Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco оборудования

Автор: serik1986
Дата сообщения: 06.05.2013 07:36
Ребята прошу помидорами не бросать, фаг читать весь пока времени просто нет. Обязательно добирусь, просто пока малюханький вопрос. У меня SX200 24 портовый гигабитный свитч, знаю что это не совсем сиско, но все же устройство. как и все сетевое оборудование я сразу люблю его прошивать до последней прошивки. Так вот я теперь не пойму какую шить, на офф сайте естьпрошивки версии 1, 2 и 3, я имею ввиду первую цифру, в обычных домашних роутерах это часто имеет большое значение, на сколько это актуально здесь, или тут другой алгоритм назначения номера прошивки? т.е. вопрос звучит так, если прошью этот "умный" свитч на 3-ю прошивку из последних, я его не убью?
Автор: mxtvbk
Дата сообщения: 06.05.2013 12:06
serik1986
я бы посоветовал для каждой версии прочитать release note перед апдейтом.
P.S. А вообще есть ли смысл обновлять? Если и так работает?
Автор: serik1986
Дата сообщения: 06.05.2013 12:32
mxtvbk
я доверяю обновлениям в том смысле что они как минимум делают заплатки на то что до этого создавало проблему. как говорится болезни лучше предупреждать чем потом лечить.

релиз нот я читал, и ничего не было сказано о несовместимости версий, просто писалось в общем какие протоколы добавили и что изменили... но хотелось бы услышать может кто уже такое делал, чтоб знать уже наверняка.
Автор: tsypkin
Дата сообщения: 07.05.2013 14:29

Цитата:
как посмотреть\включить для просмотра логи авторизации на контроллере cisco 2500


Ставить радиус на на нем все разбирать. В том числе и аутентификацию через него делать.
Автор: vlary
Дата сообщения: 07.05.2013 15:13
tsypkin В первую очередь нужно настроить внешний syslog server, чтобы девайс писал туда логи. У него самого места для них маловато будет...
Автор: tsypkin
Дата сообщения: 07.05.2013 15:18

Цитата:
tsypkin В первую очередь нужно настроить внешний syslog server, чтобы девайс писал туда логи. У него самого места для них маловато будет...


Все-таки для авторизации есть более правильные решения.
Автор: vlary
Дата сообщения: 07.05.2013 22:08
tsypkin В принципе конечно можно парсить и логи радиуса.
Более того, если в качестве радиус сервера используется IAS, то логи можно сразу писать в MSSQL базу.
Автор: spasecasper
Дата сообщения: 13.05.2013 13:55
Добрый день
у меня маршрутизатор Cisco 2811 он раздает интернет, все работает прекрасно
но есть некоторые сайты куда он не дает войти и пишет ошибку как на скрине, прошу вас посоветовать в чем проблема
http://s60.radikal.ru/i170/1305/65/0ff69b6dc7c7.jpg
Автор: vlary
Дата сообщения: 13.05.2013 15:46
spasecasper Ну а при чем здесь циска? Это не циска пишет, это вам удаленный сервер
такую козью морду показывает. Мало ли, что у них там может быть на уме?
Автор: spasecasper
Дата сообщения: 13.05.2013 15:49
потому что через USB модем или дома прекрасно заходит на сайт, а именно с моего рабочего ip нет. таких сайтов уже несколько накопилось
Автор: Raz0rnsk
Дата сообщения: 14.05.2013 08:37
Здравствуйте.

На 3750 время получает по ntp с 2 серверов на windows. Один из них выбран как prefer, соотстветственно, один из них выбирается мастером, а другой selected. Если на на серваках меняется IP, с которого берертся время (источник предоставляет время по round robin, т.е ip периодически меняются), то на 3750 выбор мастера занимает длительное время. Можно какие-то таймеры подкрутить или что-то изменить чтобы сократить время ожидания?
Автор: vlary
Дата сообщения: 14.05.2013 10:51
spasecasper
Цитата:
потому что через USB модем или дома прекрасно заходит на сайт
Там айпишники наверняка другие.

Автор: petr186
Дата сообщения: 14.05.2013 12:12
Нужна помощь!!! Есть два провайдера Ртелеко и Телесет (интернет соединения), Телесет идёт в один порт Cisco 2821,
оттуда идет в порт хаба AT8948, Ртелеком идет отдельно по оптике и не входит в Cisco 2821 и в хаб.
Телесет использует одна организация а Ртелеком другая. Надо сделать так что б Ртелеком был резевным
каналом связи с интернетом если в Телесет интернет коннекта не будет.
Если в Телесете интернет исчезнет то Ртелеком должен организовать доступ к интернету только одной
организации а вторую вырубить! Как организовать это? Заранее ВСЕМ спасибо!
Автор: eserden
Дата сообщения: 14.05.2013 13:00
Здравствуйте.

Прошу помощи..
Есть Cisco 2811
Поставлена задача организовать некоторому количеству людей доступ в интернет, но запретить доступ в локалку. Ничего умнее не придумал как создать secondary ip на локальном интерфейсе и прописать в нат свою дополнительную подсеть 192.168.139.0
Все работает но до подключения easy vpn как только vpn подключается доступ в инет из второй подсети пропадает. отключаешь все работает

Пожет кто подскажет

Провожу 2 конфига.
1 рабочий без VPN
2. показываю как настроил VPN

[more=Рабочий конфиг без VPN]
Building configuration...

Current configuration : 7800 bytes
!
! Last configuration change at 17:54:18 UTC Mon May 13 2013 by admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-2811
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

ip name-server 91.210.XXX.XXX
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-423590207
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-423590207
revocation-check none
rsakeypair TP-self-signed-423590207
!
!
crypto pki certificate chain TP-self-signed-423590207
certificate self-signed 01
30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323335 39303230 37301E17 0D313330 35313231 36353434
395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 33353930
32303730 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
B3EE357F FB510CF1 1D7FF3F1 FE067DE7 A6704F9A A397C406 E464AD9F 397DD629
3649C003 90071657 9675F37F DEADC8DA 8BA53F6F 457CD4DC 64AFF8C3 C61A8B68
7A210659 EE9BFC21 855F3C08 A254EF9C F6245D24 16BD0C5D FE7AF2F9 38FCDE2C
BACE933B 045E883B 9B75B03F 6723E5BB C30392ED F9E9F68E 813427B4 A483CCAF
02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
23041830 168014FA 2A546D2E 452ED49D 74F086E0 54368FF6 D01D2330 1D060355
1D0E0416 0414FA2A 546D2E45 2ED49D74 F086E054 368FF6D0 1D23300D 06092A86
4886F70D 01010505 00038181 000F149F 9ED9ACAB A6985552 12E4190A 468C11B9
F9B2303A 81F9EBAA 90FFF413 812D45CF 6BE042BB 87738D12 0A4B1FC1 911759E3
8169D7DF DEE3695C 5822005B F848629E E900892C 7CCF2392 A769C860 B1B03990
F03FF26B 78CEE11C 500837A7 17F34643 2F9BB9E2 E6222658 EB5575A9 1DAC6F11
6F27D735 39E361E4 DB79BA88 81
quit
!
!
license udi pid CISCO2811 sn FCZ122172S7
username ******
username *****
username ****
!
redundancy
!
!
!

!
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.139.1 255.255.255.0 secondary
ip address 10.3.14.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 91.210.XXX.XXX 255.255.255.252
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list nat-inet interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 91.210.XXX.XXX
!
ip access-list extended nat-inet
permit ip 192.168.139.0 0.0.0.255 any
permit ip 10.3.14.0 0.0.0.255 any
!
access-list 23 permit 10.3.14.8
access-list 23 remark SDM_ACL Category=16
access-list 23 permit 10.3.14.31
access-list 100 remark Auto generated by SDM Management Access feature
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 22
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq www
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 443
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq cmd
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq cmd
access-list 100 deny tcp any host 10.3.14.1 eq telnet
access-list 100 deny tcp any host 10.3.14.1 eq 22
access-list 100 deny tcp any host 10.3.14.1 eq www
access-list 100 deny tcp any host 10.3.14.1 eq 443
access-list 100 deny tcp any host 10.3.14.1 eq cmd
access-list 100 deny udp any host 10.3.14.1 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip host 10.3.14.31 any
access-list 101 permit ip host 10.3.14.8 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 permit ip host 10.3.14.31 any
access-list 102 permit ip host 10.3.14.8 any

!
!
!
!
!
control-plane
!
!
banner exec ^CCC
% Password expiration warning.
-----------------------------------------------------------------------



username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you want to
use.

-----------------------------------------------------------------------
^C
banner login ^CCC
-----------------------------------------------------------------------

-----------------------------------------------------------------------
^C
!
line con 0
login local
line aux 0
line vty 0 4
access-class 101 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 102 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
[/more]

Но стоит добавить easy vpn как пинги из дополнительной подсети (192.168.139.0/24) пропадают но в основной (10.3.14.0/24) все работает


[more=Второй конфиг c VPN]
Building configuration...

Current configuration : 7903 bytes
!
! Last configuration change at 17:54:18 UTC Mon May 13 2013 by admin
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco-2811
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive

ip name-server 91.210.XXX.XXX
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-423590207
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-423590207
revocation-check none
rsakeypair TP-self-signed-423590207
!
!
crypto pki certificate chain TP-self-signed-423590207
certificate self-signed 01
30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323335 39303230 37301E17 0D313330 35313231 36353434
395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 33353930
32303730 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
B3EE357F FB510CF1 1D7FF3F1 FE067DE7 A6704F9A A397C406 E464AD9F 397DD629
3649C003 90071657 9675F37F DEADC8DA 8BA53F6F 457CD4DC 64AFF8C3 C61A8B68
7A210659 EE9BFC21 855F3C08 A254EF9C F6245D24 16BD0C5D FE7AF2F9 38FCDE2C
BACE933B 045E883B 9B75B03F 6723E5BB C30392ED F9E9F68E 813427B4 A483CCAF
02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
23041830 168014FA 2A546D2E 452ED49D 74F086E0 54368FF6 D01D2330 1D060355
1D0E0416 0414FA2A 546D2E45 2ED49D74 F086E054 368FF6D0 1D23300D 06092A86
4886F70D 01010505 00038181 000F149F 9ED9ACAB A6985552 12E4190A 468C11B9
F9B2303A 81F9EBAA 90FFF413 812D45CF 6BE042BB 87738D12 0A4B1FC1 911759E3
8169D7DF DEE3695C 5822005B F848629E E900892C 7CCF2392 A769C860 B1B03990
F03FF26B 78CEE11C 500837A7 17F34643 2F9BB9E2 E6222658 EB5575A9 1DAC6F11
6F27D735 39E361E4 DB79BA88 81
quit
!
!
license udi pid CISCO2811 sn FCZ122172S7
username ******
username *****
username ****
!
redundancy
!
!
!
!
!
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group *** key 6 *****
mode network-plus
peer 89.XXX.XXX.34
peer 89.XXX.XXX.35
username **** password 6 *****
xauth userid mode local
!
!
!
!
!
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0/0$
ip address 192.168.139.1 255.255.255.0 secondary
ip address 10.3.14.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
interface FastEthernet0/1
description $ETH-LAN$
ip address 91.210.XXX.XXX 255.255.255.252
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
ip forward-protocol nd
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source list nat-inet interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 91.210.XXX.XXX
!
ip access-list extended nat-inet
permit ip 192.168.139.0 0.0.0.255 any
permit ip 10.3.14.0 0.0.0.255 any
!
access-list 23 permit 10.3.14.8
access-list 23 remark SDM_ACL Category=16
access-list 23 permit 10.3.14.31
access-list 100 remark Auto generated by SDM Management Access feature
access-list 100 remark SDM_ACL Category=1
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 22
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 22
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq www
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq www
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq 443
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq 443
access-list 100 permit tcp host 10.3.14.31 host 10.3.14.1 eq cmd
access-list 100 permit tcp host 10.3.14.8 host 10.3.14.1 eq cmd
access-list 100 permit tcp 10.10.10.0 0.0.0.7 host 10.3.14.1 eq cmd
access-list 100 deny tcp any host 10.3.14.1 eq telnet
access-list 100 deny tcp any host 10.3.14.1 eq 22
access-list 100 deny tcp any host 10.3.14.1 eq www
access-list 100 deny tcp any host 10.3.14.1 eq 443
access-list 100 deny tcp any host 10.3.14.1 eq cmd
access-list 100 deny udp any host 10.3.14.1 eq snmp
access-list 100 permit ip any any
access-list 101 permit ip host 10.3.14.31 any
access-list 101 permit ip host 10.3.14.8 any
access-list 101 permit ip 10.10.10.0 0.0.0.7 any
access-list 102 permit ip host 10.3.14.31 any
access-list 102 permit ip host 10.3.14.8 any

!
!
!
!
!
control-plane
!
!
banner exec ^CCC
% Password expiration warning.
-----------------------------------------------------------------------



username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you want to
use.

-----------------------------------------------------------------------
^C
banner login ^CCC
-----------------------------------------------------------------------

-----------------------------------------------------------------------
^C
!
line con 0
login local
line aux 0
line vty 0 4
access-class 101 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 102 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
[/more]

Отключаю VPN
Просто удаляю привязку к выходному интерфейсу

Код:
conf t
fa 0/1
non crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1

Vpn Отваливается вторая подсеть начинает работать
вставляю эту строку обратно vpn подымается вторая подсеть отпадает из инета.
Автор: vlary
Дата сообщения: 14.05.2013 13:37
eserden
Цитата:
Поставлена задача организовать некоторому количеству людей доступ в интернет,
А какую роль тут играет easy vpn? Доступ откуда? Изнутри? Тогда при чем здесь вообще VPN?
Делаешь на свитчах отдельный вилан, interface FastEthernet0/0 разбиваешь на субинтерфейсы, на нэйтив вешаешь локалку, на второй сетку 192.168.139.0, в акцесс-листах запрещаешь доступ с 192.168.139.0 на 10.3.14.0, и НАТишь гостевую сеть обычным образом.
Автор: eserden
Дата сообщения: 14.05.2013 14:05
vlary


Цитата:
А какую роль тут играет easy vpn? Доступ откуда? Изнутри? Тогда при чем здесь вообще VPN?
Делаешь на свитчах отдельный вилан, interface FastEthernet0/0   разбиваешь на субинтерфейсы, на нэйтив вешаешь локалку, на второй  сетку   192.168.139.0, в акцесс-листах запрещаешь доступ с  192.168.139.0 на 10.3.14.0, и НАТишь гостевую сеть обычным образом.  


Я бы с радостью сделал так как вы говорите только нет у меня в хозяйстве оборудования поддерживающего 802.1Q только циска и груда тупых свитчей.

А easy vpn remote для конекта с центральным офисом .
Автор: vlary
Дата сообщения: 14.05.2013 16:21
eserden
Цитата:
только нет у меня в хозяйстве оборудования поддерживающего 802.1Q
Ну так самое время, пользуясь хотелкой начальства, внушить ему, что единственный секурный способ ее реализации это покупка соответствующего оборудования.
Ибо поймать снифером пару пакетов в общей сетки и перестроить комп на вашу сеть - дело пары минут.

Автор: eserden
Дата сообщения: 14.05.2013 19:28
vlary


Цитата:
Ну так самое время, пользуясь хотелкой начальства, внушить ему, что единственный секурный способ ее реализации это покупка соответствующего оборудования.
Ибо поймать снифером пару пакетов в общей сетки и перестроить комп на вашу сеть - дело пары минут.


Ведь трафик между подсетями можно запретить на фаерволе (cisco 2811) Запретить трафигу гулять из подсети в подсеть кроме адреса циски
К сожалению (моему) покупка нового оборудования сейчас невозможна.

Если я правильно понимаю других вариантов решения проблеммы нет ?
Автор: tankistua
Дата сообщения: 14.05.2013 20:05
дешевле циски - только бушная циска :)

у меня стоит 11 каталистов 2950, покупал по 60 баксов - сейчас они вообще по 40. Просто вытрусил зверинец из зюкселей планетов и говнолинков, при чем без зазрения совести выбросил зюкселя 3-левела.
Автор: eserden
Дата сообщения: 14.05.2013 20:16
к этому мы прийдем но не сейчас..

Сейчас нужно все решить на том что есть. а придумать нечего не могу. Не могу понять почему интернет на alias перестает ходить при подключении VPN//
Автор: vlary
Дата сообщения: 14.05.2013 22:58
eserden
Цитата:
Ведь трафик между подсетями можно запретить на фаерволе (cisco 2811)
Ага, щаз! Человек, которому вы настроили адрес 192.168.хх, ловит снифером пакет из вашей сетки, перестраивает на 10.3.14.х и лазит по вашей сети.
Поскольку обе сети на одном "проводе". Все это происходит еще до циски.
Автор: eserden
Дата сообщения: 15.05.2013 00:11
Спасибо за поясения.

Может подскажете почкму пропадает интернет на алиасе при включении vpn?
Автор: vlary
Дата сообщения: 15.05.2013 00:36
eserden

Цитата:
Может подскажете почкму пропадает интернет на алиасе при включении vpn?
Ну, навскидку... Поскольку время позднее...
Рискну предположить, что после подключения vpn весь трафик заворачивается туда.
Ваша сеть 10.3.14.0 там известна, и благополучно НАТится наружу. А вот сетку 192.168. они не знают, потому и не НАТят, а дропают пакеты.
Проверить это можно пустив tracert (traceroute) с компа сетки 10.3.14.0 скажем на айпи 8.8.4.4, при включенном и отключенном VPN. Скорее всего, маршруты будут разные.
Автор: petr186
Дата сообщения: 15.05.2013 14:05
Не могу ввойти в Cisco 2821 как узнать логин и пароль? Если сбросить пароль на дефаулт конфиг не повредится?
Автор: tsypkin
Дата сообщения: 15.05.2013 14:12

Цитата:
Не могу ввойти в Cisco 2821 как узнать логин и пароль? Если сбросить пароль на дефаулт конфиг не повредится?


Не повредится
http://www.cisco.com/en/US/products/hw/routers/ps259/products_password_recovery09186a0080094675.shtml

Но надо перезагружать.
Автор: askad
Дата сообщения: 16.05.2013 14:45
Коллеги!
киска - c7200-js-mz.124-13b.bin

Не дает завернуть netflow на два потока. Т.е. банальное

ip flow-export destination 192.168.1.2 9996
ip flow-export destination 192.168.1.4 9997

проходит только первая команда, на вторую выдает
%Exceeded maximum export destinations

Опой чую, что дело в IOS, или может всё-таки нет?
И если дело в IOS, может-быть подскажите какая поддерживает многопоточность netflow трафика?


Разобрался, в киске был прописан еще один какой-то левый destination.
Автор: DrawWar
Дата сообщения: 21.05.2013 19:49
Граждане! Люди! Пожалуйста, помогите найти asr1000rp1-advipservices.03.04.05.S.151-3.S5.bin
или asr1000rp1-advipservices.03.04.*

Я понимаю, что offtop, но может у кого есть, может завалялось...
Автор: vlary
Дата сообщения: 21.05.2013 23:05
DrawWar
Цитата:
Я понимаю, что offtop
Не только оффтоп, но и кросспостинг.
Ты думаешь, здешние люди в варезную ветку не ходят?

Автор: DrawWar
Дата сообщения: 21.05.2013 23:09

Цитата:
DrawWar
Цитата:
Я понимаю, что offtop
 Не только оффтоп, но и кросспостинг.
Ты думаешь, здешние люди в варезную ветку не ходят?

Каюсь. Спасибо, что вы есть все.
Автор: creasot
Дата сообщения: 26.05.2013 00:17
Мой новенький Cisco 866VAE при работе в интернете сам по себе каждые 15-20 минут падает в холодную перезагрузку, оставляя в логах сообщения вроде:

18:11:02 UTC Fri May 24 2013: Interrupt exception, CPU signal 5, PC = 0x808A76E0



--------------------------------------------------------------------
Possible software fault. Upon reccurence, please collect
crashinfo, "show tech" and contact Cisco Technical Support.
--------------------------------------------------------------------



-Traceback= 0x808A0980z 0x808A4E90z 0x8089E2B4z 0x808AD350z 0x8086F000z 0x80A3B7A0z 0x80A1E8F8z
$0 : 00000000 00000000, AT : 00000000 83B90000, v0 : 00000000 00010E00, v1 : 00000000 00000001
a0 : 00000000 83D8127C, a1 : 00000000 00000000, a2 : 00000000 00000000, a3 : 00000000 00000003
t0 : 00000000 00000000, t1 : 00000000 83D8127C, t2 : 00000000 FFFFF0FD, t3 : 00000000 80875CE4
t4 : 00000000 1000F001, t5 : 00000000 00000001, t6 : 00000000 00000000, t7 : 00000000 00000000
s0 : 00000000 83D8127C, s1 : 00000000 00000001, s2 : 00000000 00000000, s3 : 00000000 B0F8B9B8
s4 : 00000000 00000000, s5 : 00000000 83D8127C, s6 : 00000000 00000000, s7 : 00000000 836C0000
t8 : 00000000 83BD0000, t9 : 00000000 80A26618, k0 : 00000000 00000000, k1 : 00000000 00000000
gp : 00000000 83B90C80, sp : 00000000 841A7BD0, s8 : 00000000 0000FFFF, ra : 00000000 808A76B8
EPC : 808A76E0, ErrorEPC : 00000000, SREG : 00000000
MDLO : 00000000, MDHI : 00010E00, BadVaddr : 00000000
TEXT_START : 0x80807724
DATA_START : 0x82D60D60

Cause 00000000 (Code 0x0): Interrupt exception

После перезагрузки рутер работает совершенно нормально, скорость DSL отличная, никаких претензий, пока снова не уходит в спонтанный shutdown. Может, у кого-то такое уже встречалось? Или просто есть мысли по поводу?

Последний софт с сайта Cisco я залил. Версия 15.3(2)T. Не помогло нисколечки.

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

Предыдущая тема: Не могу побороть вирус Nimda


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.