Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco оборудования

Автор: halsser
Дата сообщения: 22.04.2012 20:51
Как правильно настроить DNS сервер на cisco?
Автор: vlary
Дата сообщения: 22.04.2012 21:26
halsser

Цитата:
Как правильно настроить DNS сервер на cisco?
Правильно будет поднять в сети нормальный DNS сервер, оставив кесарю кесарево, а слесарю слесарево.
Ибо циска имеет весьма рудиментарный DNS сервер.
Но если месье предпочитает нетрадиционный секс, то где-то так:

Код: ip dns server
ip dns primary website.com soa ns.website.com admin.website.com 86400 3600 1209600 86400
ip host website.com ns ns.website.com
ip host website.com mx 10 mail.website.com
ip host ns.website.com 192.168.0.1 ! router's IP address
ip host www.website.com 192.168.0.2
ip host website.com 192.168.0.2 ! alternate for www.website.com
ip host mail.website.com 192.168.0.3
Автор: suzzzzzz
Дата сообщения: 25.04.2012 11:50
Есть cisco 1921
у нее есть usb console, подключаю к компу через mini usb
Ставлю дрова, в системе определяется как com3
подключаю через putty и тишина...

ps Все дело в кабеле, проблема не актуальна. Спасибо
Автор: Andru75
Дата сообщения: 26.04.2012 13:29
[more] Только начал заниматся Cisco. До этого дело с ним не имел. Погуглив написал Конфиг.

! Last configuration change at 08:49:24 UTC Wed Apr 25 2012
! NVRAM config last updated at 08:49:49 UTC Wed Apr 25 2012
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Office
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$7hLe$CttpS9LEC0bmy00rvuobo1
enable password ххххххххх
!
no aaa new-model
!
no process cpu extended history
no process cpu autoprofile hog
!
no ipv6 cef
no ip source-route
no ip routing
no ip cef
!
!
!
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.2
!
ip dhcp pool Local
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 10.10.10.2
domain-name pr.lan
!
!
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO1921/K9
license boot module c1900 technology-package securityk9
!
!
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1/0
no cdp enable
!
interface GigabitEthernet0/1/1
no cdp enable
!
interface GigabitEthernet0/1/2
no cdp enable
!
interface GigabitEthernet0/1/3
no cdp enable
!
interface ATM0/0/0
description Connectet to Ukrtelecom's DSLAM
no ip address
no ip route-cache
logging event atm pvc state
load-interval 30
no atm ilmi-keepalive
bridge-group 1
pvc 1/32
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
no ip route-cache
load-interval 30
no mop enabled
!
interface Dialer0
description ISP PPPoE
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
ppp authentication chap pap callin
ppp pap sent-username хххххххх@ххххххххххх password 0 ххххххххх
ppp ipcp dns request
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 0.0.0.0 0.0.0.0 Null0 255
!
access-list 1 permit 10.10.10.0 0.0.0.255
!
!
!
!
!
snmp-server community public RO
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password хххххххх
login
transport input all
!
scheduler allocate 20000 1000
end

Доступа в интернет нет. Пинги не проходят. [/more]
Автор: alespopov
Дата сообщения: 26.04.2012 13:39
Andru75
Зачем все-то скрывать, можно было только сам конфиг. И хоть-бы написали кто чего куда подключена, в какие порты. Ну да ладно, а по делу:
interface GigabitEthernet0/0
shutdown
и аналогичный на 0/1 вероятно, как я смог догадаться, и есть проблема.
Надо выполнить:
#conf t
)interface GigabitEthernet0/0
)no shutdown
)exit
...


Автор: vlary
Дата сообщения: 26.04.2012 14:05
alespopov
Цитата:
Зачем все-то скрывать, можно было только сам конфиг
Это нубам автоматически такой цих с гвоздями. Ибо тегом more сами они практически никогда не пользуются.
Andru75 Ты думаешь, с такой строчкой в конфиге
Код: no ip routing
Автор: Andru75
Дата сообщения: 26.04.2012 14:27

Цитата:
alespopov

интерфейсы GigabitEthernet0/0 и GigabitEthernet0/1 изначально отключены
входящие ADSL подключение на интерфейсе АТМ 0/0/0
исходящий VLAN1 - внутренняя сеть

Автор: alespopov
Дата сообщения: 26.04.2012 15:06
vlary А, ну это правильно, поддерживаю.
Andru75
Ну почем мне знать, я не телепат, может Вы с консоли настраиваете, а локалку в них подключили.
В 2008-ом для 800-го рутера, у меня так работало:
[more]

Код:
hostname host87-xxx
ip cef
ip domain name etth.ddddd.net
ip name-server 8x.xxx.x8.1
ip name-server 8x.xxx.x5.1
vpdn-group 1
request-dialin
protocol pppoe
!
interface FastEthernet4
description # WAN IFace$ETH-WAN$
no ip address
duplex auto
speed auto
pppoe enable group 1
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 192.ччч.ччч.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
description $FW_OUTSIDE$
mtu 1492
ip address negotiated
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname isp-user
ppp chap password 0 isp-pass
Автор: Andru75
Дата сообщения: 26.04.2012 15:13
vlary

no ip routing и ip route 0.0.0.0 0.0.0.0 Null0 255 убрал





Добавлено:

Цитата:
alespopov


Пробывал пинговать сайт гугла и другие - пинги проходят
Интернет появляется на компах только при указание DNS сервера гугла 8.8.8.8

Помоггите настроить DNS, чтобы в ручную не забивать.
Автор: alespopov
Дата сообщения: 26.04.2012 15:49
Andru75

Код:
ip dhcp pool Local
...
dns-server 10.10.10.2
Автор: Andru75
Дата сообщения: 26.04.2012 16:55

Цитата:
alespopov


ip dhcp pool Local

добавил публичные dns-serverа 10.10.10.2 8.8.8.8 4.2.2.2

Все работает. Выход в интернет есть.

Спасибо.

Автор: Andru75
Дата сообщения: 28.04.2012 16:33
На интерфейсе Dialer0 прописую ip access-group 110 in

С помощью «листов доступа» на Dialer0 организовую межсетевой экран
office(config)# access-list 110 permit tcp any any eq www
office(config)# access-list 110 permit tcp any any eq smtp
office(config)# access-list 110 permit tcp any any eq pop3
office(config)# access-list 110 permit tcp any any eq domain
office(config)# access-list 110 permit tcp any eq domain any
office(config)# access-list 110 permit udp any any eq domain
office(config)# access-list 110 permit udp any eq domain any
office(config)# access-list 110 permit icmp any any
office(config)# access-list 110 deny ip any any

при применении «листов доступа» трафик полностью блокируется.

Объясните в чем проблема.
Автор: vlary
Дата сообщения: 28.04.2012 16:39
Andru75 Добавь перед deny ip any any такое правило:
access-list 110 permit tcp any any established
Автор: JonJonson
Дата сообщения: 28.04.2012 16:40
office(config)# access-list 110 deny ip any any
Это не нужно. Оно невидимо присутствует.

А вот всё остально нужно посмотреть по факту конфига, а не ввода команд.
Автор: Andru75
Дата сообщения: 28.04.2012 16:51

Цитата:
vlary


Спасибо, все заработало.
Автор: vlary
Дата сообщения: 28.04.2012 16:53
JonJonson
Цитата:
Это не нужно. Оно невидимо присутствует
Имеет смысл, если пишется лог
access-list 110 deny ip any any log
А без permit tcp any any established работать не будет точно
И еще не худо порты выше 4000 открыть, если хотца скайпа, торрентов, аськи...
access-list 110 permit udp any any gt 4000
access-list 110 permit tcp any any gt 4000
Автор: obtim
Дата сообщения: 04.05.2012 08:29
Посоветуйте утилиту под wind'ы для мониторинга, администрирования(бэкапа конфигурации) и обновления оборудования Cisco в сети. Желательно Freeware(если нет адекватных решений, то warez)
Автор: Valery12
Дата сообщения: 04.05.2012 14:10
для коммутаторов может подойти "cisco network assistant" конечно поддерживает в лучшем случае 10% функционала консоли, но для начинающего пойдет. А вот для маршрутизаторов использовать имеющуюся у cisco графическую утилиту не советую конфиг корежит конкретно, разве что для мониторинга (графики красивые показывает )
Автор: obtim
Дата сообщения: 04.05.2012 21:48
Valery12
Спасибо.

Вопрос по Cisco VPN Client - в глаза ее не видел. Знаю, что стоит в одном из удаленных офисов и имеем следующую проблему: при падении канала отваливается VPN Client и не поднимается обратно после его восстановления. Поэтому приходиться пинать специально обученного пользователя, чтобы он кликнул по кнопке connect и ввел пароль. Хочется автоматизировать процесс: можно как-нибудь настроить клиента, чтобы он предпринимал n попыток в заданный интервал времени(после падения канала) по восстановлению связи с сервером?
Автор: vlary
Дата сообщения: 04.05.2012 23:33
obtim Auto reconnecting Cisco VPN client
Автор: zhukovia
Дата сообщения: 05.05.2012 10:51
У меня происходит циклическая перезагрузка CISCO 3548 XL. В консоль выдается следующая информация


Код: C3500XL Boot Loader (C3500-HBOOT-M) Version 12.0(5.1)XP, MAINTENANCE INTERIM SOE
Compiled Fri 10-Dec-99 11:24 by cchang
starting...
Base ethernet MAC Address: 00:01:42:c3:24:40
Xmodem file system is available.
Initializing Flash...
flashfs[0]: 3 files, 2 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 3612672
flashfs[0]: Bytes used: 1814016
flashfs[0]: Bytes available: 1798656
flashfs[0]: flashfs fsck took 3 seconds.
...done Initializing Flash.
Boot Sector Filesystem (bs installed, fsid: 3
Parameter Block Filesystem (pb installed, fsid: 4
Loading "flash:c3500xl-c3h2s-mz.120-5.WC17.bin"...##############################
File "flash:c3500xl-c3h2s-mz.120-5.WC17.bin" uncompressed and installed, entry 0
executing...

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco Internetwork Operating System Software
IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC17, RELEASE SOFTW)
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Tue 13-Feb-07 15:04 by antonino
Image text-base: 0x00003000, data-base: 0x00352924


Initializing C3500XL flash...
flashfs[1]: 3 files, 2 directories
flashfs[1]: 0 orphaned files, 0 orphaned directories
flashfs[1]: Total bytes: 3612672
flashfs[1]: Bytes used: 1814016
flashfs[1]: Bytes available: 1798656
flashfs[1]: flashfs fsck took 3 seconds.
flashfs[1]: Initialization complete.
...done Initializing C3500XL flash.
C3500XL POST: System Board Test: Passed
C3500XL POST: Daughter Card Test: Passed
C3500XL POST: CPU Buffer Test: Passed
C3500XL POST: CPU Notify RAM Test: Passed
C3500XL POST: CPU Interface Test: Passed
C3500XL POST: Testing Switch Core: Passed
C3500XL POST: Testing Buffer Table: Passed
C3500XL POST: Data Buffer Test: Passed
C3500XL POST: Configuring Switch Parameters: Passed
Buffered messages:
Queued messages:
00:00:06: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging ou.

00:00:06: CPU Interface 0 SWITCH error in received packet on queue 3
Автор: ktoto1
Дата сообщения: 07.05.2012 12:40
Приветствую друзья. Возникла неприятность с туннелированием.
Есть циско с2901

interface Tunnel1
ip address 10.0.0.2 255.255.255.0
tunnel source циско2900
tunnel destination циско800
!
!
interface Tunnel2
ip address 10.1.1.2 255.255.255.0
ip mtu 1400
tunnel source циско2900
tunnel destination циско1900
tunnel path-mtu-discovery


Есть циско c1901

interface Tunnel0
ip address 10.1.1.1 255.255.255.0
ip mtu 1400
tunnel source циско1900
tunnel destination циско2900

Кроме этого циско 1901 отягощена pppoe подключением с которого собственно туннель и строится.

interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp pap sent-username имя password пароль
ppp ipcp mask request
ppp ipcp address accept
no cdp enable

Кратко суть проблемы : Мистический туннель на с1901 up/up , на с2900 up/up.
Всё чудесно , но на обоих цисках не пингую удаленный адресс 10.1.1.X.
Кручу верчу MTU, но всё никак. Аксес листы тоже полностью выключал эффект тот же.
Причем на циске 2900 есть еще один туннель и работает без проблем. Возможно что проблема связанна с прохождением GRE через PPPOE. Может кто-то сталкивался ?
Автор: vlary
Дата сообщения: 07.05.2012 13:00
ktoto1 Была как-то аналогичная петрушка. При создании туннеля не указал
tunnel mode gre
и концы туннелей не пинговались.
После того, как поправил, все забегало нормально.
Автор: ktoto1
Дата сообщения: 07.05.2012 13:25
vlary

Попробовал таже фигня.
Мож глюк какой.
Чисто для теста построил с дома с 881 циски (тоже pppoe) на 2900ю Туннель встал без проблем. Совсем не могу понять. Перед 2900 у меня стоит BGP . Так я на нем закаптурил обмен между 1900 и 2900. Когда пингую с 1900 вижу что в gre идёт до 2900. Но обратно уже тишина. Вобщем мистика какая-то.

Потом Для теста построил с дома 880 (pppoe) на 1900 (pppoe) - не пашет туннель. С теми же эффектами что я писал в прошлом сообщении.
По безнадёге поднял тунель через нат за 1900 с Линукса на BGP роутер - но не очень хочу его оставлять так на постоянку.
Попробовал с линукса который за 1900 построить на 2900 - не строится, всмысле строится но не пингуется. Вобщем я уже перебрал наверное сотню вариантов построений тунелей. Сегодня даже снились мосты и туннели и всё бестолку. Либо я чего-то не знаю либо глюк в иосе.

UPDATE: Таки заставил его работать.
Автор: vlary
Дата сообщения: 07.05.2012 16:02
ktoto1
Цитата:
Таки заставил его работать
И что же было помехой?
Автор: ktoto1
Дата сообщения: 07.05.2012 17:38
vlary

Цитата:
И что же было помехой?


Оказывается, если dialer получает айпи динамически. даже если постоянно один и тот же. В настройках Gre надо сказать tunnel source Dialer0. Чьёрт на цискосайте ни слова о такой особенности. Попадётся такая фигня и кто-то CCNP не сдаст.
Автор: vlary
Дата сообщения: 07.05.2012 19:27
ktoto1
Цитата:
Оказывается, если dialer получает айпи динамически. даже если постоянно один и тот же
У меня в одном филиале циска тоже получает интернет по pppoe. Я просто прописал как tunnel source выдаваемый ей айпи, и все работает без проблем
Автор: Andru75
Дата сообщения: 11.05.2012 11:22
У меня виход в интернет организован так
Интернет ----- Cisco 1921/K9 ---- Zentyal ---- Внутреняя сеть.

На Zentyal настроен HTTP proxy, IPS, DHCP, DNS, Антивирус, Samba, настроены пользователи.
Выход в интернет происходит посредством авторизации на Zentyal.

DHCP, DNS, выход в интернет через VPN на Cisco - это все пробывал, настраивал, работает.

Возможно ли создать на Cisco HTTP proxy без привлечения дополнительного оборудования.

Автор: ktoto1
Дата сообщения: 11.05.2012 13:20
Andru75

А зачем еще один прокси если на Zentyal уже есть ?
Автор: Andru75
Дата сообщения: 11.05.2012 14:32
ktoto1

Погуглив просторы интернета да и сайте Cisco почитав, понял что организовать HTTP proxy без
привлечения дополнительного оборудования (серверов HTTP proxy или
Цитата:
Zentyal
как в моем случае)
самими средствами машрутизатора не представляется возможным.

Поэтому я снимаю свой вопрос.



Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

Предыдущая тема: Не могу побороть вирус Nimda


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.