» Настройка Cisco оборудования

Djufen
VLAN1 на цисках нельзя использовать для управления трафиком портов, об этом везде написано, в этом влан присутствуют все порты по дефолту и это нельзя ни изменить, ни удалить ни переименовать. Используй другой номер, например VLAN3 или VLAN100. Короче если будешь юзать VLAN1 ничего пахать как нужно не будет.
Насчет остального щас влом думать, пятницо! Если члены обеих сеток должны взаимодействовать между собой, то резонный вопрос - зачем их делить на разные вланы?
Нарисуй схемку сети. В понедельник подумаем.

Djufen

Цитата:

задача заключается в том, чтобы заставить пакеты предназначенные для обеих VLAN-ов были доступны через промежуточный свитч, т.е. на тот же свитч в котором сидят основная масса раб.станций - при подключении гостевых хостов, IP назначался DHCP-сервером, и при необходимости члены обеих подсеток могли взаимодействовать друг с другом.

Порт на cisco к которому происходит подключение неуправляемого коммутатора, не может работать в режиме switchport mode trunk, следовательно остается только switchport access vlan. Для выхода из сложившейся ситуации вам стоит рассмотреть возможность замены неуправляемых коммутаторов, на управляемые, например HP ProCurve 1700. По мимо этого, вам понадобится настроить InterVLAN маршрутизацию, если это еще не сделано.

Djufen


Цитата:

задача заключается в том, чтобы заставить пакеты предназначенные для обеих VLAN-ов были доступны через промежуточный свитч

насколько я понял
1. только один порт GigabitEthernet2/3 используется для подключения к unmgmt коммутатору?
2. к портам unmgmt коммутаторов подключены пользователи только vlan1?

очень бы пригодилась в данным случае топология с подключением коммутаторов между собой и указание где и какие vlan-ы и пользователи находятся.

vlan1 можно использовать для передачи трафика.
vlan1 так же можно отключить вообще для повышение безопасности или перевести порты в другой влан, как это сделано в данном случае с портом GigabitEthernet2/2

Добрый день.

Есть две cisco 1811, в офисе есть инет и сеть провайдера, в удаленном филиале только сеть провайдера.
по ряду причин поднят dmvpn (mGRE NHRP IPsec +OSPF)
Наконец в удаленном филиале притащили инет и хотелось бы поднять второй тонель до офиса и получить как минимум отказоустойчивость, как максимум - отказоустойчивость + балансировку.

Подскажите - какие слова гуглить? )

Цитата:

Подскажите - какие слова гуглить? )

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_paper09186a008018983e.shtml

Valery12
спасибо!

Всем привет.
Купили железку Cisco 6513.
Вопрос по WS-C6500-SFM

ROM: System Bootstrap, Version 12.1(4r)E, RELEASE SOFTWARE (fc1)
BOOTLDR: c6sup2_rp Software (c6sup2_rp-JK2O3SV-M), Version 12.1(26)E9, RELEASE SOFTWARE (fc1)
System image file is "sup-bootflash:c6sup22-jk2o3sv-mz.121-26.E9.bin"
cisco WS-C6513 (R7000) processor (revision 1.1) with 227328K/34816K bytes of memory.
R7000 CPU at 300Mhz, Implementation 39, Rev 2.1, 256KB L2, 1024KB L3 Cache

Router#sh mod
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD06010206
3 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAD05060V5S
4 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAL0541CVV1
5 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45 SAL06210346
8 0 Switching Fabric Module-128 WS-C6500-SFM SAL0739M5SM

Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 0001.c9da.e34c to 0001.c9da.e34d 3.2 6.1(4) 12.1(26)E9 Ok
3 0001.9723.8d8c to 0001.9723.8dbb 1.5 5.4(2) 8.5(0.9)TFW3 Ok
4 0007.4f6b.0a40 to 0007.4f6b.0a6f 5.0 5.4(2) 8.5(0.9)TFW3 Ok
5 0009.11bc.bfc0 to 0009.11bc.bfef 6.1 5.4(2) 8.5(0.9)TFW3 Ok
8 0000.0000.0000 to 0000.0000.0000 1.5 Unknown Unknown PwrDown

Mod Sub-Module Model Serial Hw Status
--- --------------------------- --------------- --------------- ------- -------
1 Policy Feature Card 2 WS-F6K-PFC2 SAD0602051Y 3.0 Ok
1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD055205RY 1.3 Ok
5 Inline Power Module WS-F6K-PWR 1.0 Ok

Mod Online Diag Status
--- -------------------
1 Pass
3 Pass
4 Pass
5 Pass
8 Unknown

Немогу разобраться почему не видит WS-C6500-SFM.
Читал http://www.cisco.com/en/US/products/hw/switches/ps708/products_module_configuration_guide_chapter09186a0080394e19.html
и http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a00801c6652.shtml

Как бы написанно что должно работать или я не прав ?
Если оно рабоает то в каком режиме CatOS или IOS ?

cjgun
посмотрите вторую ссылку еще раз.
строка для поиска
"The WS-C6500-SFM is not supported on a Catalyst 6513"

Я видел это строку, мне стало странным почему оно там стоит тогда если неподдерживается

добр день.
подскажите не разумному, зачем loopback интерфейсы используют?
вот к примеру кусочек конфига

interface f0/0
ip address 10.0.0.2 255.255.255.0
exit
interface f0/1
ip address 192.168.0.1 255.255.255.0
exit
interface Loopback1
ip address 172.16.1.1 255.255.255.255

ip route 0.0.0.0 0.0.0.0 10.0.0.1
ip route 192.168.1.0 255.255.255.0 172.17.1.2

interface Tunnel0
ip address 172.17.1.1 255.255.255.252
tunnel mode gre ip
tunnel source Loopback1
tunnel destination 172.16.2.1

zubastiy
вариантов масса, в твоем примере по этому кусочку сразу не скажешь, вот к примеру я строю туннель между двумя роутерами и второй мне доступен сразу через два интерфейса (для отказоустойчивости) Но если я привяжу туннель к физическому интерфейсу при его падении упадет и туннель, а вот Loopback упадет только если умрет сам роутер.

Valery12
кусочек конфига попался совсем про другую тему (на хоботе обсуждали связку vyatta и cisco) там только он и указан.
про тоннели оченно интересно.

подскажите по ситуации - есть у меня два канала, между двумя объектами, один инет, другой линк от провайдера (L2), то есть на интерфейсах соединенных этим кабелем просто указанны ip из одной подсети без какого либо маршрута по умолчанию. с инет каналом все как обычно.
в destination для тоннеля в этом случае что указывать, ip loopback интерфейса другой циски? если да, то каким образом одна циска узнает о том где этот ip (удаленный loopback) находится?

zubastiy
Цитата:

в destination для тоннеля в этом случае что указывать

По любому внешние адреса другой циски.

vlary

Цитата:

По любому внешние адреса другой циски.  

у тоннеля может быть два destinaton?

nterface Tunnel0
ip address 172.17.1.1 255.255.255.252
tunnel mode gre ip
tunnel source Loopback1
tunnel destination 193.22.22.22 195.24.24.24

Так?


или может указывать loopback циски 2, указывая в маршрутах на циске 1 что этот ip находится за ее внешними интерфейсами и на циске 2 разрешить трафик до loopback от внешних ip циски 1 ?

Братцы подскажите, никак не могу разобраться с IOS firewall (ака ACL) на 850-м.
Собственно не пойму как в правилах АСЛ задается трафик на саму Циску (ну чтоб с нее допустим можно было пингавать). Собственно конфиг простой внутри один Vlan1 с присвоеным адресом 192.168.0.1, снаружи PPPoE на Dialer0 (ip динамические), работает NAT. Поднял Firewall из SDM (он навоял какие-то правила). на локальной машинке в ручную забил ип, шлюз 192.168.0.1, днс провайдера, в результате: на компе вроде усе работает, пинг в инет идет и по днс и по ip. Но с самой циски можно пингануть (по ип) тока локалку ..., в нет доступа НЕТ !! Собственно вся карусель ради того чтоб поднять на ней ДНС сервер (пробовал но безрезультатно, чувствую фаер режет ......)
А для чего нужны списки апликейшен ?

zubastiy
если есть белые пятна по маршрутизации, то loopback-и лучше пока нет трогать. с ними еще больше будет путаницы.
loopback - это еще один интерфейс. их используют в основном для отказоустойчивости.
у туннеля может быть много destinaton-ов, но в Вашем конкретном случае только один.

Artur2005
конфиг, потом вопросы.

подскажите пожалуйста, есть cisco 857 очень хочется на ней еще один влан получить
знаю. что офифциально - нет, но может есть какой хитрый финт ушами? ))
или это аппаратно не возможно

Цитата:

может есть какой хитрый финт ушами? )

есть но понадобится еще свич с поддержкой виланов,
"переворачиваешь" роутер - делаешь vlan1 внешним интерфейсом а fa4 внутренним и на нем добавляешь нужные сабинтерфейсы

Цитата:

есть но понадобится еще свич с поддержкой виланов,
"переворачиваешь" роутер - делаешь vlan1 внешним интерфейсом а fa4 внутренним и на нем добавляешь нужные сабинтерфейсы

не получится, 857- это та, которая с ADSL

Здравствуйте, коллеги. У меня такой вопрос, как настроить cisco 3750, так что-бы она хранила запись в arp-таблице даже если порт ушел в shutdown? Задача была такая: "Нужно найти номер порта, с которого осуществлялся НСД, по его MAC-у". Если порт включен, то железка хранит записи 4 часа, а если грубо говоря дернули пачкорд, то вытерает запись. Заранее благодарен.

схожу уже с ума )

есть cisco 1811
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T11, RELEASE SOFTWARE (fc2)

наблюдаю разнообразные глюки с маршрутами. при этом то работает все как надо, то не работает.
сейчас работает и трогать ее (cisco) страшно )

поискал в инете насчет багов в используемом иосе, не нашел ничего толкового.
никто с таким иос не общался?

zubastiy
по этой версии сейчас 61 opencases, если нужен именно train, то уходите на 12.4(15)Txx, либо на 12.4(25d)

Добавлено:
zukker2
возможно такое и есть, надо вникать в спецификацию вашей версии IOS, но IMHO правильнее снимать необходимые события на какой-нить внешний коллектор и там уже разгребать.

slut
спасибо. остановился на 12.4 (15)Т13

Дано: CCM 6.1(5), Cisco 2811 (ADVENTERPRISEK9_IVS, 12.4(24)T3)
Топология: IP Phone -> SCCP -> CCM -> SIP -> C2811 -> SIP -> ITSP
Задача: настроить SIP транк с провайдером

Вроде и задача простая, но есть несколько нюансов:
1. C2811 имеет "серый" адрес, через Static NAT анонсируется в интернет с адресом 1.1.1.1
2. Любой хост при попытке обратиться к SIP серверу провайдера транслируется также в адрес 1.1.1.1
[more=Конфиг фаервола]
! Разрешаем провайдеру приходить к нам по SIP портам
access-list outside_access_in extended permit tcp host 2.2.2.2 host 1.1.1.1 eq sip
access-list outside_access_in extended permit udp host 2.2.2.2 host 1.1.1.1 eq sip
! Разрешаем RTP
access-list outside_access_in extended permit udp host 2.2.2.2 host 1.1.1.1 range 16384 32767
static (dmz,outside) tcp 1.1.1.1 sip 172.17.0.21 sip netmask 255.255.255.255
static (dmz,outside) udp 1.1.1.1 sip 172.17.0.21 sip netmask 255.255.255.255
! Выпускаем SIP клиентов под адресом нашего SIP маршрутизатора
global (outside) 26 1.1.1.1 netmask 255.255.255.255
nat (inside) 26 access-list SIP_clients
access-list SIP_clients extended permit udp any host 2.2.2.2 range 16384 32767
[/more]

3. На C2811 настроено 8-ку заворачивать в транк
[more=Конфиг маршрутизатора]
voice service voip
media flow-around
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
fax protocol cisco
h323
sip
voice class codec 1
codec preference 1 g711alaw
codec preference 2 g711ulaw
voice class sip-profiles 10
request INVITE sip-header From modify "(<.*:.*@)(.*>)" "\11.1.1.1>"
request INVITE sip-header Contact modify "(<.*:.*@)(.*>)" "\11.1.1.1:5060>"
request INVITE sip-header Via modify "(.*UDP ).*" "\11.1.1.1:5060"
dial-peer voice 4 voip
! В ССМ
destination-pattern 5....
session protocol sipv2
session target ipv4:172.17.0.17
dial-peer voice 8 voip
! К провайдеру
destination-pattern 8T
voice-class sip profiles 10
session protocol sipv2
session target ipv4:2.2.2.2
session transport udp
codec g711alaw
[/more]

Вроде все просто. Проблема одна - не работает. При звонке минуту-две тишина, затем короткие гудки.
[more=Лог звонка]
Aug 31 12:25:52.974: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Received:
INVITE sip:89161111111@172.17.0.21:5060 SIP/2.0
Date: Tue, 31 Aug 2010 12:25:52 GMT
Call-Info: <sip:172.17.0.17:5060>;method="NOTIFY;Event=telephone-event;Duration=500"
Allow: INVITE, OPTIONS, INFO, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, PUBLISH
From: "SindarovskyRA" <sip:50000@172.17.0.17>;tag=d816acea-2727-4342-bb9e-5abc7815aedb-165327024
Allow-Events: presence, kpml
Supported: timer,replaces
Min-SE: 1800
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.17>;party=calling;screen=yes;privacy=off
Content-Length: 0
User-Agent: Cisco-CUCM6.1
To: <sip:89161111111@172.17.0.21>
Contact: <sip:50000@172.17.0.17:5060>
Expires: 180
Call-ID: e3b58d80-c7c1f4d0-1453b7-117c1aac@172.17.0.17
Via: SIP/2.0/UDP 172.17.0.17:5060;branch=z9hG4bK3b926712873
CSeq: 101 INVITE
Session-Expires: 1800
Max-Forwards: 70


Aug 31 12:25:52.998: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
SIP/2.0 100 Trying
Via: SIP/2.0/UDP 172.17.0.17:5060;branch=z9hG4bK3b926712873
From: "SindarovskyRA" <sip:50000@172.17.0.17>;tag=d816acea-2727-4342-bb9e-5abc7815aedb-165327024
To: <sip:89161111111@172.17.0.21>
Date: Tue, 31 Aug 2010 12:25:52 GMT
Call-ID: e3b58d80-c7c1f4d0-1453b7-117c1aac@172.17.0.17
CSeq: 101 INVITE
Allow-Events: telephone-event
Server: Cisco-SIPGateway/IOS-12.x
Content-Length: 0


Aug 31 12:25:52.998: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:25:52 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257552
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:25:53.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:25:53 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257553
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:25:54.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:25:54 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257554
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:25:56.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:25:56 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257556
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:26:00.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:26:00 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257560
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:26:08.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:26:08 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257568
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:26:24.498: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
INVITE sip:89161111111@2.2.2.2:5060 SIP/2.0
Via: SIP/2.0/UDP 1.1.1.1:5060
Remote-Party-ID: "SindarovskyRA" <sip:50000@172.17.0.21>;party=calling;screen=yes;privacy=off
From: "SindarovskyRA" <sip:50000@1.1.1.1>;tag=13E152BC-179F
To: <sip:89161111111@2.2.2.2>
Date: Tue, 31 Aug 2010 12:26:24 GMT
Call-ID: BB1B8DA9-B43111DF-95F794CE-5B716F45@172.17.0.21
Supported: 100rel,timer,resource-priority,replaces,sdp-anat
Min-SE: 1800
Cisco-Guid: 3138945097-3023114719-2515637454-1534160709
User-Agent: Cisco-SIPGateway/IOS-12.x
Allow: INVITE, OPTIONS, BYE, CANCEL, ACK, PRACK, UPDATE, REFER, SUBSCRIBE, NOTIFY, INFO, REGISTER
CSeq: 101 INVITE
Timestamp: 1283257584
Contact: <sip:50000@1.1.1.1:5060>
Expires: 180
Allow-Events: telephone-event
Max-Forwards: 69
Session-Expires: 1800
Content-Length: 0


Aug 31 12:26:56.499: //5518/BB18804995F1/SIP/Error/act_sentinvite_wait_100: Out of retries
Aug 31 12:26:56.499: //-1/xxxxxxxxxxxx/SIP/Error/sipSPIGetContentQSIG: No Inbound Container Created !!!
Aug 31 12:26:56.499: //-1/xxxxxxxxxxxx/SIP/Error/sipSPIGetContentQ931: No Inbound Container Created !!!
Aug 31 12:26:56.499: //5518/BB18804995F1/SIP/Call/sipSPICallInfo:
The Call Setup Information is:
Call Control Block (CCB) : 0x4A49736C
State of The Call : STATE_DEAD
TCP Sockets Used : NO
Calling Number : 50000
Called Number : 89161111111
Source IP Address (Sig ): 172.17.0.21
Destn SIP Req Addr:Port : 2.2.2.2:5060
Destn SIP Resp Addr:Port : 2.2.2.2:5060
Destination Name : 2.2.2.2

Aug 31 12:26:56.499: //5518/BB18804995F1/SIP/Call/sipSPICallInfo:
Disconnect Cause (CC) : 102
Disconnect Cause (SIP) : 200

Aug 31 12:26:56.507: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Sent:
SIP/2.0 408 Request Timeout
Via: SIP/2.0/UDP 172.17.0.17:5060;branch=z9hG4bK3b926712873
From: "SindarovskyRA" <sip:50000@172.17.0.17>;tag=d816acea-2727-4342-bb9e-5abc7815aedb-165327024
To: <sip:89161111111@172.17.0.21>;tag=13E24AD0-913
Date: Tue, 31 Aug 2010 12:25:52 GMT
Call-ID: e3b58d80-c7c1f4d0-1453b7-117c1aac@172.17.0.17
CSeq: 101 INVITE
Allow-Events: telephone-event
Server: Cisco-SIPGateway/IOS-12.x
Reason: Q.850;cause=102
Content-Length: 0


Aug 31 12:26:56.507: //-1/xxxxxxxxxxxx/SIP/Msg/ccsipDisplayMsg:
Received:
ACK sip:89161111111@172.17.0.21:5060 SIP/2.0
Date: Tue, 31 Aug 2010 12:25:52 GMT
From: "SindarovskyRA" <sip:50000@172.17.0.17>;tag=d816acea-2727-4342-bb9e-5abc7815aedb-165327024
Allow-Events: presence, kpml
Content-Length: 0
To: <sip:89161111111@172.17.0.21>;tag=13E24AD0-913
Call-ID: e3b58d80-c7c1f4d0-1453b7-117c1aac@172.17.0.17
Via: SIP/2.0/UDP 172.17.0.17:5060;branch=z9hG4bK3b926712873
CSeq: 101 ACK
Max-Forwards: 70


Aug 31 12:26:56.511: //5517/BB18804995F1/SIP/Call/sipSPICallInfo:
The Call Setup Information is:
Call Control Block (CCB) : 0x47FF19CC
State of The Call : STATE_DEAD
TCP Sockets Used : NO
Calling Number : 50000
Called Number : 89161111111
Source IP Address (Sig ): 172.17.0.21
Destn SIP Req Addr:Port : 172.17.0.17:5060
Destn SIP Resp Addr:Port : 172.17.0.17:5060
Destination Name : 172.17.0.17

Aug 31 12:26:56.515: //5517/BB18804995F1/SIP/Call/sipSPIMediaCallInfo:
Number of Media Streams: 1
Media Stream : 1
Negotiated Codec : No Codec
Negotiated Codec Bytes : 0
Nego. Codec payload : 255 (tx), 255 (rx)
Negotiated Dtmf-relay : 0
Dtmf-relay Payload : 0 (tx), 0 (rx)
Source IP Address (Media): 172.17.0.21
Source IP Port (Media): 0
Destn IP Address (Media): -
Destn IP Port (Media): 0
Orig Destn IP Address:Port (Media): [ - ]:0

Aug 31 12:26:56.515: //5517/BB18804995F1/SIP/Call/sipSPICallInfo:
Disconnect Cause (CC) : 102
Disconnect Cause (SIP) : 408
[/more]

[more=Ошибка] Aug 31 12:26:56.499: //5518/BB18804995F1/SIP/Error/act_sentinvite_wait_100: Out of retries
Aug 31 12:26:56.499: //-1/xxxxxxxxxxxx/SIP/Error/sipSPIGetContentQSIG: No Inbound Container Created !!!
Aug 31 12:26:56.499: //-1/xxxxxxxxxxxx/SIP/Error/sipSPIGetContentQ931: No Inbound Container Created !!! [/more] в логе есть, но как ее исправить пока не знаю.

Вопрос простой - что я не доделал?

P.S. Печаль в том, что если заменить C2811 на Asterisk, то все отлично работает.
[more=Конфиг Asterisk'а]
[general]
useragent=IP PBX
context=default
allowguest=no
allowoverlap=no
udpbindaddr=0.0.0.0
bindport=5060
tcpenable=no
tlsenable=no
srvlookup=no
videosupport=no
qualify=yes
disallow=all
allow=alaw
allow=ulaw
dtmfmode=info
externip=1.1.1.1
localnet=172.17.0.0/255.255.0.0

[ITSP]
type=friend
context=main
host=2.2.2.2
nat=yes
canreinvite=yes
transport=udp
qualify=no
[/more]

прощение. Применение в правильном разделе.

riwtoptouc правила читали? а ветку Варез не юзаем? Поиск иосов и запросы сюда
http://forum.ru-board.com/topic.cgi?forum=35&topic=42271&start=1080#lt

Добр день.

Взыскую помощи по cisco 2901 ios 15 и static nat

Хочу сделать доступ до внутреннего ресурса (ssh)
Делал нат и 80 порт и тд - никаких пакетов на 192.168.2.172 не вижу
Не работает. Конфиг ниже

[more]


!
! Last configuration change at 09:05:56 UTC Fri Sep 3 2010 by dam
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco2901-r2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$1ssO$nxm7Xgz6RXLdLw45htdn3.
!
no aaa new-model
!
!
!
!
no ipv6 cef
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
!
ip domain name cisco2901-r2
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-1777081794
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1777081794
revocation-check none
rsakeypair TP-self-signed-1777081794
!
!
crypto pki certificate chain TP-self-signed-1777081794
certificate self-signed 01
30820251 308201BA A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31373737 30383137 3934301E 170D3130 30383236 31323237
31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37373730
38313739 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C723 61A0B5E9 190B49D3 55606925 A99D4653 2FD35BF1 8EC0275F FEBE9F92
D8460259 037E8267 53DC16B5 0F41AA03 6848B709 07AD521B B22EBE7E F49E4365
5E191C50 383C1CB1 00C0556F AE77BD4A 01729B41 6B684177 1A3A981E C4C80DF4
F5F772B7 81CA7B5F BD930DE7 121599EF 4D719DF5 2FF3493B DD5DD0CD 0ADED130
310D0203 010001A3 79307730 0F060355 1D130101 FF040530 030101FF 30240603
551D1104 1D301B82 19636973 636F3239 30312D72 322E6369 73636F32 3930312D
7232301F 0603551D 23041830 16801446 8528BD4E AA8E32B3 C28B4780 03801263
18E8DF30 1D060355 1D0E0416 04144685 28BD4EAA 8E32B3C2 8B478003 80126318
E8DF300D 06092A86 4886F70D 01010405 00038181 0070068F B9302BCF 499C4F54
78868E31 F98DEAD9 CAE71721 41D1E15C 2260981C DDCAB6AA CFDEF08C 8A224577
5A843177 5160FC8B AD39FF87 3BF48914 45492E2C B9B66C8A D12F280F 44D7BAE1
36399022 D7D4C317 1C363A6B 10B76442 AB54DC21 4F070D9C 71A01866 FDF0DB5B
DCEE76B7 FACE307F 9FA65C3C 03364DAB 68EA1310 23
    quit
license udi pid CISCO2901/K9 sn FCZ142694FH
!
!
!
no spanning-tree vlan 1
username dam privilege 15 secret 5 $1$vAD/$2N8IbPhtBKW6TwVy22L0X0
!
redundancy
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 172.19.22.253 255.255.255.0 secondary
ip address 172.19.22.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
interface FastEthernet0/0/0
!
!
interface FastEthernet0/0/1
!
!
interface FastEthernet0/0/2
!
!
interface FastEthernet0/0/3
!
!
interface Vlan1
description $ES_LAN$
ip address 192.168.2.160 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
!
!
ip forward-protocol nd
!
ip http server
ip http access-class 20
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 2 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.2.172 22 172.19.22.253 22 extendable
ip route 0.0.0.0 0.0.0.0 172.19.22.1
ip route 192.168.3.0 255.255.255.0 192.168.2.254
!
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 20 permit 192.168.2.0 0.0.0.255
access-list 20 permit 192.168.3.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.3.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
!
line con 0
no exec-banner
logging synchronous
login local
line aux 0
line vty 0 4
location line
access-class 23 in
exec-timeout 60 0
privilege level 15
logging synchronous
login local
transport input telnet ssh
line vty 5 15
location line
access-class 23 in
exec-timeout 60 0
privilege level 15
logging synchronous
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
[/more]

zubastiy

interface GigabitEthernet0/0
ip address 172.19.22.253 255.255.255.0 secondary
ip address 172.19.22.254 255.255.255.0

ip nat inside source list 2 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.2.172 22 172.19.22.253 22 extendable

у меня большое подозрение что пакеты отправленные на 22 порт 172.19.22.253 доходят до 192.168.2.172, а вот ответные от 192.168.2.172 натятся с адресом 172.19.22.254
поэтому сессия не устанавливается.

зачем вообще понадобился secondary адрес?

День добрый, господа.
Сразу прошу не пинать и не тыкать в сторону поиска...

Прошу подсказать по такой теме:
есть Cisco 1811, на которой настроен NAT для выпуска пользователей в инет. Есть статические трансляции с локалки на внешний IP.. Так вот, из локальной сети невозможно подключиться к сервисам, проброшенным статической трансляцией, по внешнему IP адресу..
Прошу помочь в решении данной проблемы, т.к. в офисе довольно много людей, путешествующих по всей России с различными беспроводными "интернетами", и настраивать им по два подключения (на внешний ип и на локальный) - не айс..

Конфига следующая:
[more= Конфа]
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging message-counter syslog
logging buffered 4096
logging console critical
!
aaa new-model
!
!
aaa authentication login local_auth local
!
!
aaa session-id common
clock timezone MSK 3
!
!
dot11 syslog
no ip source-route
no ip gratuitous-arps
!
!
!
!
ip cef
no ip bootp server
ip domain name usadba.local
ip name-server 88.210.40.100
ip name-server 194.106.202.130
login block-for 10 attempts 10 within 10
no ipv6 cef
!
multilink bundle-name authenticated
!
async-bootp dns-server 10.10.1.1
vpdn enable
!
vpdn-group VPN
! Default PPTP VPDN group
description VPN Clients
accept-dialin
protocol pptp
virtual-template 1
!
!
!
подчищено)
!
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface FastEthernet0
ip address x.x.x.x 255.255.255.252
ip verify unicast source reachable-via rx allow-default 100
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly
speed auto
full-duplex
!
interface FastEthernet1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Virtual-Template1
ip address 10.10.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
peer default ip address pool VPNPool
ppp authentication ms-chap-v2
!
interface Vlan1
ip address 172.16.0.1 255.255.255.0 secondary
ip address 172.16.1.1 255.255.255.0 secondary
ip address 193.168.1.1 255.255.255.0 secondary
ip address 192.168.1.168 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip nat enable
ip virtual-reassembly
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
ip local pool VPNPool 10.10.1.2 10.10.1.20
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x 10 permanent
no ip http server
ip http authentication local
no ip http secure-server
!
!
ip dns server
ip nat inside source list 192 interface FastEthernet0 overload
ip nat inside source static tcp 192.168.1.169 5929 interface FastEthernet0 5929
ip nat inside source static tcp 192.168.1.169 5928 interface FastEthernet0 5928
ip nat inside source static tcp 192.168.1.171 5922 interface FastEthernet0 5922
ip nat inside source static tcp 192.168.1.171 5923 interface FastEthernet0 5923
ip nat inside source static tcp 192.168.1.237 5920 interface FastEthernet0 5920
ip nat inside source static tcp 192.168.1.237 5921 interface FastEthernet0 5921
ip nat inside source static tcp 192.168.1.232 5930 interface FastEthernet0 5930
ip nat inside source static tcp 192.168.1.232 5931 interface FastEthernet0 5931
ip nat inside source static tcp 192.168.1.177 5920 interface FastEthernet0 5932
ip nat inside source static tcp 192.168.1.177 5921 interface FastEthernet0 5933
ip nat inside source static tcp 192.168.1.172 5926 interface FastEthernet0 5926
ip nat inside source static tcp 192.168.1.172 5927 interface FastEthernet0 5927
ip nat inside source list VPNCli interface FastEthernet0 overload

!
ip access-list standard VPNCli
permit 10.10.1.0 0.0.0.255
!
!
logging trap debugging
logging facility local2
access-list 100 permit udp any any eq bootpc
access-list 192 permit ip host 192.168.1.0 any
access-list 192 permit ip 193.168.1.0 0.0.0.255 any
access-list 192 permit ip 172.16.0.0 0.0.0.255 any
access-list 192 permit ip 172.16.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
no cdp run

!
!
!
!
!
snmp-server community public RO
!
control-plane
!
banner motd ^C have fun! ^C
!
line con 0
login authentication local_auth
transport output telnet
line 1
exec-timeout 15 0
login authentication local_auth
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
login authentication local_auth
transport output telnet
line vty 0 4
password 7 101D5A4C5541425D5E51
login authentication local_auth
transport input telnet ssh
!
ntp server 192.43.244.18 prefer
end
[/more]

cacao2 Используй тег more, дабы твой пост был удобочитаем.

Цитата:

т.к. в офисе довольно много людей, путешествующих по всей России с различными беспроводными "интернетами", и настраивать им по два подключения (на внешний ип и на локальный) - не айс..

Для таких целей люди используют ВПН подключение, две вьюшки в ДНС (для локальных и внешних запросов), и т.д.