» Настройка Cisco оборудования

А задача то какая? Я так понял нужно просто роуминг? Оптимальный вариант это WDS, основная его кошерность - абонент авторизуется только первый раз, дальше он переключается между точками без авторизации, значит без пауз. Подниматься может как на самих точках, так и на ISR'ах.
Если нужно что-то более экзотическое - есть масса самодельных вариантов, ну а если по взрослому - разворачивается ISG.

kbessmertniy

Цитата:

А задача то какая? Я так понял нужно просто роуминг? Оптимальный вариант это WDS, основная его кошерность - абонент авторизуется только первый раз, дальше он переключается между точками без авторизации, значит без пауз. Подниматься может как на самих точках, так и на ISR'ах.

В настоящий момент, действительно, задача просто роуминг.
Заинтересовал ваш ответ касательно WDS на ISR, будьте так добры ссылочку чтобы более подробно ознакомится.
Спасибо.

ginger
Например тут и тут
Ну или вообще что найдется по wireless domain services.

Есть два локальныйх ip:
192.168.1.5
192.168.1.6

Есть один внешний ip
xx.xxx.77.7

Каким образом сделать так чтобы все кто стучится на этот ip по порту 443 попадали на ip - 192.168.1.6, а по всем остальным портам на 192.168.1.6?

hijke
Интересуетесь теоретически или всё ж имеется некое оборудование?

Есть оборудование. (3745)
Ну и как начинающему в этом деле для начала очень интересна теория.

hijke
Цитата:

Ну и как начинающему в этом деле для начала очень интересна теория.

Вот с теории и надо было начинать. Скачай книжку Руководство по Cisco IOS (Cisco IOS in a Nutshell) и читай до просветления. На твой вопрос ответ там точно имеется (в разделе про NAT)

www.cisco.com
1) How NAT Works, Document ID 6450 http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094831.shtml
2) NAT Order of Operation, Document ID 6209 http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml
3) "Cisco IOS Конфигурирование функций Network Address Translation" гугл это сразу находит.

Добавлено:
vlary
Тогда уж сюда стоит добавить "CiscoPedia v3.0".

Уважаемые, подскажите как настроить проброс IP через E1
Есть киски 3640 с модулем FE-PRI 1FE-2CE1-B/U и 2600 с модулем VWIC 2MFT-G703 между собой соединены по E1. Рядом с портами E1 горят зеленые светодиоды как я понял e1 между ними поднялся. К Fa 0/0 подключены по компу с каждой стороны. Проблема в том что не могу запинговать с одного компа другой. Вот их конфиги
Router2610MX#sh conf
Using 796 out of 29688 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router2610MX
!
aaa new-model
!
!
aaa session-id common
enable secret 5 $1$Dlwk$7U4vJ29IjObZtu1caV3f/
!
username qwerty password 7 002715100A5D190C1E
ip subnet-zero
!
!
ip domain-name qqqq.com
!
!
controller E1 0/0
framing NO-CRC4
channel-group 0 timeslots 1-31
!
controller E1 0/1
!
bridge irb
!
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
bridge-group 1
!
interface Serial0/0:0
no ip address
bridge-group 1
!
interface BVI1
ip address 10.10.2.1 255.255.255.0
!
ip classless
ip http server
ip pim bidir-enable
!
!
bridge 1 protocol ieee
bridge 1 route ip
banner motd ^C CISCO2610MX ^C
!
line con 0
logging synchronous
line aux 0
line vty 0 4
!
!
end

и вторая

Cisco3640#sh conf
Using 978 out of 129016 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Cisco3640
!
aaa new-model
enable secret 5 $1$9msk$kC5lrL4.GssCoJb.V27t.
enable password 7 03175A05001D2042
!
username qwerty privilege 15 password 7 052800192FA5C0308
ip subnet-zero
no ip routing
!
!
no ip domain-lookup
ip domain-name qqqq.ru
!
ip audit notify log
ip audit po max-events 100
!
call rsvp-sync
!
!
!
!
!
!
controller E1 0/0
framing NO-CRC4
!
controller E1 0/1
shutdown
!
bridge irb
!
!
interface FastEthernet0/0
no ip address
no ip route-cache
speed auto
half-duplex
bridge-group 1
!
ip classless
no ip http server
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
bridge 1 protocol ieee
bridge 1 route ip
!
dial-peer cor custom
!
!
!
!
banner login ^C CISCO 3640 ^C
!
line con 0
logging synchronous
line aux 0
line vty 0 4
exec-timeout 60 0
password 7 06150E2FA5C0817
logging synchronous
transport input ssh
!
end

подскажите куда копать или что не так

EgenNik285
Во-первых запилите на 36 channel-group.
Во-вторых есть подозрение что bridge-group на E1 работать не будет т. к. не широковещательная среда, но не уверен.

Спасибо все заработало

Немного непрофильный вопрос: нужно набить голову "с нуля" теорией для дальнейшей сдачи экзаменов (практика есть, но она как у Тарзана с его английским: правильно и вовремя говорить - говорю, а что именно говорю - не понимаю, т.к. говорю по "мышечной памяти"). Короче, выбрал несколько АУЦ, но у них разный статус: CLP, CLSP и LPA. В АУЦ с каким статусом мне будет предпочтительнее пойти? Т.е. на статус АУЦ можно смело плевать или история обучения будет где-то храниться?

Самостоятельное обучение, кстати, не предлагать - сейчас в стадии закрытия MCSE (как раз посредством самообучения), так что оба полушария нуждаются в принудительной загрузке данных извне, и из-под палки

Народ, попробовал сегодня накатить новый иос c3900-universalk9-mz.SPA.151-3.T.bin и такой c3900-universalk9-mz.SPA.151-4.M1.bin Проблема в том, что после этого перестают регистрироваться телефоны на CCME выдают превышено количество возможных телефонов. Откатился назад все работает. Никто не сталкивался?? Такое ощущение, что лицензия слетает...

Приветствую всех! Помогите, пожалуйста настроить Cisco1841, подключенный к beeline l2tp. За основу взят конфиг отсюда:Ссылка, но в Интернет выйти так и не получилось подключение l2tp устанавливается на некоторое время...и обрывается
running-config:
Код:
!
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco1841
!
boot-start-marker
boot-end-marker
!
!
logging buffered 4096 errors
enable secret 5 xxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default none
!
!
aaa session-id common
!
dot11 syslog
ip source-route
!
!
ip cef
no ip bootp server
ip domain name corbina.ru
ip name-server 85.21.192.3
ip name-server 213.234.192.8
ip name-server 213.234.192.7
no ipv6 cef
l2tp-class class1
!
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
redundancy
!
!
ip tcp synwait-time 10
ip tcp path-mtu-discovery
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
pseudowire-class class1
encapsulation l2tpv2
ip local interface FastEthernet0/0
!
!
interface FastEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1452
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip broadcast-address 192.168.2.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface Virtual-PPP5
ip address negotiated
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1460
no peer neighbor-route
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp authentication chap callin
ppp chap hostname 089xxxxxxx
ppp chap password 7 xxxxxxxxxxxxxxxxxxxx
no ppp chap wait
ppp ipcp route default
no cdp enable
pseudowire 85.21.0.253 10 pw-class class1
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list lan interface FastEthernet0/0 overload
ip nat inside source list wan interface Virtual-PPP5 overload
ip route 0.0.0.0 0.0.0.0 Virtual-PPP5 permanent
ip route 10.0.0.0 255.0.0.0 FastEthernet0/0 dhcp
ip route 83.102.146.96 255.255.255.224 FastEthernet0/0 dhcp
ip route 85.21.0.0 255.255.0.0 FastEthernet0/0 dhcp
ip route 89.179.135.67 255.255.255.255 FastEthernet0/0 dhcp
ip route 195.14.0.0 255.255.0.0 FastEthernet0/0 dhcp
!
ip access-list extended lan
permit ip 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 192.168.2.0 0.0.0.255 195.14.0.0 0.0.255.255
permit ip 192.168.2.0 0.0.0.255 85.21.0.0 0.0.255.255
permit ip 192.168.2.0 0.0.0.255 83.102.146.0 0.0.0.31
ip access-list extended wan
permit ip 192.168.2.0 0.0.0.255 any
!
logging esm config
logging trap errors
no cdp run
!
!
control-plane
!
banner login ^CTHIS SYSTEM IS RESTRICTED TO AUTHORIZED USERS FOR AUTHORIZED USE ONLY.^C
!
line con 0
transport output telnet
speed 57600
line aux 0
transport output telnet
line vty 0 4
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 85.114.26.194 prefer source FastEthernet0/0
end

Neptunas

попробуй
pseudowire 85.21.0.253 1 encapsulation l2tpv2 pw-class pw-class-1

Цитата:

pseudowire 85.21.0.253 1 encapsulation l2tpv2 pw-class pw-class-1

Код:
Please make sure pw-class pw-class-1 is configured and valid [Unknown pseudo-wire class name]
Forward referenced pseudowire class pw-class-1 is added

Neptunas
через какое время обрывается?
у меня работало:
ip mtu 1380
ip tcp adjust-mss 1320
pseudowire 85.21.0.251

Добрый день.

Подскажите какой вариант отказоусточивости передачи данных выгоднее.



Центральный офис, удаленный офис, два провайдера предоставляют L3, в центральном офисе CORE ROUTER разгребает всякий трафик из других сетей.

В центральном офисе стоят два рутера от провайдеров. На CORE прописан маршрут до удаленного офиса через первого провайдера.
В случае аварии на первом провайдере руками меняем маршрут на CORE и маршрут по умолчанию на удаленной циске.
Нужна какая либо автоматизация процесса.
Пока вижу два пути.
route-map с двумя next-hop
или трекинг состояния (пинг внешнего интерфейса удаленной циски) с event manager applet
для перезаписи маршрутов.

Какой путь более выгодный - идеологически правильный?

зависит от того, что нужно
распределение нагрузки - одна, резерный(простаивающий) канал - другой.
можно ipsla, можно поднять динамику, можно и ручками - as u wish

Отказоустойчивость нужна. Вроде ipsla хорошая штука. Но тут такие штуки иногда вылазят.

На ipsla у меня один удаленный объект работает, время схождения минута получается (ospf участвует ну и трешхолд на 30 сек поставлен)
Основной канал затыкается иногда на 4-5 минут. Потом поднимается.

Отрубится основной канал, перейдут на резерв, основной канал поднимится через минуту, и через минуту снова перерыв при переходе с резерва на основной. Пользователи негодуе! Два обрыва по минуте в интервале 4-5 минут! ))

В результате поставил переход с резервного канала на основной с задержкой в 60 минут.

route-map проще по настройке, быстрее схождение, доп нагрузка на циску, и какие то грабли были с ними еще, не вспомню пока не наступлю ))

А динамика - это на какой технологии?

zubastiy
Да не парьте себе мозг, возьмите as и рулите по взрослому средствами bgp, это не так дорого стоит.

zubastiy
Можешь глянуть в сторону OER(PfR) она как раз для подобных вещей.
Или Object Tracking.

denis_a
eor для одной железки? круута
kbessmertniy
с as другие проблемы.
1. не факт, что дадут
2. не факт, что мелкие провайдеры не будут резать/summaring вашу подсеть.
zubastiy
сначала задачу поставьте, потом уже определяться с реализацией.
при использовании sla время переключения на резерв канал 15-20 секунд вполне нормально. при восстановлении основного - те же самые 20 секунд. итого в худшем случае - минута. можно еще больше завинтить гайки...

Добавлено:
чем динамика и gre не подходит?

Всем спасибо за советы. AS не подходит - ибо это просто каналы передачи данных от двух разных провайдеров. Без какого либо интернета.

*при использовании sla время переключения на резерв канал 15-20 секунд вполне нормально. * - еще время на схождение ospf.

ip sla - хорошая штука, но может как то по другому резервирование передачи данных можно организовывать?

"чем динамика и gre не подходит?" не понимаю, о какой динамике идет речь? )

zubastiy

Цитата:

AS не подходит - ибо это просто каналы передачи данных от двух разных провайдеров. Без какого либо интернета.

Читай хотя бы википедию: Автономная система (Интернет)

zubastiy

Цитата:

не понимаю, о какой динамике идет речь? )

а тогда о каком ospf идет речь?

Здравствуйте! Я совсем новичок в цисках. Подскажите, пожалуйста, как сделать вот такое:
Есть catalyst 3750
допустим буду использовать 8 портов (или они кажется правильнее интерфейсы называются).
1-ый порт должен уметь обмениваться трафиком только со 2-м. А также со 2-го по 8-ой все между собой должны уметь "общаться", но не с 1-ым!

Завтра уже нужно настроить так, никак не могу найти в и-нете решения. Помогите!

BalovNick
Вам наверное подойдет такое
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_40_se/configuration/guide/swpvlan.html

vlary
ESX091
Спасибо, осознал.

Доброго времени суток, имеется Cisco 506e (pix 6.3) настроен VPN, клиент подключается но не может пинговать внутреннюю сеть, подскажите в чем может быть проблема. Спасибо.



Код: PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password syqm/Nlg.ZeQeSqf encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list vpnpool permit ip 192.168.0.0 255.255.255.0 192.168.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 79.120.**.** 255.255.255.248
ip address inside 192.168.0.250 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnpool 192.168.1.1-192.168.1.250 mask 255.255.255.0
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list vpnpool
route outside 0.0.0.0 0.0.0.0 79.120.38.209 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 79.120.**.*** 255.255.255.248 outside
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
vpngroup mskdig address-pool vpnpool
vpngroup mskdig dns-server 192.168.0.1
vpngroup mskdig wins-server 192.168.0.1
vpngroup mskdig default-domain digmsk.local
vpngroup mskdig split-tunnel vpnpool
vpngroup mskdig idle-time 1800
vpngroup mskdig password ********
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80