcp pool LAN
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
domain-name company.com.ua
dns-server 77.91.190.21 77.91.190.24
!
!
ip cef
no ip domain lookup
ip domain name company.com.ua
!
!
!
username admin privilege 15 secret 5 $1$hVl1$0XCDALY6yA.sZs91EQmIs/
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description ISP
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description LAN
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username USERNAME password 7 PASSWORD
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 100 interface Dialer0 overload
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
control-plane
!
banner exec ^C
[/more]

Все работает, но у начальства появились новые идеи и требования )

1. Есть ли возможность с помощью acl запретить теоретический доступ клиентам с wi-fi оборудованием в локалку ресторана?
Или все таки проще переконфигурировать сеть на разные диапазоны адресов?
2. Есть ли возможность ограничить скорость интернет конекта для клиентов с wi-fi?
Я так предполагаю, нужно граничивать доступ и скорость по интерфесам FastEthernet1 и FastEthernet2?

Заранее спасибо за ответы, или подсказки

1. Есть
2. Есть
Более того, если прошить точки Linksys более продвинутой прошивкой, есть возможноть создания нескольких виртуальных точек доступа, например с шифрованием и доступом к локалке и интернет для сотрудников, и открытую с доступом только в интернет для клиентов.