» Настройка Cisco оборудования

to ESX091
to vlary

Спасибо вам огромное за участи в решении моей проблемы!!!
Все, как всегда до банального просто )))) а точнее банальная моя тупость )))
Я по привычке пинговал www.ru и ya.ru, а про то что нужно попробовать по ip-шнику попинговать, я не додумался, забыл. ))
Дело вот в чем, я в настройках (XenServera) ДНС прописал локальный ip-шник будущего сервака c AD и DNS, который еще не успел на тот момент поднять. ))
Вот такая вот глупая ситуация.

Еще раз всем огромное спасибо!!!!

Ugend88
не за что=)

Есть вопрос, с которым никак разобраться не могу.
Что за активация у cisco 881? Какие функции она разблокирует и как выполняется?
Дело в том, что собираюсь приобрести оный девайс (собирался 871, но по нагрузкам вроде 881 придется). Изучаю рынок б.у. cisco на всяких аукционах и случайно натолкнулся, что в 871 еще нет активации, а начиная с 881 надо через сайт получать ключевой файл и т.п. Так вот вопрос - в худшем сценарии - если приобрету устройство, а ни ключей, ни файлов с ним не будет будет ли работать с новыми версиями ios (ну купленное может уже будет идти с работающей, но покупаю в исслед. целях, так что обновлять придется рано или поздно). Как я понимаю, либо без ключа это NPE (без крипто-технологий, кроме простейших), либо без ключа вобще работать не будет. Вот что из этого, подскажите плиз.
Лицензию отдельно видел баксов за 50 - поможет, придется ее покупать или она не поможет(в худшем варианте, учитывая что я не первый владелец)?

Цитата:

Что за активация у cisco 881? Какие функции она разблокирует и как выполняется?

Процедура на cisco.com описана, по-английски читаете? Вот вкратце по-русски:

cisco.com/go/licensing
выбираем 881
вводим цифирки за которые деньги платили (PAK)
вводим серийник нашей железки
вводим ее udi (sho lic udi)
OK OK OK (не помню сколько раз)
сайт генерит лицензию и предлагает ее скачать, скачиваем файл xxxxx.lic
если что-то сделано неверно - лицензия не впитается, вы попали на $50.
заливаем файл xxxxx.lic на рутер
говорим license install flash:xxxxx.lic
profit!


Цитата:

либо без ключа это NPE (без крипто-технологий, кроме простейших)

в NPE коробках не будет IPSec, остальное - согласно license level

А можно на Cisco 877W учинить UPnP

Оказалось что под видом б.у. продавали новую, в заводской упаковке с лицензией npe, так что вопросы не актуальны.
Спасибо за ответ, хотя процесс получения файла ключа на сайте действительно мне был известен, интерестно было что бы я делал, не будь у меня конвертика с ключом (PAK) и файла лицензии .lic .

Как я понимаю, чтобы использовать функционал, недоступный для npe, мало раскошелиться на сертификат от циски, надо еще и лицензироваться в ФСБ?

мужики. Есть необходимость сделать немного нетривиальную конфигурацию (хотя возможно и тривиальную)

Дано :

interface FastEthernet4
ip address 10.1.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside


interface Vlan1
ip address 192.168.2.1 255.255.255.0
no ip redirects
no ip unreachables
ip nat inside

interface Dialer1
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp


хотелось бы настроить NAT следующим образом :

если идем в мир то - то натимся на interface Dialer1 overload
если идём на сети 10.0.0.0/8 или 192.168.0.0/16 - натимся на interface FastEthernet4 overload

обчитался манов аж голова чугунная. По цискам не специалист, потому не пинайне ногами.

PS : совсем забыл. Это колдовство происходит на 851 к9 .

ktoto1
может вот так получится?
ip access-list ex TO_LAN
permit ip any 10.0.0.0 0.255.255.55
permit ip any 192.168.0.0 0.0.255.255

ip nat inside source list TO_LAN interface fa4 overload

ip access-list ex TO_WAN
deny ip any 10.0.0.0 0.255.255.255
deny ip any 192.168.0.0 0.0.255.255
permit ip any any

ip nat inside source list TO_WAN interface Dialer1 overload

ESX091 Такие вещи правильнее делать на роут-мапах.

vlary
напишите правильный примерчик, а то когда за полночь, то очень хочется поскорей уснуть)))

Где-то навскидку так:

Код: ip nat inside source route-map MAP_TO_LAN interface FastEthernet4 overload
ip nat inside source route-map MAP_TO_WAN interface Dialer1 overload

route-map MAP_TO_LAN permit 10
match ip address TO_LAN
match interface FastEthernet4
!
route-map MAP_TO_WAN permit 20
match ip address TO_WAN
match interface Dialer1
!
ip access-list ex TO_LAN
permit ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.55
deny ip any any

ip access-list ex TO_WAN
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.255.255.255 any

vlary

спасибо
я зделал вот так :

ip nat inside source route-map dial1 interface Dialer1 overload
ip nat inside source route-map fast4 interface FastEthernet4 overload

access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 102 permit ip 192.168.2.0 0.0.0.255 any

route-map dial1 permit 20
match ip address 102
!
route-map fast4 permit 10
match ip address 101
!

Вопрос только по роут мепам permit 20 и permit 10. Правильно ли я понимаю что чем больше число тем меньше приоритет роут мепа ?

плюс у меня вопрос :
если добавить в конфиг :

ip nat inside source route-map backup interface FastEthernet4 overload

route-map backup permit 30
match ip address 102

Пойдет ли весь исходящий трафик через fastethernet если по какой то причине отвалится dialer 1 ?

Цитата:

route-map MAP_TO_LAN permit 10
match ip address TO_LAN
match interface FastEthernet4
!
route-map MAP_TO_WAN permit 20
match ip address TO_WAN
match interface Dialer1

нее... так не пойдет.
думаю, что это не пойдет.
матчиться должен входящий интерфейс, а он один для всех.

ktoto1 написал правильно.

Цитата:

Вопрос только по роут мепам permit 20 и permit 10. Правильно ли я понимаю что чем больше число тем меньше приоритет роут мепа ?

числа 10, 20 и тп играют роль только в пределах одного rm.
у самих rm приоритетов нет.


Цитата:

Пойдет ли весь исходящий трафик через fastethernet если по какой то причине отвалится dialer 1 ?

трафик пойдет согласно маршрутизации. а натироваться будет согласно route-map fast4

ktoto1
ESX091
vlary
чё-то какое-то сложноватое решение.
нельзя одним аксес листом обойтись?
ведь пакеты сами пойдут куда нужно, если маршрутизация в норме.

roma
а как же условие

Цитата:

если идём на сети 10.0.0.0/8 или 192.168.0.0/16 - натимся на interface FastEthernet4 overload

какие еще сети за fa4 неизвестно

ESX091

Цитата:

матчиться должен входящий интерфейс, а он один для всех.

Не в этом случае. Кусок взят из реального конфига на циске, где НАТ нормально работает.

ESX091

Цитата:

какие еще сети за fa4 неизвестно

а. ну так то да.

Приветствую всех жителей нашего замечательного форума.

Сразу предупрежу что возможно я ошибся темой. Но косвенно мой вопрос всё же относится к cisco. Возможно что ответ по существу на этот вопрос будет достоин шапки. Итак корень проблемы : Вознамерился я приобрести сапорт контракт от циско . Хочу иметь возможность иосы скачивать официально.
1)Начал изучать тему и вдруг выяснилось что этих видов сапортов такое количество что чёрт ногу сломит. Какието SMARTnet , Smart care , Smart application , Base , Sp base. Судя по описанию на циско вроде все достаточно похожи. Англичанин из меня неважный.

2)Нигде нет толкового описания, что дает продукт CON-SNT-SMS-1 , что такое CON-SNTP-SMS1, что за CON-SNT-SMS-1000. Что такое CON-SNT-C881 чем он отличается от CON-SW-881. Вобщем чего надо купить чтобы Иосы качать ? Надо под 881-K9 и 881W-GN-E-K9.

3) И еще, можно ли купить купить сапорт для 881W, а иосы качать и для 881W и для 881 ?
4) Надо ли после апгрейда 15 иоса на 15 иос танцы с бубном с лицензией ?
5) Пока писал еще придумал вопрос : Если я физически нахожусь в одной стране, а сапорт покупаю для устройства в другой есть ли какая либо разница или подводные камни?


Ещё раз прошу прощения за мои совершенно тупые вопросы.

ktoto1 Основная разница - в цене. И как говорится в рекламе, если не видишь разницы, то зачем платить больше?
Для ваших целей вполне достаточен Cisco Base, позволяющий получить доступ к их техцентру помощи для консультаций (TAC) и доступ к апдейтам софта в рамках вашей лицензии.
Cisco SP Base - это уже для сервис-провайдеров, Cisco Application Support - это апдейт и помощь для их софтверных решений, типа колл-менеджеров и т.п.
Cisco Smart Care Service вообще подразумевает мониторинг с их стороны вашего оборудования и устранение возможных неисправностей силами их специалистов.
Так что лучше всего обратиться к ближайшему авторизованному партнеру, вам все объяснят, посчитают, и останется только раскрыть лопатник.

Подскажите можно ли где-то нарыть полный перечень команд для IOS? Хотя бы минимальное описание к ним не помешало бы, но хотя голое дерево команд.

Цитата:

Подскажите можно ли где-то нарыть полный перечень команд для IOS? Хотя бы минимальное описание к ним не помешало бы, но хотя голое дерево команд.

В разных иосах по разному. Я поступил как мне проще. Тупо распаковал Иос и выдрал прямо с бинарника.
bin переименовываешь в .z и винраром. Потом в ida pro как power pc. Но это если в sh ver MPC8xxx.

PS: Но меня тоже интересует этот вопрос. Возможно можно это сделать проще.
И всё таки хотелось бы получить ответы на остальные вопросы с прошлой страницы

Alukardd IOS он разный бывает. Масса версий и конфигураций, в результате некоторые команды могут отсутствовать, некоторые отличаться параметрами.
Самый простой вариант - это скачать соответствующие мануалы с сайта циски. Там их туева куча, разбиты они по функциональности. Имеются например:
Configuration Fundamentals Command Referencе
Cisco IOS Interface Command Referencе
Network Protocols Command Reference
Quality of Service Solutions Command Referencе и так далее.
Для релиза 12.4Т это можно посмотреть здесь: Ссылка
А голое дерево команд (думаю, далеко не полное), без объяснений, но с указанием, к какому семейству они принадлежат, можно взять здесь: Ссылка
А потом с цискиного скачать мануал по семейству понравившейся команды либо посмотреть ее онлайн.

vlary
спасибо за ссылки... pdf-ка конечно впечатляет размером, честно не ждал такого объёма всего...
с осознанием действительности мысли немного изменились. для начала, да и вообще наверное определю круг задач и проблем и под них прочту команды...
тут только вопросик, а что и простые команды типа настройки interfaces, NAT, PNAT, VPN, VLAN, и ACL тоже реально отличаются?
p.s. про эмуляторы в другой темке не знаете?

Alukardd И простые команды могут отличаться параметрами в зависимости от релиза. Ну это не особо страшно, поскольку введя знак вопроса после команды, всегда можно узнать, какой параметр она ожидает.
Про эмуляторы в курсе, но поскольку у меня под рукой пол дюжины реальных девайсов, пользоваться эмулятором в голову не приходило. Если кругом полно живых теплых сисек, какой смысл лапать резиновую женщину?

Есть такое оборудование: Cisco851 (с разными версиями IOS) и GSM/GPRS модем IRZ automation ES75iT (еще опознается как Siemens MC75i)
Задача состоит в настройка доступа в интернет через этот GSM/GPRS модем.

Эта задача уже решена с маршрутизатором Cisco871.

Проблема состоит в том, что в ИОС Cisco851 нет некоторых команд, а именно:
в глобальной конфигурации нельзя прописать:
chat-script reset "" \d\d\d+++\d\d\d
chat-script ks TIMEOUT 90 "" AT+CGDCONT=1,"IP","www.kyivstar.net" OK ATDT\T CONNECT

и в разделе line aux 0 нельзя прописать
script dialer ks
script reset reset

Но от знакомых и по некоторой переписке на западных форумах знаю что эта задача решается!
Думаю есть два пути поиска решения - найти ИОС, где эти команды разрешены, либо как-то по другому задать их для дозвона модему...
Без них Cisco851 модем видит, пытается звонить, но тут же в дебаге выдает:
Unable to dial ...

Уже попробовал на таких версиях ИОСа:
c850-advsecurityk9-mz.123-8.YI3.bin
c850-advsecurityk9-mz.123-14.YT1.bin
c850-advsecurityk9-mz.124-4.T8.bin
c850-advsecurityk9-mz.124-15.T5.bin
c850-advsecurityk9-mz.124-15.T7.bin
c850-advsecurityk9-mz.124-15.T12.bin

Вот конфиг, который работал на 871 и который пытаюсь адаптировать на 851:

Код:
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname gsmedge
!
logging buffered 51200 debugging
logging console critical
!no aaa new-model
!
resource policy
!
clock timezone EET 2
clock summer-time UKR recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
no ip source-route
ip cef
!
chat-script reset "" \d\d\d+++\d\d\d
chat-script ks TIMEOUT 90 "" AT+CGDCONT=1,"IP","www.kyivstar.net" OK ATDT\T CONNECT
modemcap entry ES75IT:DTR=&D0:MSC=&F
!
no spanning-tree vlan 1
username superadmin privilege 15 secret 5 $1$qHZJ$.A1NG5ObFS.p28T/rU3rT/
!
interface FastEthernet0
description Home subnet
!
interface FastEthernet1
shutdown
!
interface FastEthernet2
shutdown
!
interface FastEthernet3
shutdown
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Vlan1
ip address 172.16.1.1 255.255.255.0
!
interface Async1
description gsm
ip address 94.151.87.88 255.255.255.0
encapsulation ppp
load-interval 30
dialer in-band
dialer idle-timeout 0
dialer string "*99***1#"
dialer-group 1
async mode dedicated
no peer default ip address
keepalive 3 10
no fair-queue
ppp chap refuse
ppp pap sent-username any password 7 094D4010
!
ip classless
ip route 0.0.0.0 0.0.0.0 Async1
!
!
no ip http server
no ip http secure-server
!
dialer-list 1 protocol ip permit
no cdp run
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
modem enable
transport preferred none
transport output none
speed 115200
line aux 0
exec-timeout 0 0
script dialer ks
script reset reset
modem InOut
modem autoconfigure type ES75IT
exec-character-bits 8
special-character-bits 8
transport input all
transport output all
escape-character BREAK
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
exec-timeout 0 0
privilege level 15
logging synchronous
login local
transport preferred ssh
transport input ssh
transport output all
!
scheduler max-task-time 5000

Alukardd
Есть еще офф-лайн сборник документации от Cisco, называется "CISCO Documentation DVD 2008". Он, конечно, двухлетней давности, но зато не нужен доступ в Интернет.

hobbitpav

Цитата:

Есть такое оборудование: Cisco851 (с разными версиями IOS)

Цитата:

Проблема состоит в том, что в ИОС Cisco851 нет некоторых команд, а именно:
в глобальной конфигурации нельзя прописать:
chat-script reset "" \d\d\d+++\d\d\d
chat-script ks TIMEOUT 90 "" AT+CGDCONT=1,"IP","www.kyivstar.net" OK ATDT\T CONNECT

Вы использовали advsecurity попробуйте advipservices

Цитата:

Вы использовали advsecurity попробуйте advipservices

а разве у Cisco851 такой есть?

Valery12
Цитата:

а разве у Cisco851 такой есть?

Похоже - нет.

Добрый день.

Подскажите плз, как заворачивать траффик по условию source пакета такой то - отправлять туда то.

Есть две сетки, в одной сети установлена CISCO01 которая является шлюзом по умолчанию, через канал точка точка провайдера соединение с CISCO00 в головном филиале. CISCO00 смотрит в инет одним линком, еще один линк в локальную сеть головного филиала. В головном офисе установлена ISA через которую ходят в инет все пользователи.
CISCO00 по служебным целям гоняет траффик в инет (но только в соответствии с списком доступа)



Если клиент из сети филиала пытается обратится в инет, без прописанной прокси - пакеты пересылаются CISCO00 на CISCO01 и там благополучно рубятся списком доступа на WAN.

Хотелось бы заворачивать все запросы из сети филиала (те что не попадают под разрешающие списки на WAN) с CISCO00 на ISA
Можно ли и как осуществить такое?