» Настройка Cisco оборудования

Цитата:

Если подключается телефон и он проходит аутентификацию, то данные должны быть переданы ему от коммутатора

какая связь между если.... и то ?
если телефон проходит аутентификацию (зачем?), то данные скорее всего получит от радиуса.
а какую информацию телефон должен предоставлять для аутентификации?

Подскажите комрады как передать файл на tftp с не стандартным портом?
т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак

#copy flash:/file.txt tftp://1.1.1.1:70/ не работает

Цитата:

Потом плюнул и стал подключать их в обычный access port без компьютеров.

ага, именно поэтому я написал ранее

Цитата:

2) Если телефон "тупой" и не может маркировать трафик, то в этом случае лучше всего подключать телефон в один "access"-порт, а компьютер в другой "access"-порт.

хотя, конечно, это было не мое открытие, просто взял "best practice", конкретно в этот раз взял у Juniper Networks. По мне - так это оправдано, т.к. оконечное оборудование должно (опять же по "best practice", но уже Cisco Systems) подключаться к коммутаторам уровня доступа, которые имеют много дешевых портов.


Цитата:

какая связь между если.... и то ?
если телефон проходит аутентификацию (зачем?), то данные скорее всего получит от радиуса.
а какую информацию телефон должен предоставлять для аутентификации?

Я имел ввиду следующий сценарий. Настройки голоса на сети одинаковые, следовательно, они (номера VLAN, политики и др.) входят в типовую конфигурацию коммутатора и уже настроены. Телефон проходит аутентификацию не через 802.1X (вдруг не поддерживает), а через проверку MAC-адреса через RADIUS (ведь база инвентаризации телефонов ведется и MAC-адреса всех телефонов известны).

Хотя, опять же, я согласен с тем, что вариантов может быть много и в каждом конкретном случае многое зависит от кучи мелочей.

Добавлено:
DiZka

Цитата:

Подскажите комрады как передать файл на tftp с не стандартным портом?
т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак
#copy flash:/file.txt tftp://1.1.1.1:70/ не работает

Вопрос, конечно, интересный. Насколько прав "command reference", TFTP подразумевает стандартный порт и изменить его в опциях соманды "copy" нельзя. Единственное, что приходит на ум, это замена порта где-нибудь "посередине" между маршрутизатором и сервером. У меня сейчас доступа к оборудованию нет, а то я бы попробовал использовать NAT чтобы поменять порт назначения для сессии между конкретными адресами.

Цитата:

т.е. поднят tftp сервер на порта 70 (дефалт 69) вот мне надо с циски передать файл на этот сервак

#copy flash:/file.txt tftp://1.1.1.1:70/ не работает

а это не из той оперы?

access-list 10 permit 1.1.1.1
ip port-map tftp port 70 list 10

Добавлено:
кстати слышали по поводу сетки 1.0.0.0 ее наконец распределили тихоокеанскому региону и как только стали маршрутизировать полез неслабый трафик, особенно с 1.1.1.1

1.1.1.1 приведен просто для примера

DiZkaЭто я к слову
Цитата:

access-list 10 permit 1.1.1.1
ip port-map tftp port 70 list 10

не поможет, если это роутер конечно.

Свитч

Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 50 WS-C2960-48TT-L 15.0(1)SE C2960-LANBASEK9-M

Цитата:

WS-C2960-48TT-L

тогда не знаю, в свичах PAM нет.

Подскажите можно ли в Cisco Catalyst 3560 реализовать привязку к портам по mac адресам и как это делается?

Цитата:

Подскажите можно ли в Cisco Catalyst 3560 реализовать привязку к портам по mac адресам и как это делается?

switchport port-security
switchport port-security violation protect
switchport port-security mac-address xxxx.yyyy.zzzz

трафик будет пропускаться только от xxxx.yyyy.zzzz
если switchport port-security violation shutdown
при появлении другого мака порт будет заблокирован.

Доброго времени суток!

Подскажите какие-нибудь примеры конфигурирования vpdn pptp для cisco 2821 (12.4 ios) или, возможно, официальные описания.
Гуглил. Пробовал конфигурить как в официальном мане (но там 12.2)http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00801e51e2.shtml - есть проблема в больших задержках пакетов на внутреннем интерфейсе сразу после подключения виндового клиента и передачи каких-либо данных.

DrawWar Как я уже сказал, pptp - в топку, лучше L2TP/IPSec. Поддерживается стандартными виндузовыми клиентами, настраивается на циске и клиентах вполпинка.


Код: aaa authentication login default local
aaa authentication ppp L2TP local
aaa authorization network L2TP local

vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication

username pppuser1 password 0 "verysecret"
username pppuser2 password 0 "verysecret2"

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key yoursharedkey address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set TS1 esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map L2TP_MAP 10
set nat demux
set transform-set TS1
!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic L2TP_MAP

interface FastEthernet0/0
ip access-group 101 in
ip address 1.1.1.1 255.255.255.0
ip virtual-reassembly
speed 100
full-duplex
crypto map CRYP_MAP

interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed 100
full-duplex

interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip mtu 1240
ip virtual-reassembly
ip tcp adjust-mss 1200
peer default ip address pool l2tppool
ppp mtu adaptive
ppp authentication ms-chap-v2 L2TP
ppp authorization L2TP
ppp ipcp dns 10.1.1.1

ip local pool l2tppool 10.1.1.240 10.1.1.250
.......
access-list 101 permit udp any host 1.1.1.1 eq isakmp
access-list 101 permit udp any host 1.1.1.1 eq 1701
access-list 101 permit udp any host 1.1.1.1 gt 4000

При этом привязка пользователей к IP будет работать?
Например:

Код: aaa authorization network default local

aaa attribute list user-ivanov
attribute type addr "10.10.10.51" service ppp protocol ip

username ivanov privilege 0 password IvanovsPassword
username ivanov aaa attribute list user-ivanov

DrawWar
Цитата:

При этом привязка пользователей к IP будет работать?

А что мешает тупо проверить?

Цитата:

DrawWar
Цитата:
При этом привязка пользователей к IP будет работать?  
А что мешает тупо проверить?

Полюбому будет Спасибо, но сначала IOS обновлю, если уже это не поможет, то сделаю L2TP.

Цитата:

Поделитесь если у кого есть настроенный конфиг PPTP на c2800nm-advsecurityk9-mz.124-24.T1

Код: ip dhcp pool metaxgroup
network 172.31.0.0 255.255.255.248
default-router 172.31.0.1
dns-server xx.xx.xx.xx xx.xx.xx.xx
!
vpdn enable
!
vpdn-group AUS_Vienne
accept-dialin
protocol pptp
virtual-template 26
!
interface Virtual-Template26
ip unnumbered Loopback0
ip virtual-reassembly
peer default ip address dhcp-pool metaxgroup
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap

Прошился на c2800nm-advsecurityk9-mz.124-24.T5
PPTP отлично коннектится с линуксовых и виндовых машинок. Казалось бы всё. Но..

Но. IPhone 3 не коннектится вернее 1 из 20 раз коннектится, если через 3G, а через Wi-Fi точку - всё гуд

Кто-нибудь сталкивался с подобным?

ps спасибо за конфиги

DrawWar
не все операторы 3G одинаково полезны.
например megafon без включения услуги статический ip режет впн.

Приветствую.
Есть ли какая то методика или формула для расчета оптимального количества VLAN для конкретного оборудования Cisco?
Или где что можно почитать по этому поводу. А то настраиваю VLAN-ы а задался вопросом будет ли справлятся CISCO 2901/K9 c 8 VLAN ну и компом 250 в сети?

Цитата:

не все операторы 3G одинаково полезны.
например megafon без включения услуги статический ip режет впн.

Даже с фиксированным IP подключается раза с 20-ого. Причём когда включаю debug vpdn packet и цыска начинает подтормаживать - тогда всё подключается с первого раза

Добавлено:

Цитата:

задался вопросом будет ли справляться CISCO 2901/K9 c 8 VLAN ну и компом 250 в сети?

DiZka
При разных задачах - разная нагрузка. Железка то не гавно, должна держать 250 компов
Нигде по этому поводу не видел мануалов.

2901 сопоставима по мощности с 7200 NPE300, она и гораздо больше потянет.
Как уже сказано: при разных задачах - разная нагрузка.
Обычно оотталкиваются от различных sheets типа Cisco Router performance

slut
DrawWar
Спасибо.

А еще такой вопросик можно, как бы зарезервировать этот маршутизатор?
Т.е. есть еще один 2901/K9 хочется его поставить в резерв или в пару. Т.к. сеть раскидана по 3 зданиям. Оптимизировать как то хочется конфигурацию.

Сейчас получается:

Router -> Switch 2960 -> Switch 2960 -> и т.д.

Можно в эту схему воткнуть еще Router в помошь или в резерв или смысла от этого не прибавится?

DrawWar
Цитата:

Кто-нибудь сталкивался с подобным?

PPTP для своей работы требует, чтобы провайдер пропускал протокол GRE. Но как верно заметил zubastiy,
Цитата:

не все операторы 3G одинаково полезны.

А для L2TP/IPSec GRE не требуется, все, что ему нужно - это открытые UDP порты 1701, 500 и 4500.
Сталкивался с этим при настройке доступа с айпада.

Цитата:

DrawWar
Цитата:
Кто-нибудь сталкивался с подобным?  
PPTP для своей работы требует, чтобы провайдер пропускал протокол GRE. Но как верно заметил zubastiy,
Цитата:
не все операторы 3G одинаково полезны.  
А для L2TP/IPSec GRE не требуется, все, что ему нужно - это открытые UDP порты 1701, 500 и 4500.  
Сталкивался с этим при настройке доступа с айпада.

Это всё, конечно, очень логично... особенно после моих слов:

Цитата:

Даже с фиксированным IP подключается раза с 20-ого. Причём когда включаю debug vpdn packet и цыска начинает подтормаживать - тогда всё подключается с первого раза

Да и пробовал 3х операторов - с iphone и ipad - беда, а через 3G модем - без проблем. Так что оператор тут не при делах

DrawWar
Тогда реквистируйте запрос в саппорт apple, логично жеж?

DrawWar
В AppleStore доступен Cisco AnyConnect для iPhone, проверял на 3GS и 4 - всё изумительно работает.

Цитата:

zubastiy
Тогда реквистируйте запрос в саппорт apple, логично жеж?

slut
Cisco AnyConnect для iPhone, проверял на 3GS и 4 - всё изумительно работает.

zubastiy
Конечно, логично Особенно это мнение нравится на одном из крупнейших форумов андеграунда рунета

slut
Нет у меня айфона У пузатых руководителей айфоны и айпады. Устанавливать дополнительную программу при живой встроенной функции - грабли как ни крути, да и не будут они так париться, но виноваты будем мы хоть и L2TP поднимать тоже грабли но, судя по всему, куда деваться?))

Отпишусь об окончательном решении - вдруг кому пригодится.

Итак. L2TP поднял по следующей инструкции (слизано с забугорного сайта):
[more=Читать дальше..]
ip dhcp pool vpn-pool
import all
network 172.16.3.0 255.255.255.0
dns-server 203.0.178.191 139.130.4.4 <ваши DNS сервера>
domain-name xxx.com
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication
username aaa password 7 <PASSWORD_ТУТ>
crypto keyring L2TP
pre-shared-key address 0.0.0.0 0.0.0.0 key <SECRET_ТУТ>
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp keepalive 3600
!
crypto ipsec security-association lifetime seconds 600
!
crypto ipsec transform-set TS1 esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map DYN_MAP 10
set nat demux
set transform-set TS1
!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic DYN_MAP
!
interface Virtual-Template2
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly
peer default ip address dhcp-pool vpn-pool
ppp mtu adaptive
ppp authentication chap ms-chap
ppp ipcp dns 203.0.178.191 139.130.4.4 <ваши DNS сервера>

interface Dialer0 <ваш внешний сетевой интерфейс>
ip nat outside
crypto map CRYP_MAP

На iPhone/iPad
- Settings/Network/VPN/Add VPN
- Выбираем L2TP, указываем адрес сервера(цыски)
- Имя пользователя (user) такое, как у нас в строке с пометкой <PASSWORD_ТУТ>
- RSA SecureID = OFF
- Пароль (password) такой же, как у нас в строке с пометкой <PASSWORD_ТУТ>
- IPSEC preshared secret указан у нас в "pre-shared-key address 0.0.0.0 0.0.0.0 key <SECRET_HERE>"
- Send All Traffic = ON
- Proxy = OFF (или вбить нужные настройки)
[/more]
iPhone коннектится спокойно, без выпендрежей. Рядом крутится PPTP - у виндовых машинок и железок проблем не возникло.

Cisco 2821 прошивка c2800nm-advsecurityk9-mz.124-24.T5.bin



Всем

Добавлено:
может кто ещё сталкивался: как автоматически выдавать dns-суффикс клиентам VPN без DHCP пула?

Добрый день

Возможно ли организовать данную схему на маршрутизаторах

Есть 2 мартутизатора R1 и R2 по 5 интерфейсов каждый соединенные между собой.

К R1 подключены 2 сети: LAN10 и LAN30.
К R2 подключены 2 сети: LAN20 и LAN10.

1. Как сделать чтобы LAN10 R1 и LAN10 R20 были в одном адресном пространстве?
2. LAN20 R2 и LAN30 R1 видели друг друга (были маршруты)?
3. LAN10 R1 и LAN10 R2 не видели пакеты LAN20 R2 и LAN30 R1?

спасибо

vd_agent

Цитата:

1. Как сделать чтобы LAN10 R1 и LAN10 R20 были в одном адресном пространстве?

Непонятно, сколько интерфейсов из пяти задействовано (я насчитал три) и как R1 и R2 соединены между собой. Допустим, через interface FastEthernet 0/2 (а через FastEthernet 0/0 и FastEthernet 0/1 подключены LAN10 и LAN30).
Разбиваем FastEthernet 0/2 на два вилана. один используем для бриджа (объединяем в bridge-group 1 с FastEthernet 0/0), другой для маршрутизации. На втором роутере поступаем аналогично. В результате LAN20 и LAN30 смаршрутизованы (прописываем маршруты), а LAN10 R1 и LAN10 R2 тупо сбриджеваны.