» Настройка Cisco оборудования

Цитата:

ну тогда так
logging origin-id ip (или hostname или string и свою строку)

Спасибо.
logging origin-id ip не покатило почему то отписывался как 0.0.0.0 а hostname прокатило.

Добавлено:

Цитата:

ну тогда так
logging origin-id ip (или hostname или string и свою строку)

Спасибо.
logging origin-id ip не покатило почему то отписывался как 0.0.0.0 а hostname прокатило.

Добавлено:
на WS-C2950T-24
IOS (tm) C2950 Software (C2950-I6K2L2Q4-M), Version 12.1(22)EA14, RELEASE SOFTWARE (fc1)

logging origin-id такой команды нет

GPlay
Если старый админ паролей не оставил , все сводится к одному - найти на сайте cisco статью по сбросу пароля, там пошаговые инструкции с картинками, в нерабочее время сбросить пароли

rakis

Цитата:

Если старый админ паролей не оставил , все сводится к одному - найти на сайте cisco статью по сбросу пароля, там пошаговые инструкции с картинками, в нерабочее время сбросить пароли

У него нет физического доступа к ним.

rakis

Цитата:

Если старый админ паролей не оставил , все сводится к одному - найти на сайте cisco статью по сбросу пароля, там пошаговые инструкции с картинками, в нерабочее время сбросить пароли

Наверное так, только вот и настройки все сбросятся, так что прежде надо подготовиться. Я вот даже не знаю надо ли их вообще настраивать

superser

Цитата:

У него нет физического доступа к ним.

Отчего же, есть.

GPlay
Цитата:

Я вот даже не знаю надо ли их вообще настраивать

Если свитчи используются просто как тупые хабы, то настраивать ничего не нужно.

GPlay
А подобрать пароль не пробовали? Ну, например, логин=пароль=cisco.

Chemberlek

Пробовал, но связанное с бывшим админом, попробую cisco но не думаю, что так всё просто )

Гуру, подскажите, как забанить конкретный ip т.е. не пускать с конкретного ip?

DrawWar
Цитата:

как забанить конкретный ip т.е. не пускать с конкретного ip?

Кого куда не пускать? Выражайся яснее, телепаты в другом разделе...

Добрый день.
Подскажите по catalyst

Есть на объекте электронное окончание от провайдера (предоставляется доступ в инет, сетка адресов), эзернет из конвертера воткнут в дефолтово настроенный catalyst 2950, используется как простой свич.

Есть дружественная организация которой хотелось бы иметь собственный канал в инет в этом же электронном окончании.

Можно ли использовать catalyst 2950 для "разделения" каналов?

Uplink до провайдера, первые 10 портов тегирована как vlan такой то и используется одной организацией, остальные порты тегированы как vlan такой то и используются другой организацией. Возможно на 2950?

Видимо можно попробовать договориться с провайдером что-б он вам транк организовал, и в него него пустил два vlan-а, соответственно один - одной, другой - другой выделить. Если номера не будут совпадать с тем что провайдер выдает, то, если IOS позволяет, можно организовать маппиг вланов. Если провайдер транк организовать не может, то видимо без маршрутизатора не обойтись, IMHO.

alespopov
спасибо. будем просить транк, резать на влан, и в порты втыкать сетевые карты оконечных устройств.
эмм... мне нужна будет поддержка vlan на сетевых картах?

zubastiy
Нет, порты настраиваются как 'access port' и к ним обычные покеты побегут, уже не тегированные.
А вообще-то нынче не модно компы пользователей сразу в интернет 'выставлять'.
Через маршрутизатор с NAT-ом как-то поприличнее будет Да хоть на микротике что-ли ...
Хотя случаи и ситуации/задания разные бывают.

alespopov
спасибо еще раз.
клиентских компов там не будет.
тестовые подключения всяческие, в том числе и микротик для лабы )
что будет выставлять другая организация - не в курсе.

Всем привет.
В наличии есть маршрутизатор Cisco 2811. В настоящий момент по не известным мне причинам максимальное количество VPN подключений "15" где может стоять ограничение? Сразу говорю настраивал не я. Приходится поддерживать то что есть. Помогите настроить маршрутизатор убрать всё не нужное и оставить только настройки для VPN подключения. Либо как обнулить и с нуля настроить?

Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(8), RELEASE SOFTWARE (fc1)
System image file is "flash:c2800nm-adventerprisek9-mz.124-8.bin"
Cisco 2811 (revision 53.51) with 249856K/12288K bytes of memory.
Processor board ID FCZ094772C0
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102

Серверов авторизации у меня нету.
[more=Вот мой конфиг:]

ska-cisco2811-vpn#show run
Building configuration...

Current configuration : 8597 bytes
!
! Last configuration change at 10:39:57 Moscow Wed Sep 28 2011 by user1
! NVRAM config last updated at 10:18:59 Moscow Wed Sep 28 2011 by user2
!
configuration mode exclusive manual
version 12.4
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname ska-cisco2811-vpn
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login vtymethod local group radius enable
aaa authentication login conmethod local group radius enable
aaa authorization network default local
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
clock calendar-valid
no ip source-route
!
!
ip cef
ip dhcp database firma
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp excluded-address 192.168.22.1
!
ip dhcp pool firma
network 192.168.22.0 255.255.255.0
update dns both override
default-router 192.168.22.1
domain-name firma.corp
dns-server 192.168.10.217
lease infinite
update arp
!
!
no ip bootp server
ip domain name firma.corp
ip name-server 192.168.10.217
ip inspect name in2out rcmd
ip inspect name in2out ftp
ip inspect name in2out tftp
ip inspect name in2out tcp timeout 43200
ip ddns update method sdm_ddns1
DDNS both
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
ip pmtu
ip mtu adjust
!
!
!
voice-card 0
no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-*******
certificate self-signed 01
****
****
****
****
quit
username user1 privilege 0 secret 5 *****
username user2 privilege 0 secret 5 *****
username user3 privilege 0 password 7 *****
!
!
!
crypto isakmp policy 5
authentication pre-share
group 2
crypto isakmp key dmvpnkey address 0.0.0.0 0.0.0.0
crypto isakmp nat keepalive 20
!
!
crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpnprof
set transform-set dmvpnset
!
!
!
!
interface Loopback1
ip address 192.168.117.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description $FW_OUTSIDE$
ip address **.***.***.** 255.255.255.248
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect in2out out
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
description $FW_INSIDE$
ip address 192.168.11.250 255.255.255.248
no ip redirects
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1
description $FW_INSIDE$
ip address 192.168.22.1 255.255.255.0
ip helper-address 192.168.10.217
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1400
ip mroute-cache
no logging event link-status
peer default ip address dhcp-pool firma

ppp encrypt mppe auto
ppp authentication pap chap eap ms-chap ms-chap-v2
!
router eigrp 1
network 192.168.10.0
network 192.168.11.0
network 192.168.22.0
network 192.168.23.0
network 192.168.24.0
network 192.168.25.0
network 192.168.26.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 **.***.***.**
ip route 192.168.10.0 255.255.255.0 192.168.11.254
ip route 192.168.11.144 255.255.255.240 192.168.11.254
ip route 192.168.11.160 255.255.255.224 192.168.11.254
ip route 192.168.11.192 255.255.255.224 192.168.11.254
ip route 192.168.11.224 255.255.255.240 192.168.11.254
ip route 192.168.11.240 255.255.255.248 192.168.11.254
ip route 192.168.23.0 255.255.255.0 192.168.22.7
ip route 192.168.24.0 255.255.255.0 192.168.22.4
ip route 192.168.25.0 255.255.255.0 192.168.22.5
ip route 192.168.26.0 255.255.255.0 192.168.22.6
!
ip flow-export source FastEthernet0/1
ip flow-export version 5
ip flow-export destination 192.168.10.225 9996
!
no ip http server
ip http access-class 2
ip http authentication local
no ip http secure-server
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface Virtual-Template1 overload
!
ip access-list extended DenyInet
permit tcp any any
permit ip any any
deny tcp host 192.168.10.14 any eq www
ip access-list extended SHILD
deny tcp any 0.0.0.0 255.255.0.0 eq 139
!
!
ip prefix-list LIST-IN seq 10 permit 0.0.0.0/0
ip prefix-list LIST-IN seq 20 deny 0.0.0.0/0 le 32

kron occurrence ClearHost in 1 recurring
policy-list ClearHost
!
kron occurrence bgp in 12:1 recurring
!
kron occurrence reboot at 3:59 recurring
!
kron policy-list bgp
cli clear ip bgp *
!
kron policy-list reboot
cli reload y *
cli reload n *
cli reload y *
cli reload n *
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.22.0 0.0.0.255
access-list 3 permit 192.168.23.0 0.0.0.255
access-list 4 deny any
no cdp run
!
!

!
!
control-plane
!
!
!
!
!
!
!
!
!
banner login ^C
This is a private system for and by firma. Authorization from firma management is required to use this system. Use by unauthorized persons is prohobited.^C
!
line con 0
login authentication conmethod
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 30 0
transport input ssh

!
scheduler process-watchdog terminate
scheduler allocate 20000 1000
ntp clock-period 17179991
ntp master
ntp server 85.114.26.194 source FastEthernet0/0
!
end
[/more]

Для 'Cisco VPN Client' устанавливается примерно так:

crypto isakmp client configuration group groupname
key grouppassword
max-users 100
max-logins 20

Но у Вас подобного нет, тогда что ограничивается, - количество хостов по DMVPN ?

Всё оказалось бонально и просто
Поправил следущие строчки в конфиге и всё заработало

interface Virtual-Template1
ip unnumbered Loopback1

interface Loopback1
ip address 192.168.22.1 255.255.255.0

всем здрасте

столкнулся с проблемой
оборудование Cisco 881SRST
[more=настройки Cisco]
sh ver

Код: Router#sh ver
Cisco IOS Software, C880 Software (C880VOICE-UNIVERSALK9-M), Version 15.2(1)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Tue 20-Sep-11 01:23 by prod_rel_team

ROM: System Bootstrap, Version 12.4(15r)XZ2, RELEASE SOFTWARE (fc1)

Router uptime is 12 minutes
System returned to ROM by power-on
System restarted at 05:52:22 UTC Thu Oct 6 2011
System image file is "flash:c880voice-universalk9-mz.152-1.T1.bin"
Last reload type: Normal Reload
Last reload reason: Reload Command



This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco SRST881 (MPC8300) processor (revision 1.0) with 498688K/25600K bytes of memory.
Processor board ID FCZ131813A0

5 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
1 Voice FXO interface
4 Voice FXS interfaces
256K bytes of non-volatile configuration memory.
250880K bytes of ATA CompactFlash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device# PID SN
-------------------------------------------------
*0 C881SRST-K9 FCZ131813A0



License Information for 'c880-srst'
License Level: advipservices Type: Permanent
Next reboot license Level: advipservices


Configuration register is 0x2102

Добрый день.

Есть провайдер, предоставляет доступ в интернет, канал 20 мб, ethrenet, сеть адресов /29

Необходимо сделать следующее.

Есть cisco 1811

Есть 4 nat клиента и 2 клиента требующих "прямого доступа" в интернет (одну сетевую карту в порт cisco и на этой сетевой карте требуется настроить реальный интернет адрес) не могу сообразить как такие клиенты называются, поэтому назову клиенты "прямого" доступа ))

Нужно предоставлять гарантированную полосу пропускания для nat клиентов и для каждого клиента с "прямым доступом", nat клиентам - 15 мб, 2 и 3 для "прямых" клиентов

С нат клиентами более менее понятно - ip nat outside int бла бла
Static nat для публикации сервисов - тоже понятно.
С клиентами "прямого доступа" - не понятно, какую технологию для этого нужно использовать?
С шейпингом - для стандартных nat клиентов можно по всякому полосы крутить, а вот как быть с клиентами "прямого" доступа?

Возможно ли решение подобной задачи на cisco1811 и если да, то как архитектурно реализовывать?

ЗЫ Прямые адреса - требование со стороны интегратора, которому по каким то соображениям нужен реальный адрес назначенный на внешнем интерфейсе его сервера (как я понял, это связано с логикой реализованной в софте, глубоко внутри пакета отправляемого наружу подставляется ip address интерфейса через который этот пакет покинул сервер, лазить в пакет на предмет подмены наличному оборудованию не под силу)

Цитата:

Возможно ли решение подобной задачи на cisco1811 и если да, то как архитектурно реализовывать?

bridge irb (Integrated Routing and Bridging)

Здравствуйте.
С Cisco я прежде дело не имел...
Имеется Cisco 2800 Series, я не знаю как к нему подключится.
Настраивал его не я. По сетки вроде ни какие порты не слушаются (проверял nmap'ом). Консольного кабеля (RJ45 - DB9 (RS-232)) не имеется. Можно ли как-то подключится обычным (или crossover) RJ45 кабелем к console или AUX порту что бы настроить?
В инете что-то ни чего найти не смог...
И второй вопрос - сокрее всего там стоит пароль для доступа в привилегированный режим, можно ли его сбросить/обойти (подключившись напрямую (консольный порт)) не потеряв настройки?

Alukardd
Цитата:

Консольного кабеля (RJ45 - DB9 (RS-232)) не имеется.

Ну так надо сделать самому: RJ45/DB9 adapters
DB9 RJ45 role
2 6 RXD
3 3 TXD
4 2 DTR
5 4,5 SG
6 7 DSR
7 1 RTS
8 8 CTS
Незаняты со стороны DB9 - DCD (1), RI (9)
Либо купить готовый адаптер: DB9 Female to RJ45 Modular Adapter

Цитата:

сокрее всего там стоит пароль для доступа в привилегированный режим, можно ли его сбросить/обойти

Сбросить можно, но с потерей настроек. Поскольку настроено где-то и явно не для вашей сети, то какая разница?

Цитата:

Сбросить можно, но с потерей настроек.

настройки можно и сохранить

входим в терминал
выключаем и снова включаем дивайс, при этом жмем в терминале ctrl-break (или ctrl-c, что получится)
попадаем в rommon
даем команды
confreg 0x2141
reset
после этого роутер загрузится без startup-config
даем команду copy startup running
меняем пароль на свой
возвращаем регистр на место
config-register 0x2101
сохраняем конфиг copy running startup

Vlary
Цитата:

Поскольку настроено где-то и явно не для вашей сети, то какая разница?

Настроено для нашей сети, но некоторые настройки изменились - но только пара адресов, остальное трогать не хочу. 1 - это моя первая циска и 2 - я хз что там настраивалось - он для аудио/видео информации шлюзом стоит.

Кстати, собирать лучше на основе какого провода? (витой пары cat5e или отрезать другой конец RS232 вилки(кабель для подключения UPS))
Valery12
Спасибо, если кабель соберу - буду пробовать. Покупать почти за 3к жаба душит (мб я не то смотрел?).

А нельзя с двух сторон RJ-45 у меня на ноуте нету com порта(, а циска в серверной...

Кстати там в Linux норм все будет через minicom?.. Или всё-таки форточки с hyperterminal чем-то лучше?

Alukardd
Цитата:

А нельзя с двух сторон RJ-45 у меня на ноуте нету com порта

А куда ты тогда собираешься вставить второй RJ-45?

Цитата:

циска в серверной...

Воткни патчкорд от цискинсой консоли в нужное гнездо, ведущее к компу с компортом, вынь его эзернет жгут из розетки, и вставь вместо него спаянный адаптер.

vlary
В ноут в сетевой разъём, и подсунуть ему драйвер не от сетевухи, а с обработчиком последовательных команд)))
эх - видимо так можно только 2 AUX порта между собой кроссом соединять(

Добавлено:

Цитата:

вынь его эзернет жгут из розетки, и вставь вместо него спаянный адаптер.

эту часть фразы не понял... Если мы соединили циску с компом в серверной, то зачем еще что-то трогать дальше? Там кстати и win2k8 имеется, должен быть какое-то подобие hyperterminal, только не помню есть ли там com порт...

Alukardd
Цитата:

подсунуть ему драйвер не от сетевухи, а с обработчиком последовательных команд)))

А что, есть такие? Мне пока не попадались. Конечно, есть Дижовые устройства, передающие RS232 через TCP/IP, но проще спаять кабель и найти комп с компортом.

Цитата:

Если мы соединили циску с компом в серверной, то зачем еще что-то трогать дальше?

Мы циску соединили с разводкой кабелей. А комп соединим с циской, не трогая его с места. Но можно, конечно, и в серверную его оттащить...
Ну, я конечно исхожу из того, как у нас устроено. У вас может быть и по-другому.

vlary
Я кажется понял - вы хотите воткнуть стандартный патчкорд (T568B) в консольный порт циски и в свитч в серверной (или допускается только патч панель, что бы не было коммутации?) дальше с другой стороны (всё-таки видимо куда выходит провод от патч панели) воткнуть уже хитро обжатый RJ45-DB9 (розетка со стороны рабочей станции тоже разведена стандартно?).
Или же от циски к патчкроду тоже надо переобжать по другому кабель с одной стороны?

Добавлено:
Думаю что не буду так извращаться с дотягиванием до рабочего места) У меня в серверной имеются обычные старенькие машины - тот же шлюз с Debian. Да и сервер с win2k8 имеет com порт вроде как.
А после разовой настройки уже доступ по ssh открою.

vlary
Вы уверены про распиновку? Я видел другую.