» Настройка Cisco оборудования

Цитата:

Задача отрубить на VLAN 1, DHCP

гм, там и не должно быть никакого DHCP на 1 VLAN. Он никуда не пошключен.
Какие адреса получают пользователи?
Или вы про 101 VLAN?

ну тогда подключайтесь по ssh или rs232 кабелем, проходите аунтентификацию (пользователь root)
далее
en
conf t
no ip dhcp pool Vlan101
no ip dhcp pool nsofpr01
no ip dhcp pool nosfd01
no ip dhcp pool nsofd08
exit
wri

усьо

PAPIruss 1. Листинги и конфиги надо прятать под тег more
2. При работе с циской лучше забыть про веб-интерфейс либо различные конфигураторы. Большинство настроек делается из командной строки, причем необходимо понимать, что делаешь.
3. Читаем этот документ: Configuring DHCP

Цитата:

PAPIruss 1. Листинги и конфиги надо прятать под тег more
2. При работе с циской лучше забыть про веб-интерфейс либо различные конфигураторы. Большинство настроек делается из командной строки, причем необходимо понимать, что делаешь.
3. Читаем этот документ: Configuring DHCP

Vlary спасибо.
1. поправил
2. Учту
3. Я же написал что не имею времени на изучение мануалов. Но конечно курить их буду, по мере возможности. В любом случае спасибо.

Цитата:

mimicon

Цитата:

гм, там и не должно быть никакого DHCP на 1 VLAN. Он никуда не пошключен.
Какие адреса получают пользователи?  
Или вы про 101 VLAN?

Да, да, именно Vlan101. Дружище, спасибо! Очень помог Коротко, лаконично и по делу

Доброго времени суток! Сейчас в интернете пользователи не работают, только запущен PingPlotter и я подключен по rdp.
Прошу посмотреть, есть-ли что-то проблемное в логах?

Результат около 20 минут debug ppp negotiation

Код: Cisco877#debug ppp negotiation
PPP protocol negotiation debugging is on
Cisco877#undebug all
All possible debugging has been turned off
Cisco877#debug ppp negotiation
PPP protocol negotiation debugging is on
Cisco877#
*Mar 2 05:51:05.739: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:52:05.741: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:53:05.743: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:54:05.744: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:55:05.746: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:56:05.747: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:57:05.749: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:58:05.791: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 05:59:05.792: Vi1 PPP: Outbound cdp packet dropped
*Mar 2 06:00:05.794: Vi1 PPP: Outbound cdp packet dropped

Цитата:

*Mar 2 06:00:05.794: Vi1 PPP: Outbound cdp packet dropped

CDP это Cisco Discovery Protocol на внешнем интерфейсе его точно нужно отключать, а если не используется то и глобально на всем дивайсе

Цитата:

Может у меня такая ситуация? Где в конфиге указывается ширина полосы?

conf t
int di0
band xxx

где ххх ето ширина линии. прописывается в Kb. например 2048 = 2МБ. 20480 = 20МБ

LookingBal


Цитата:

Сейчас я настроил дома на свой АДСЛ, завтра в офис нужно переносить. В офисе нужен проброс портов
rdp 3389 3389 192.168. 1. 2
2 OpenVPN 1194 1194 192.168. 1. 2
3 video 8000 8000 192.168. 1.200

не знаю если еще актуально но все же:

conf t
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.1.2 1194 interface Dialer0 1194
ip nat inside source static tcp 192.168.1.200 8000 interface Dialer0 8000

а что означает параметр Capacity Used, дело в том, что когда помехоустойчивость у меня отрицательная он равен 99%. может в этом кроется разгадка?

http://s017.radikal.ru/i427/1303/ce/051a224aa167.jpg

Для АДСЛ-модемов, в частности D-Link, Zyxel есть ПО, позволяющее производить наглядный мониторинг телефонной линии - АЧХ, спектр шума/сигнала и отображать их графически в динамике. Примеры такого ПО по ссылкам
http://segezha.onego.ru/pr/adsl_link_test.html
http://www.insidepro.com/kk/109/109r.shtml

Есть-ли что-то аналогичное для Cisco?

Здравствуйте. пока только в голове пробую решить задачу, нужно на определенном порту заблокировать IP на коммутаторе L2, выполнять это будет скрипт телнетом по определенным событиям (но об этом не в этой теме), почитал что нужно ACL, пока изучал понял, что первыми правила будут идти дени (блокировка) а последнее должно быть пермит, первая проблема которая у меня будет это то что телнетом будут добавляться правила, а они пишутся подряд и получится что будут например какие то правила сверху потом последнее пермит и вот если надо будет добавить еще одно запрещающее то оно добавится после пермит и соответственно не будет работать, получается что надо сначала удалять правило пермит, потом добавлять блокирующее и уже потом правило пермит, если так, то мне это не подойдет. Может я ошибаюсь и есть другое решение, подскажите.

vlh
Цитата:

нужно на определенном порту заблокировать IP на коммутаторе L2

Сам то понял, что написал?
IP - это уровень L3, а коммутатор у тебя - L2, и командовать на нем ты можешь только оперируя портами и МАК адресами.

Цитата:

Сам то понял, что написал?

вроде как да, а вы?

Цитата:

IP - это уровень L3, а коммутатор у тебя - L2

как бэ я и не спорую.

Цитата:

и командовать на нем ты можешь только оперируя портами и МАК адресами

замечательно, только зачем тогда в моем коммутаторе L2 есть ACL MAC и ACL IP?

P.S.
DLink 3526 L2 без проблем блокирует IP на порту.

Доброго времени суток.

Не нашел тему, куда бы поместить вопрос, вопрошаю сюда. Если совсем не по адресу, прошу подсказать направление для вопрошания

Проблема такая:

Свитчи HP ProCurve, штук 40. Среди них затерялись пара точек доступа. Есть МАСи и IP этих точек доступа. Есть доступ ко всем свитчам.

Можно ли как-нибудь, не перебирая все свитчи, найти к какому свитчу (последнему) подключен искомый Аксесс Поинт?


Был бы очень признателен за совет по данному вопросу. Очень не хочется перелопачивать каждый свитч. А ума для решения нет Помогите, люди добрые

vlh

Цитата:

DLink 3526 L2 без проблем блокирует IP на порту

Да ради бога, свитчи DLink могут работать хоть на 7 уровне и блокировать "одноклассников". Шутка
А рассматривать лучше конкретный свитч, а не сферический L2 в вакууме. Если в данной модели есть акцесс-листы для L3 - то ради бога.

Цитата:

первая проблема которая у меня будет это то что телнетом будут добавляться правила, а они пишутся подряд

Надо просто уметь их готовить. В режиме редактирования можно вставлять правило в нужное место, и удалять определенные правила, не удаляя сам список. Страницы три назад в этой теме я уже писал, как это делается.



Добавлено:
diabolitto

Цитата:

Можно ли как-нибудь, не перебирая все свитчи, найти к какому свитчу (последнему) подключен искомый Аксесс Поинт?

Можно. Называется это "метод поиска тигра в пустыне". Отрубаешь половину свичей. Если точка жива, значит она в другой половине. Отрубаешь половину второй половины. И так далее...

Цитата:

Да ради бога, свитчи DLink могут работать хоть на 7 уровне и блокировать "одноклассников".

вот видите, а то L2 и все

Цитата:

В режиме редактирования можно вставлять правило в нужное место, и удалять определенные правила, не удаляя сам список.

особо еще не работал над этой темой, но думаю что да, можно вставлять как то по номеру и т.д., но вот проблема моя будет в том, что скрипт который будет отправлять телнетом команды не может смотреть какие номера еще не заняты и под каким вставлять, тупо будет отправлять какой ip в какой ACL загнать. если бы речь шла о каких то разовых командах, то да можно и самому ручками править, а тут ежедневно будут добавляться и удаляться энное количество IP. почитаю ваши посты.

vlh А что мешает скрипту для начала получить результат команды
show access list xxx
а затем выполнять действия над уже нумерованным списком?

Доброго времени суток господа...
Никогда до этого не работал с cisco всегда был человек в команде, кто ими занимался, теперь человека этого нет и вместо него я. В теории я знаю что и как, а вот на практике вышел казус...
Сильно не пинайте, помогите.
Имею циску 2801 - включаю её и вуаля:

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c2801 platform with 393216 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled


Readonly ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0xcb80
open(): Open Error = -66
boot: cannot open "flash:"
boot: cannot determine first executable file name on device "flash:"

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c2801 platform with 393216 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled


Readonly ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0xcb80
open(): Open Error = -66
boot: cannot open "flash:"
boot: cannot determine first executable file name on device "flash:"

System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2006 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c2801 platform with 393216 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled


Немного погуглив понимаю, что IOS приказал долго жить (либо сама циска сдохла), но ковбои не сдаются - пытаюсь вылечить, лезу на сайт cisco и обнаруживаю, что для 2801 хренова туча IOS (войс, гейт и т.д.) это что? тоесть циску 2801 можно использовать только для определённых целей, выбрав нужный IOS, всё вместе она не поддерживает, что заявленно в конфигурации устройства? Какой IOS выбирать ?? циска должна работать как гейт, впн сервер, роутер, dhcp, firewall.

Так же не понятно как зарегистрироваться на сайте, всё время ругается на поле индекс - хотя ввожу его правильный (правда российский) - чувствую что туплю, но голова не варит сегодня уже вообще.

Сильно не смейтесь, хотя можно немного посмеяться, помогите.

jorfyre
Цитата:

циска должна работать как гейт, впн сервер, роутер, dhcp, firewall.

Для твоих целей достаточно иметь advipservices, например c2801-advipservicesk9-mz.124-18.bin, c2801-advipservicesk9-mz.124-15.T3.bin - что на флэшку и в память влезет.

Цитата:

Так же не понятно как зарегистрироваться на сайте

Да забей. В шапке есть ссылка на дружескую тему по прошивкам в соседнем разделе.

Помогите с проблемой - наш доблестный Укртелеком переводит на ДШСП технологию
На циско 1800 есть интерфейсы FE0/0, FE0/1,Dialer1 и ADSL модем в режиме бриджа
Дозванивается Dialer1.
Ну и теперь вопросы - при переводе на ДШСП модем сможет работать в режиме бриджа или нет??
Если нет ,а 99.9% что нет, то что надо намутить в циске?
Убрать полностью Dialer1 или только убрать дозвонку из Dialer1?

MagistrAnatol
Цитата:

при переводе на ДШСП модем сможет работать в режиме бриджа или нет?

Ой какая прелесть! Чистый, не замутненный излишним знанием разум!
ADSL и Ethernet (коль скоро речь идет о DHCP) - это совершенно разные технологии, потому модем можешь отправить фтопку, кабель от провайдера засунуть в тот порт, где был модем, Dialer1 похерить, а на FE0/0 (если это интерфейс того порта) прописать
что-то типа этого:

Код: interface FE0/0
ip dhcp client client-id ascii mytest
ip dhcp client hostname router1
ip address dhcp
ip nat outside
;

vlary

Цитата:

это совершенно разные технологии

- Догадываюсь, но
Цитата:

кабель от провайдера засунуть в тот порт, где был модем

- а не получится,модем остается - на нем создается тип подключения DHCP, но ето погоды не меняет - intrface Dialer1 надо полностью удалять
вот мои фейсы
!
interface Tunnel0
bandwidth 1024
ip address 192.* 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
ip nhrp authentication nhrp
ip nhrp map 192.* 217.7*
ip nhrp map multicast 217.7*
ip nhrp network-id 1
ip nhrp nhs 192.*
ip nhrp registration no-unique
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
description Eth-Link-BR-network
ip address 10.31.4.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
duplex auto
speed auto
!
interface FastEthernet0/1
description Link-to-ADSL-Internet-modem
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
есть ещо парочка, но они в данный момент не столь принципиальны
как в таком случае ???? - ip address 10.31.4.1 255.255.255.0 надо бы оставить





Добавлено:
немного уточню - FE0/0 - локалка FE0/1 - фейс модема

Добрый день , коллеги
у меня Cisco 2821 2 lan интерфейса, выполняет функцию маршрутизатора
спокойно пускает пользователей в сеть, но еть проблема
есть некоторые сайты на которые не пускает, вылетает ошибка 403, хотя с телефона или дома спокойно можно зайти на них
не подскажите в чем можнт быть проблема?

MagistrAnatol Понятно... Ваш провайдер решил поменять PPPoE over ADSL на DHCP over ADSL (он же IPoE), оставив подключение по телефонной линии.
У нас МГТС тоже делает нечто подобное, но она заводит в квартиры оптику и меняет модемы с ADSL на GPON.
выдержка из Хабра:

Цитата:

IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка – IP-трафик поверх Ethernet, грубо говоря, обычная локалка. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS или выделения VLAN на каждого абонента (так называемый Client-VLAN).

Ну, тогда все вопросы к провайдеру, он такую чучу отчебучил, ему и флаг в руки. Возможно, если оставить модем бриджем, а на циске прописать то, что я писал, она и получит адрес по DHCP. Но лучше потеребить их техсаппорт.
spasecasper
1. Возможно, сайты редиректят странице на нестандартный порт, доступ к которому закрыт на циске.
2. Проблемы с MTU
3. Провайдеры между собой не дружат
4. Проблемы с ДНС.

1. Как это узнать
2, 3 , 4 все проверял нет ограничений

Добавлено:
провайдер все открыл, днс ставлю 8.8.8.8 все равно не работает

vlary
Я в супорт звонил - модем бриджом работать не будет- звонить точнее соединяться будет сам модем
Если я правильно понял - фейс модема надо удалять полностью и все строки где встречается interface dialer1 менять на FE0/1.
ДШСП адрес по логике вещей должен получить сам модем.
А что будет с interface dialer1 если из него дозвонку
interface Dialer1
mtu 1492
ip ddns update hostname brmkgaz.dyndns.org
ip ddns update dyndns
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username b*t_*@dsl.ukrtel.net password 0 *
!

spasecasper
Цитата:

1. Как это узнать

Дома посмотреть точный URL, по которому открывается сайт. не открывающийся на работе.
И еще. Среда на работе и дома наверняка разная. Я, например, недавно столкнулся с ситуацией, когда на одном компе не было соединения по https на некоторые сайты.
Причем ошибка была именно "Страница не найдена". Потом выяснилось, что эти сайты по одному ему понятному выбору блочил Кашпировский.
MagistrAnatol
Цитата:

Я в супорт звонил - модем бриджом работать не будет

Может, они не умеют его готовить? По идее задача модема в режиме бриджа - это обеспечить соединение канального уровня между ADSL и Ethernet, а уж что там будет работать поверх канального уровня, ему по барабану.

Цитата:

А что будет с interface dialer1

Его просто не будет. Какой в нем смысл, если звонить будет сам модем? Тогда на модеме нужно поднимать НАТ, и гнать все через этот НАТ.
Если у вас наличие циски не согласовано с провайдером, то пусть они вам приедут и настроят соединение хотя бы для одного компа, а далее разговор будет более предметный.
А если циска согласована, пусть приедут и вам ее сами настроят. Либо точно скажут, что вам там прописать, я думаю, ваша контора там не единственный клиент с циской.

Подскажите, что делать?
Cisco сама перегружается при конфигурировании:

Цитата:

System image file is "flash0:c2900-universalk9_npe-mz.SPA.152-3.T.bin"
Last reload type: Normal Reload
Last reload reason: bus error at PC 0xDEADBEEF, address 0x0

на что обновится, если решается обновлением?

lioncub Наверное, память битая.
MagistrAnatol Кстати, у вас там эту проблему давно и вовсю обсуждают, а вы пишете туда, где об этом ни сном ни духом. Это все равно, что обсуждать с человеком из Владивостока отношения Саши и Маши из Жмеринки.

vlary
Нашему Укртелекому глубоко на.... что у тебя стоит за модемом - комп, циска,или мобильник
Модем соединился а дальше твои проблемы.
Сюда написал , так как тут спецы водятся
А по сути вопроса - какая разница кто дозванивается - циска или модем?
Если я уберу диалер и поменяю ссылки на него на FE0/1 - должно пройти???
Внешний айпишник будет получать модем, а не циска - не может быть что бы такой ситуации как у меня ни у кого не было????


Добавлено:
Так ???
interface Tunnel0
...
tunnel source Dialer1 -> tunnel source FastEthernet0/1
...
!
ip route 0.0.0.0 0.0.0.0 Dialer1 -> ip route 0.0.0.0 0.0.0.0 FastEthernet0/1

!
ip nat inside source list 170 interface Dialer1 overload -> ip nat inside source list 170 interface FastEthernet0/1 overload
!
ip nat inside source static tcp 10.31.4.10 5670 interface Dialer1 5670 -> ip nat inside source static tcp 10.31.4.10 5670 interface FastEthernet0/1 5670
!

MagistrAnatol Да не будет теперь дайлера! Он для PPP*.