» Настройка Cisco оборудования

Expertoff

Цитата:

Я так понял что данный .bin-файл нужно распаковать и залить

Ничего не надо распаковывать, так и заливается. А чтобы не ругался при загрузке, найди в конфиге строчку что-то типа
boot system flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin
и убери ее командой
no boot system flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25.SEE2.bin
сохрани конфиг и перегрузись

Добр день.

Есть 1811 в центре и 870 в удаленных объектах

Сделана роутинг поверх каналов предоставляемых ISP

на 1811

порт смотрящий в сторону провайдера

interface FastEthernet9
switchport access vlan 6


interface Vlan6
description ISP connection$FW_OUTSIDE$$ETH-LAN$
ip address 192.168.100.3 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
traffic-shape group 135 1000000 250000 250000 1000

access-list 135 permit ip any 192.168.35.0 0.0.0.255

подсеть 192.168.35.0/24 - одна из подсетей, доступна через 192.168.100.35 (внешний интерфейс на удаленной стороне)

Пытаюсь шейпить исходящий траффик, 1 мб траффик идущий в 35 сеть.
Ни работает. Гоняю траффик из своей сети в 35 сеть на всех 20 мб.

При этом счетчик шейпированного траффика ползет еле-еле.

#traffic-shape statistics
Acc. Queue Packets Bytes Packets Bytes Shaping
I/F List Depth Delayed Delayed Active
Vl6 135 0 103 25748 0 0 no


В access-list 135 оч мало попаданий.


В чем может быть дело?

vlary
спасиб. завтра попробую!

upd:действительно помогло, еще раз спасибо!

Gorde

Цитата:

IOS c2800nm-advsecurityk9-mz.124-24.T2.bin

Можно попробовать откатится на c2800nm-adventerprisek9-mz.124-15.T12
IMHO самый стабильный в 15-й ветке.
Только заранее конфиг на флэшку сохраните:
#copy run flash:conf24backup.txt
Т.к. могут быть различия, которые выдаст тока на консоль при старте, и снесет несовместимое.

Shaxter1983
Конфиг лучше прятать за тег [no][more][/no]
Примеры тут: http://i.ru-board.com/codes.html

alespopov

Спасибо)

Подскажите как решить мою задачу)

Цитата:

Подскажите как решить мою задачу)

помоему так сделать нельзя. лучше организовать нат.

Shaxter1983 Интерфейс Dialer1 получает свой айпи не от dhcp-сервера, а по протоколу ppp. Добиться того, чтобы компы в локалке получали оттуда адреса также, причем по dhcp, не получится. Надо поднимать свой dhcp-сервер, выдавать им адреса из сетки 192.168.1.0, поднимать НАТ и выпускать всех наружу через айпи 192.168.0.7.

ESX091
причина очевидна нет пинга до шлюза прова и это только следствие того что перестает ходить трафик через эти интерфейсы! Вопрос именно в том почему через интерфейсы сразу обоих провайдеров перестает ходить трафик - при пингах на упавшие интерфейсы из вне время отклика возрастает до тысяч миллисекунд, а % потерь переваливает за 85!!!
alespopov
прошивка куплена на циске легально и установлена ещё в 7 местах - bin копировался на все циски один => вопрос почему тогда не падает на др. цисках?
Да и политикой компании нельзя ставить "серые" иосы, а новый не купят!
Есть еще правда исходный (который был в железке при покупке), но он точно глючный - в нем например не работает нужный local pbr!

Gorde, состояние интерфейсов смотрели? Ошибки? Настроены в автосенсе или жёстко выставлены и скорость и дуплекс? Есть ли промежуточное оборудование (модемы)? Проверяли ли доступность шлюзов провайдеров извне?

Gorde
Если там где установлена точно совпадают конфиги, то может просто неудачно залилось ? Попробуйте #reload /verify выполнит и смотрите контрольные суммы.
По опыту замечено так: любая прошивка, купленная или нет, содержит ошибки. Вылезут они или нет, зависит от настройки, причем зачастую в зависимости от порядка заведения команд. Часто всречаю сообщения что помогло сброс конфига и тупо опять их набор, и начинает все работать как надо, - народ удивляется, но факт остается фактом.
У меня на предложенной прошивке работают, через VRF, три провайдера, DMVPN для наших филиалов, ipsec site-to-site до центрального офиса,цисковский клиент удаленного доступа и т.д, протоколы маршрутизации BGP, OSPF, EIGRP. Вся эта офигенно большая конфигурация работает стабильно достаточно давно, что-б можно было порекомендовать ее как наиболее безглючную. Надо отметить что подбор прошивки был долгим и мучительным ....
Временно попробуйте, на пару суток, - свалится или нет. Потом вернёте, - я для этого и предлагал конфиг сохранить. Зато точно будете знать что дело в самой прошивке или нет.
2) Далее проверьте выыод статистики памяти:
#sh memory statistics history
У меня стабильно ровно [more]
------------------ History of Processor Mempool ------------------



gw2811 10:54:03 AM Thursday Dec 23 2010 Perm


555555555555555555555555555555555555555555555555555555555555
444444444444444444444444444444444444444444444444444444444444
100
90
80
70
60
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
Free memory per second (last 60 seconds)


555555555555555555555555555555555555555555555555555555555555
444444444444444444444444444444444444444444444444444444444444
100
90
80
70
60
50 ############################################################
40 ############################################################
30 ############################################################
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
Free memory per minute (last 60 minutes)
* = maximum # = average


555555555555555555555555555555555555555555555555555555555555555555555555
444444444444444444444444444444444444444444444444444444444444444444444444
100
90
80
70
60
50 ########################################################################
40 ########################################################################
30 ########################################################################
20 ########################################################################
10 ########################################################################
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
Free memory per hour (last 72 hours)
* = maximum # = average


------------------ History of I/O Mempool ------------------



gw2811 10:54:03 AM Thursday Dec 23 2010 Perm


888888888888888888888888888888888888888888888888888888888888
333333333333333333333333333333333333333333333333333333333333
100
90
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
Free memory per second (last 60 seconds)


888888888888888888888888888888888888888888888888888888888888
333333333333333333333333333333333333333333333333333333333333
100
90
80 ############################################################
70 ############################################################
60 ############################################################
50 ############################################################
40 ############################################################
30 ############################################################
20 ############################################################
10 ############################################################
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
Free memory per minute (last 60 minutes)
* = maximum # = average


888888888888888888888888888888888888888888888888888888888888888888888888
333333333333333333333333333333333333333333333333333333333333333333333333
100
90
80 ########################################################################
70 ########################################################################
60 ########################################################################
50 ########################################################################
40 ########################################################################
30 ########################################################################
20 ########################################################################
10 ########################################################################
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
Free memory per hour (last 72 hours)
* = maximum # = average
[/more]

Gorde

Цитата:

причина очевидна нет пинга до шлюза прова

это не причина, а следствие.а вопрос был - почему перестает работать sla. предполагалось услышать один из следующих ответов
- проблема с оборудовани (локальным)
- проблема с софтом (на локальном оборудовании)
- проблема в канале связи
- проблема в оборудовании со стороны провайдера

исходя из этих данных можно принять соответствующие меры.

Если одновременно падают оба провайдера. Уточнить схему подключению (возможно используется коммутатор для подключения обоих isp).
попробовать разнести на отдельные устройства (маршрутизаторы вместо одного).

Как вариант, остаться ночью и посмотреть что именно происходит в час Х.

Gorde Однако, кроме пустых слов, что "все падает", мы не увидели конфига. Как настроена связь с провайдерами? Поскольку у вас там явно не автономная система, то каждый провайдер будет пропускать только свои айпи и блочить чужие. Значит, нужен Policy Based Routing. Он у вас настроен?

vlary
ну... PBR вовсе не нужен, чтобы реализовать простую схему, и в случае падения одного isp переходить на другой. =)

vlary

Благодарю за подсказку...

сделал так:
первая подсеть висит на Vlan1,
мне надо подцепиться IP - телефоном к 192.168.0.64 - это АТС за VPN-ом...
Dialer1 получил адрес 192.168.0.7
причем пинг с самой циски на 192.168.0.64 проходит...
не вкурю где поправить...чтобы 192.168.1.1 ходила в 192.168.0.0 через Dialer1
если я прописываю статику, то соответственно у 192.168.1.0 отваливается инет
причем фишка еще вот в чем: IP - телефон должен быть с АТС в одной подсети (в нашем случае 192.168.0.0) вопрос, можно ли Dialer1 и например порт fa0 (или Vlan2) объединить в бридж, чтобы адрес бриджа был адресом Dialer1 и телефон в этом бридже видел 192.168.0.64
[more=конфиг в аттаче...]!
interface FastEthernet0
ip address нн.нн.нн.нн 255.255.255.0
ip pim dense-mode
ip nat outside
no ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
switchport access vlan 1
!
interface FastEthernet9
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip pim dense-mode
ip virtual-reassembly
ip igmp helper-address yy.yy.yy.y
!
interface Async1
no ip address
encapsulation slip
!
interface Dialer1
ip nat outside
ip tcp adjust-mss 1380
ip address negotiated
ip pim dense-mode
ip virtual-reassembly
encapsulation ppp
ip igmp query-interval 125
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp authentication chap ms-chap ms-chap-v2 pap callin
ppp eap refuse
ppp chap hostname *******
ppp chap password 0 ******
!
ip route 0.0.0.0 0.0.0.0 yy.yy.yy.y
ip route 192.168.0.0 255.255.0.0 Dialer1
dialer-list 1 protocol ip permit
!
ip nat inside source route-map FE0 interface FastEthernet0 overload
ip nat inside source route-map DI1 interface Dialer1 overload
!
no ip http server
no ip http secure-server
!
!
route-map FE0
match interface FastEthernet0
route-map DI1
match interface Dialer1
![/more]

Shaxter1983 Дело в том. что 192.168.0.64 понятия не имеет, где находится сеть 192.168.1.0. И даже хост который раздает ppp подключения, не знает. Поэтому 192.168.1.0
в сеть 192.168.0.0 может попадать только через НАТ на интерфейсе Dialer1. Роутинг здесь не поможет. Прописать через какой интерфейс НАТить, нужно в акцесс-листах или раут-мапах.
Насчет бриджевания, у меня большие сомнения, что это удастся сделать без поддержки со стороны сети 192.168.0.0. Почитать про бриджевание можно здесь

Подскажите как настроить ACL на маршрутизаторах чтоб трафик ходил только по стрелочкам.

Делаю для облегчения нагрузки на маршрутизаторы.



В цисках не силен первый мой опыт построения такой схемы.

DiZka, может тогда нужно настраивать маршрутизацию, а не ACL?

Для одной сети шлюз один роутер, а для другой сети шлюз другой роутер...

Да так и сделано на клиентах (10.78.1.51 gateway 10.78.1.10 и 10.78.0.55 gateway 10.78.0.11)
Но я как то думал это будет еще правильнее Или так не делают? Поправьте меня пожалуйста если это не так

DiZka а если не секрет, для каких целей собрана такая схема, какую задачу выполняют маршрутизаторы? Я лично вижу только одно оправдание - дублирование маршрутизаторов для обеспечения непрерывного доступа между сетями 10.78.1.0 и 10.78.0.0, если так то на маршрутизаторах нужно поднимать HSRP или GLBP

Valery12
сделано для целей чтоб разгрузить маршрутизатор.
Сейчас в сети один маршрутизатор Cisco старенький правда cisco 2621. Иногда он не справляется при копировании больших файлов и объемов инфы и подвисает. И не очень получается отследить из за чего виснет, моих познаний не хватает. Сужу тока по загрузке проца и по процессам. Но там на 100% не пахнет, максимум процентов на 40 набирается куда остальные 60% не понятно.

Сейчас в планах взять 2 маршрутизатора (тоже кстати вопрос каких) и замутить такую схему чтоб не один маршрутизатор гонял туда обратно трафик а 2 один в одну сторону и второй в одну.

Или я что то не понимаю ? и это не даст желаемого результата? Кто нибудь подскажет?

DiZka
поставьте лучше гигабитный свич L3

если сети 10.78.1.0 и 10.78.0.0 локальные то лучше вместо маршрутизатора взять коммутатор L3 например cisco C3560 (самый дешевый) а маршрутизатору оставить связь с WAN

а как коммуникатором объединить 2 сети то?

DiZka
коммуникатором лучше не стоит

на коммутаторе сделаете пару L3 портов и включите роутинг, оно само забегает.

AndreySergeevich
боюсь показаться совсем идиотом, но что такое L3 и поподробнее как это сделать

DiZka
вот тут ознакомтесь

http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a008019e74e.shtml

Спасибо, разобрался вроде все работает и на L3 Будем думать.

JonJonson
1. пока инты не упали все отлично (ошибок нет) - когда упали к циске доступа нет!!!
2. все инты в авто.
3. модемы есть - но проблема решается, как указано, перезагрузкой циски и не троганием модемов!
alespopov
в прошивке может быть дело только если она сама посебе глючная (так сделана), но никаких подобных багов по ней в инете не нашел!
как было указано - менялось полностью железо!!! (прошивка перезаливалась само собой). Статистика памяти ровнейшая
ESX091
1. именно это и хочу выяснить!!! sla не перестает работать - как раз работает!!! и по логам как раз видно что его статус постоянно UP/DOWN на обоих провайдерских интерфейсах!!!
2. инты подключены независимо - один через модем прова, второй напрямую кабелем!
3. остаться на ночь нет возможности (в этом как раз проблема!) циска в др. городе за несколько сот км.
vlary
не о том!!! отсутствее local pbr в данном случае влияет только на построение тунелей!!! стат маршрутами ПРАВЕЛЬНО указано за каким провом какой конец тунеля искать!

Конфиг:
IP провайдеров соответственно:
IPS1 - X1.X1.X1.X1/30 (шлюз "GW ISP 1")
IPS2 - X2.X2.X2.X2/30 (шлюз "GW ISP 2")

IP провайдеров на филиале:
ISP 1 - F1.F1.F1.F1
ISP 1 - F2.F2.F2.F2

IP провайдеров в центральном офисе:
ISP 1 - C1.C1.C1.C1
ISP 1 - C2.C2.C2.C2

Сам конфиг:


!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Gorod
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 10240
logging rate-limit all 10 except errors
enable secret 5 ******************************
!
no aaa new-model
clock timezone Gorod 10
clock summer-time Gorod recurring last Sun Mar 2:00 last Sun Oct 2:00
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
username user01 privilege 15 secret 5 ******************************
username user02 privilege 15 secret 5 ******************************
username user03 privilege 15 secret 5 ******************************
username user04 privilege 5 secret 5 ******************************
username user04 autocommand menu Admin
archive
log config
hidekeys
!
!
!
!
!
!
track 101 ip sla 101 reachability
!
track 102 ip sla 102 reachability
!
!
!
interface Loopback1
ip address 172.16.1.10 255.255.255.255
!
interface Tunnel350101
description to filial via ISP 1 to ISP 1
ip unnumbered Loopback1
ip mtu 1500
ip ospf database-filter all out
keepalive 10 3
tunnel source Vlan101
tunnel destination F1.F1.F1.F1
tunnel mode ipip
!
interface Tunnel350202
description to filial via ISP 2 to ISP 2
ip unnumbered FastEthernet0/1
ip ospf database-filter all out
shutdown
keepalive 10 3
tunnel source X2.X2.X2.X2
tunnel destination F2.F2.F2.F2
tunnel mode ipip
!
interface Tunnel500101
description to Center via ISP 1 to ISP 1
ip unnumbered FastEthernet0/1
ip mtu 1500
ip ospf cost 10
keepalive 10 3
tunnel source Vlan101
tunnel destination C1.C1.C1.C1
!
interface Tunnel500203
description to Center via ISP 2 to ISP 2
ip unnumbered FastEthernet0/1
ip mtu 1500
ip ospf cost 20
keepalive 10 3
tunnel source X2.X2.X2.X2
tunnel destination C2.C2.C2.C2
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
description to LAN
ip address 172.16.1.1 255.255.255.248
ip nat inside
no ip virtual-reassembly
ip ospf database-filter all out
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 101
!
interface FastEthernet0/0/1
switchport access vlan 102
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan101
description ISP 1
ip address X1.X1.X1.X1 255.255.255.252
ip nat outside
no ip virtual-reassembly
!
interface Vlan102
description ISP 2
ip address X2.X2.X2.X2 255.255.255.252
ip nat outside
no ip virtual-reassembly
!
router ospf 51
router-id 10.40.40.19
log-adjacency-changes
redistribute connected subnets route-map OSPF
redistribute static subnets route-map OSPF
network 172.16.1.0 0.0.0.7 area 0.0.0.255
distribute-list 20 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 "GW ISP 1" track 101
ip route 0.0.0.0 0.0.0.0 "GW ISP 2" 50 track 102
ip route 10.40.35.0 255.255.255.0 Tunnel350101
ip route 10.40.41.0 255.255.255.0 172.16.1.2
ip route F1.F1.F1.F1 255.255.255.255 "GW ISP 1"
ip route F2.F2.F2.F2 255.255.255.255 "GW ISP 2"
ip route C1.C1.C1.C1 255.255.255.255 "GW ISP 1"
ip route C2.C2.C2.C2 255.255.255.255 "GW ISP 2"
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map 101_NAT_ISP_1 interface Vlan101 overload
ip nat inside source route-map 102_NAT_ISP_2 interface Vlan102 overload
ip nat inside source static tcp 172.16.1.2 20 X2.X2.X2.X2 20 extendable
ip nat inside source static tcp 172.16.1.2 21 X2.X2.X2.X2 21 extendable
ip nat inside source static tcp 172.16.1.2 22 X2.X2.X2.X2 22 extendable
ip nat inside source static tcp 172.16.1.2 25 X2.X2.X2.X2 25 extendable
ip nat inside source static tcp 172.16.1.2 53 X2.X2.X2.X2 53 extendable
ip nat inside source static udp 172.16.1.2 53 X2.X2.X2.X2 53 extendable
ip nat inside source static tcp 172.16.1.2 110 X2.X2.X2.X2 110 extendable
ip nat inside source static tcp 172.16.1.2 1723 X2.X2.X2.X2 1723 extendable
ip nat inside source static tcp 172.16.1.2 20 X1.X1.X1.X1 20 extendable
ip nat inside source static tcp 172.16.1.2 21 X1.X1.X1.X1 21 extendable
ip nat inside source static tcp 172.16.1.2 22 X1.X1.X1.X1 22 extendable
ip nat inside source static tcp 172.16.1.2 25 X1.X1.X1.X1 25 extendable
ip nat inside source static tcp 172.16.1.2 53 X1.X1.X1.X1 53 extendable
ip nat inside source static udp 172.16.1.2 53 X1.X1.X1.X1 53 extendable
ip nat inside source static tcp 172.16.1.2 110 X1.X1.X1.X1 110 extendable
ip nat inside source static tcp 172.16.1.2 1723 X1.X1.X1.X1 1723 extendable
!
ip sla 101
icmp-jitter "GW ISP 1" source-ip X1.X1.X1.X1 num-packets 20 interval 50
timeout 10000
threshold 10000
frequency 30
history hours-of-statistics-kept 3
ip sla schedule 101 life forever start-time now
ip sla 102
icmp-jitter "GW ISP 2" source-ip X2.X2.X2.X2 num-packets 20 interval 50
timeout 10000
threshold 10000
frequency 30
history hours-of-statistics-kept 3
ip sla schedule 102 life forever start-time now
logging facility local1
logging 10.40.50.1
logging 172.16.1.2
access-list 20 remark ============filtering incoming OSPF routes===========
access-list 20 permit 10.40.40.0
access-list 20 permit 10.40.50.0
access-list 20 permit 10.23.0.0
access-list 20 permit 10.20.0.0
access-list 20 permit 10.21.0.0
access-list 20 permit 172.16.255.0
access-list 20 permit 10.40.255.41
access-list 20 remark =====================================================
access-list 189 remark ======for OSPF redistribute & NAT via both ISPs=====
access-list 189 permit ip 172.16.1.0 0.0.0.7 any
access-list 189 permit ip 10.40.41.0 0.0.0.255 any
access-list 189 remark ====================================================
access-list 190 remark ======for OSPF redistribute=========================
access-list 190 permit ip 10.40.35.0 0.0.0.255 any
access-list 190 remark ====================================================
!
menu Admin title 
MENU

menu Admin text 1 Show Interfaces Status
menu Admin command 1 sh ip int bri
menu Admin options 1 pause
menu Admin text 2 Show routing table
menu Admin command 2 sh ip route
menu Admin options 2 pause
menu Admin text 3 Tunnel to filial (via ISP 2 to ISP 2)
menu Admin command 3 eve ma run filisp2
menu Admin text 4 Tunnel to filial (via ISP 1 to ISP 1)
menu Admin command 4 eve ma run filisp1
menu Admin text 5 Ping to ISP 1 GW ("GW ISP 1")
menu Admin command 5 ping "GW ISP 1"
menu Admin options 5 pause
menu Admin text 6 Ping to ISP 2 GW ("GW ISP 2")
menu Admin command 6 ping "GW ISP 2"
menu Admin options 6 pause
menu Admin text 7 Ping to Center ISP 1 (C1.C1.C1.C1)
menu Admin command 7 ping C1.C1.C1.C1
menu Admin options 7 pause
menu Admin text 8 Ping to Center ISP 2 (C2.C2.C2.C2)
menu Admin command 8 ping C2.C2.C2.C2
menu Admin options 8 pause
menu Admin text 9 Logoff
menu Admin command 9 exit
menu Admin clear-screen
menu Admin default 1
menu Admin single-space
!
!
!
route-map OSPF permit 10
match ip address 189 190
!
route-map 101_NAT_ISP_1 permit 10
match ip address 189
match interface Vlan101
!
route-map 102_NAT_ISP_2 permit 10
match ip address 189
match interface Vlan102
!
!
!
control-plane
!
privilege exec level 5 event manager run
privilege exec level 5 event manager
privilege exec level 5 event
privilege exec level 5 show ip route
privilege exec level 5 show ip interface brief
privilege exec level 5 show ip interface
privilege exec level 5 show ip
privilege exec level 5 show
!
line con 0
line aux 0
line vty 0 4
no motd-banner
exec-timeout 30 0
privilege level 15
login local
transport input telnet
line vty 5 15
no motd-banner
exec-timeout 30 0
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp server 10.40.50.4
event manager applet filisp2
event none
action 1.0 cli command "en"
action 1.1 cli command "conf t"
action 2.0 cli command "int Tunnel350202"
action 2.1 cli command "no shut"
action 2.2 cli command "exit"
action 3.0 cli command "no ip route 10.40.35.0 255.255.255.0 Tunnel350101"
action 3.1 cli command "ip route 10.40.35.0 255.255.255.0 Tunnel350202"
action 4.0 cli command "int Tunnel350101"
action 4.1 cli command "shut"
action 4.2 cli command "exit"
action 5.0 cli command "end"
event manager applet filisp1
event none
action 1.0 cli command "en"
action 1.1 cli command "conf t"
action 2.0 cli command "int Tunnel350101"
action 2.1 cli command "no shut"
action 2.2 cli command "exit"
action 3.0 cli command "no ip route 10.40.35.0 255.255.255.0 Tunnel350202"
action 3.1 cli command "ip route 10.40.35.0 255.255.255.0 Tunnel350101"
action 4.0 cli command "int Tunnel350202"
action 4.1 cli command "shut"
action 4.2 cli command "exit"
action 5.0 cli command "end"
!
end

Gorde, я бы жёстко согласовал интерфейсы по скорости и дуплексу.
И ещё, кису не обязательно ребутить. Повести на неё консоль и передёрните интерфейсы принудительно (shut и no shut). Сто процентов, что тунели поднимутся.

Вопрос скорее здесь в модуле, который рассчитан на работу как LAN, а не как WAN

Цитата:

icmp-jitter "GW ISP 1" source-ip X1.X1.X1.X1 num-packets 20 interval 50

Гм, а если таки заменить "GW ISP 1" на нормальный IP ?
Или воовбще на 'icmp-echo' ? Извините, не совсем понял возможно Вашу мысль в идее именно jitter использовать ...

Добавлено:

Понял, -"GW ISP 1" там и есть IP, а jitrer что-б не по одному пакету судить.
Только уж маршруты на него надо указывать с именем интерфейса, а не только IP.
Типа так (с моей конфы, - переделать под себя):
ip route 192.168.xxx.xxx 255.255.255.252 FastEthernet0/0.1 192.168.yyy.yyy name CO_IPVPN_link
И я согласен с JonJonson.
В целом, по конфигу, особых "где собака порылась" я не вижу ...
Разве что попробовать добавить, на всякий:
no spanning-tree vlan 101
no spanning-tree vlan 102