» Настройка Cisco оборудования

Вобщем так....Уважаемые господа форумчане, есть маршрутизатор Cisco 2800 серии.
Стоит задача собирать статистику через NBAR. Я выставил настройки как мне кажется правильно, но по SNMP протоколу Trap-ы относящиеся к NBAR не приходят.....

!
ip cef
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address x.x.x.x 255.255.255.252
ip nbar protocol-discovery
ip route-cache flow
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description $ETH-LAN$
ip address x.x.x.x 255.255.252.0
ip nbar protocol-discovery
ip route-cache flow
duplex auto
speed auto
h323-gateway voip interface
h323-gateway voip h323-id ciscoivanovo
h323-gateway voip bind srcaddr x.x.x.x
!
!
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination 10.100.0.254 9996
!
snmp-server community Public RO
snmp-server enable traps cnpd
snmp-server host 10.100.0.21 Public cnpd
!

При этом - если просто включить все ловушки snmp-server enable traps и выкидывать их командой snmp-server host 10.100.0.21 Public они успешно выгружаются, но опять же, кроме тех кто относится к NBAR !!!
Пожалуйста помогите уже всю голову сломал....Заранее благодарен !!!

Помогите связать по SHDSL Cisco 878 и SOHO 78, канал DSL не поднимается.
В чем ошибаюсь?
CISCO 878:
!
controller DSL 0
mode atm
line-term co
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A
line-rate auto
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
ip address 172.18.1.1 255.255.255.252
pvc 8/35
encapsulation aal5snap
!
-------------------------
SOHO 78:
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex A
dsl linerate AUTO
!
interface ATM0.1 point-to-point
ip address 172.18.1.2 255.255.255.252
pvc 8/35
encapsulation aal5snap
!

shooter_666
если не ошибаюсь, то snmp-server enable traps cnpd включает NBAR protocol discovery traps

Приветствую.
Есть Cisco 2821, на ней настроен и успешно работает Cisco VPN (IPSEC).
Наш ISP дал нам ещё один пул внешних адресов на новом VLAN ID. Решил сделать примитивный load-balancing на WAN. Прописал не хитро у себя два default route на шлюзы провайдера. После этого возникают проблемы, подключается VPN клиент к сети и часть оборудования видит в локале,а часть не видит. Я понимаю что дело в том как и куда уходят пакеты в мир. Крутил ip local policy route-map не помогает. Может у кого-то была схожая проблема, уж очень хочется использовать два канала ISP.

Добрый день!

Прошу помощи у вас по проблеме аккаутинга пользователей за nat

в наличии cisco 2821, и радиус сервер

необходимо сделать, так, что бы пользователи при выходе в интернет авторизовались на cisco по http, а затем их траффик считался и отправлялся на radius.

авторизацию на циско сделал средствами ip auth-proxy, а вот с аккаутингом никак не выходит - на радиус отправляется только исходящий траффик пользователя.

А хочется то по взрослому - запросил внешний адрес - выскочило окно типа - HTTP-Basic auth, ввел логин пароль и все.

Спасите!!! Ничего не понимаю ((

Был у нас старый-старый 2620, работал себе и работал. Прошивка была 12.2(3), размер файла 5449788. Соответственно на флеше всего 8388608 байт.
Решил поставит прошивку c2600-io3-mz.123-26.bin, она уже объемом 8098120. При копировании с TFTP роутер предложил очистить flash... и после этого сказал что не хватает места!!!
Команда dir выдает 7864320 свободных байт при отсутствии файлов... старую прошивку я конечно вернул, но что за фигня-то??? Где у меня ошибка, кроме как в ДНК?

SantaFox
всё верно: там флэш не чисто 8 mb в понимании 8192000 bytes, а именно 7864320 bytes, соответственно и нужно подбирать прошиву. Это вопрос не так давно поднимался в топике про ios.

slut
У меня была такая мысль.... но есть одна тонкость. Пока я не начинал загружать новую прошивку, и пока не было операции очистки флеша - общий объем флеша показывался именно как 8388608 байт!

Пойду читать топик про IOS... но что-то мне кажется тут не так все просто...

Добавлено:
slut
И кстати исходный объем получается 8*1024*1024 = 8388608 байт, как у меня и показывалось ДО flash erase...

Добавлено:
О!!!! НАШЕЛ!!!!

http://www.cisco.com/en/US/ts/fn/620/fn62030.html

Суть - при форматировании надо использовать ключ /no-squeeze-reserve-space, без которого IOS резервирует часть пространства flash: (в моем случае от 8 мегабайт - 512 кб) для возможности восстановления удаленных файлов.

После появления названия ключа все стало понятно. Сначала надо поставить версию 12.2(11)Т, в которой она (вроде бы) впервые была представлена. Это образ спокойно влезает. Потом перегружаться, форматировать с этой опцией, и ставить свежий образ.

Завтра буду тестировать, думаю вопрос закрыт. Можно, наверное, добавить в фак.

Добавлено:
Итак, проверка оказалась успешной. Сначала установил 12.2(15)Т, отформатировал флеш с ключом /no-squeeze-reserve-space, после чего образ c2600-io3-mz.123-26.bin прекрасно встал. Результат:

Directory of flash:/
1 -rw- 8098120 Feb 12 2009 10:06:02 +03:00 c2600-io3-mz.123-26.bin
8388604 bytes total (290420 bytes free)

Коллеги!
Прошу помощи в таком концептуальном вопросе, как выбор IOS для свичей
А именно, как выбирать линейку IOS?
К примеру, у меня в сети есть каталисты 3750, 4510R c SUPV-10G и 6513 c SUP720.
Ориентируясь на Feature Navigator, для 3750 есть линейки IOS 12.2SEE, 12.2SED, 12.2SEC, 12.2SEB, 12.2SEA, 12.2SE, 12.2FZ, 12.2EZ, 12.1EA и 12.1AX.
Для 4510R есть 12.2SGA, 12.2SG, 12.2EWA и 12.2EW.
Для 6513 12.4, 12.2SXI, 12.2SXH, 12.2SXF, 12.2SXE, 12.2SXD, 12.2SXB, 12.2.SXA и 12.2SX.
Какой из них выбирать? И по какому критерию?
Сравнивал их между собой, есть ряд иосов, которые сильно различны, но есть и те, разница в которых незначительна.
Если есть рекомендации исходя из практической работы, буду рад видеть. )

вот решил немного подучить cisco . После изучения матчасти, решил поэксперементировать на симуляторе, а именно на RouterSim's Network Visualizer™ 4.0
Надо настроить VLAN-ы
порты F0/1 Fa0/2 в VLAN2
порты F0/11 Fa0/12 в VLAN3
VTP в режиме - Сервер
далее привожу, что делал
switch#vlan database
Switch(vlan)#vlan 2 name cisco_vlan_2
SwitchL(vlan)#exit
Switch(vlan)#write memory
Switch#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12
2 cisco_vlan_2 active


VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0



Switch#configure terminal

далее делаю

Switch(config)#interface vlan 2
Но настроить VLAN 2 он мне не дает, VLAN1(который по умолчанию) -дает

Switch(config)#interface vlan 2
^
% invalid input detected at '^' marker

что не так сделано ?


P.s. делал по http://www.cisco.com/en/US/tech/tk389/tk689/technologies_configuration_example09186a008009478e.shtml#confthevlancat

Такая проблема. Обновили IOS на Киске и он не встал. Из лога видно, что за киска и какой IOS.

Лог:

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706



Cisco IOS Software, C2960 Software (C2960-LANLITEK9-M), Version 12.2(46)SE, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 21-Aug-08 15:59 by nachen
Image text-base: 0x00003000, data-base: 0x01000000

Initializing flashfs...

flashfs[1]: 364 files, 5 directories
flashfs[1]: 0 orphaned files, 0 orphaned directories
flashfs[1]: Total bytes: 32514048
flashfs[1]: Bytes used: 12363264
flashfs[1]: Bytes available: 20150784
flashfs[1]: flashfs fsck took 1 seconds.
flashfs[1]: Initialization complete....done Initializing flashfs.

Error: *** Unsupported platforms ***
Error: hardware not supported by firmware.
Try loading newer software instead.
System Resetting..
Base ethernet MAC Address: 00:19:2f:94:4d:80
Xmodem file system is available.
The password-recovery mechanism is enabled.
Initializing Flash...
flashfs[0]: 364 files, 5 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 32514048
flashfs[0]: Bytes used: 12363264
flashfs[0]: Bytes available: 20150784
flashfs[0]: flashfs fsck took 10 seconds.
...done Initializing Flash.
Boot Sector Filesystem (bs) installed, fsid: 3
done.
Loading "c2960-lanlitek9-mz.122-46.SE.bin"...c2960-lanlitek9-mz.122-46.SE.bin: no such device

Error loading "c2960-lanlitek9-mz.122-46.SE.bin"

Interrupt within 5 seconds to abort boot process.
Loading "flash:/c2960-lanlitek9-mz.122-46.SE.bin"...@@


Киска уходит в вечный ребут. Мне нужно зайти в rommon. Вопрос как?(;

Насколько я понимаю, это нужно делать в момент вот ентот:
Interrupt within 5 seconds to abort boot process.

Но как не могу понять. Google и поиск по форуму не помог, не нашел

Добавлено:
Проблема решена.

Друзья, наверняка существуют какие-то бюллетени или курсы, на которых описывают все богатство моделей Cisco... хотелось бы решить следующую задачу.

Есть: три локальных сегмента, не связанных друг с другом ни физически, ни логически (AD не дружат и т.д.). Каждый из сегментов выходит в инет (к разным провайдерам) разными способами, в т.ч. два - через обычные ethernet, один - через канал Е1 с помощью старенькой 2620. Gateway-ми во всех случаях софтовые (ISA 2004/2006, WinRoute). У той сети, которая выходит через канал Е1, еще и статический NAT для ряда серверов.
Хочется: некое устройство (максимум - два), которое:
а) обеспечивало бы связь сегментов со своими провайдерами
б) обеспечивало бы линки МЕЖДУ СЕГМЕНТАМИ, причем по определенным правилам (хотя бы на уровне разрешений для определенных хостов)
в) вело бы учет интернет-траффика (можно без авторизации пользователей, просто по адресам хостов)
г) (опционально) предоставляло бы автоматический failover выход в инет при отказе одного из провайдеров, через один-два других.

Я даже не знаю в какую сторону смотреть. ASA? не уверен про несколько сегментов, Е1 и static NAT. Роутеры? тоже не уверен про несколько сегментов...

vovanj7
configure terminal
int ra fa0/1 - 2
sw m acc
switchport access vlan 2

int ra fa0/11 - 12
sw m acc
switchport access vlan 3


Интерфейс влан на свичах используется обычно только с целью управления, т.е. активным может быть только один интерфейс (т.е. если вы поднимаете int vla 1 (даёте no shutdown), то автоматически влан2 опускается в даун).

ЗЫ: не посмотрел, что это для старых свичей. Вам именно для старых надо?

у меня catalyst 2950
IOS 12.1

Дык, я делаю Vlan 1 shutdown


switch(config-if)#shutdown
1w1d: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
1w1d: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down

Просто возник вопрос , может ли эмулятор RouterSim's Network Visualizer™ 4.0 нормально работать с VLAN-ми ? или это я чего-то не так сделал ? я лично не пойму....

Для управления Циской захожу на нее через веб-интерфейс по https, заходит без проблем, пытаюсь перейти на Cisco SDM - заходит туда через раз.. точнее даже на 1 удачную сессию 3-4 неудачных. В чем может быть проблема? (сама программа SDM стоит на моем ПК, во флэш Циски залить не могу, не хватает памяти)

Добавлено:
при попытке открыть SDM открываются последовательно несколько окон, доходит до SDM Application Locator, жму Continue и ничего не происходит (точнее в большинстве случаев не происходит)

проблема решилась. Просто понизил уровень безопасности для всех узлов в браузере - теперь SDM открывается с 1го раза

Цитата:

проблема решилась. Просто понизил уровень безопасности для всех узлов в браузере - теперь SDM открывается с 1го раза

рано обрадовался Просто несколько раз подряд удачно так получилось, что зашел. Сейчас вот опять не подключается к SDM, пробовал другим браузером - безрезультатно

Здрасте всем!
Помогите советом!
Хочу взять роутер Cisco 871W для дома . Интересует нет ли проблем в работе безпроводки, и как он будет себя чувствовать при нагрузке 100Мбит (НАТ)?

Desmont

Вопрос на вопрос. Вы хоть когда нибудь настраивали роутеры Cisco?

Настраивал
Нашел вот что http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf
не совсем догоняю разъяснения, по этому и спрашиваю
там пишет 12,80 Mbps , это что значит?

Дык там и написано что даже в режиме Fast Switching больше чем 12,8 Mbps через него не пропустишь. А дома вряд ли больше понадобится.

Объясните плиз что такое режим Fast Switching (на сайте сисько нашел :
It provides configuration guidelines for switching paths and tuning guidelines) , не могу перевести . Обязательно ли мне этот режим включать или и без него нормально? Если у меня канал 100 Мбит, то роутер не пропустит столько?

Desmont
100 не пропустит. Не того класса этот роутер. Тем более вы наверняка захотите SPI включить, а может и IPS. В отличие от форвардинга эти фичи отрабатываются процессором. NAT тоже ресурсоемкий. В общем пару десятков мегабит наверное выжмет. Над Fast Switching голову зря не ломайте, не нужно оно вам.
А зачем вам такая производительность дома? Ее ни 881W ни 1811 не дадут.
Может быть тогда посмотреть в сторону ASA 5505? Вряд ли вам понадобятся роутинговые фичи IOS. Точку доступа правда придется брать отдельно. Но ASA точно сотку на NAT-е вытянет, да и сетку вашу прикроет.

vindium
Спасибо
Я так понял ASA 5505 - это чисто Фаервол, как роутер я ее не могу использовать?

Desmont
Напишите тогда, чего конкретно вы от железки хотите? Роутером в определенной степени ASA работать может, равно как и полисером и сервером VPN. Статические маршруты, а так же OSPF и EIGRP понимает. Но я не думаю, что все это может понадобиться дома. Мне бы точно не понадобилось. Так что если вам дома нужны какие-то штуки типа PBR, NetFlow или secondary ip - огласите сразу, пожалуйста.

Трэкинг на основе IP SLA поддерживает, так что можно настроить основоного/резервного провайдера. А вот PPTP клиента, кстати, Cisco сейчас не поддерживает нигде, имейте ввиду. PPPoE -пожалуйста.

Только учтите что в базовой лицензии ASA 5505 разрешены 3 интерфейса, 10000 одновременных соединений и 10 внутренних хостов.

Доброго времени суток
Интересует такой вопрос:
Есть маршрутизатор его конфиг

Код:
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging console
enable secret 5 $1$BIAk$C.OGawMBkNpHxTRP2OvFd.
!
no aaa new-model
ip subnet-zero
no ip cef
!
!
no ip domain lookup
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
description connected to EthernetLAN
ip address 10.78.1.1 255.255.255.0
speed auto
half-duplex
!
interface FastEthernet0/1
description connected to EthernetLAN_1
ip address 10.78.0.191 255.255.255.0
duplex auto
speed auto
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip http server
no ip http secure-server
ip classless
!
!
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
line con 0
exec-timeout 0 0
password lalala
login
line aux 0
line vty 0 4
password lalala
login
!
!
!
end

DiZka
1. На всех хостах сети 10.78.0.х - шлюз 10.78.0.191
2. На всех хостах сети 10.78.1.х - шлюз 10.78.1.1
3. Введите на маршрутизаторе соканду ip routing, после этого посмотрите таблицу маршрутизации sh ip route
4. Пробуйте пинговать хочты одной сети из другой и наоборот, всё должно поехать

я что то не понимаю как маршрутизатору сказать что инет раздает 10.78.0.1
маршрутизатор кидает все между сетками это нормально работает компы из 10.78.0.х и 10.78.1.x видят друг друга

Конфиг вот такой сейчас


Код: ! ******************************************************************
! Router.cfg - Cisco router configuration file
! Automatically created by Cisco ConfigMaker v2.6 Build 6
! 25 февраля 2009 г., 10:26:48
!
! Hostname: Router
! Model: 2621
! ******************************************************************
!
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
no service tcp-small-servers
no service udp-small-servers
!
hostname Router
!
enable secret 5 $1$BIAk$C.OGawMBkNpHxTRP2OvFd.
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface FastEthernet 0/0
no shutdown
description connected to EthernetLAN
ip address 10.78.1.1 255.255.255.0
keepalive 10
!
interface FastEthernet 0/1
no shutdown
description connected to EthernetLAN_1
ip address 10.78.0.191 255.255.255.0
keepalive 10
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
!
ip classless
!
! IP Static Routes
ip route 10.78.0.0 255.255.255.0 FastEthernet 0/0 permanent
ip route 10.78.1.0 255.255.255.0 FastEthernet 0/1 permanent
ip http server
snmp-server community public RO
no snmp-server location
no snmp-server contact
!
line console 0
exec-timeout 0 0
password 0i02009
login
!
line vty 0 4
password 0i02009
login
!
! The following commands are not recognized by Cisco ConfigMaker
! and are therefore appended here.
!
service timestamps debug datetime msec
service timestamps log datetime msec
boot-start-marker
boot-end-marker
no aaa new-model
no ip cef
no ip domain lookup
ip audit po max-events 100
!
interface FastEthernet 0/0
speed auto
half-duplex
!
interface FastEthernet 0/1
duplex auto
speed auto
no ip http secure-server
snmp-server enable traps tty
!
end

Цитата:

я что то не понимаю как маршрутизатору сказать что инет раздает 10.78.0.1

ip route 0.0.0.0 0.0.0.0 10.78.0.1



Код: ip route 10.78.0.0 255.255.255.0 FastEthernet 0/0 permanent
ip route 10.78.1.0 255.255.255.0 FastEthernet 0/1 permanent

DiZka

Цитата:

я что то не понимаю как маршрутизатору сказать что инет раздает 10.78.0.1

Дык, это не есть задача маршрутизатора, он просто обеспечивает "доступность" разных сетей, а вопрос сервисов, которые идут на верхних уровнях IP - совсем другое дело. Как я понимаю, у вас на ISA - прокси, так и раздавайте пользователям адрес прокси вручную или через AD. Или что вы хотите получить?