» Настройка Cisco оборудования

cRYSMAS
Цитата:

еще хотел уточнить маршрутизация выполняется только по ассес - листам?

Маршрутизация выполняется по таблице маршрутизации.
По акцесс-листам выполняется PBR (Policy Based Routing).
Кроме того, есть еще протоколы динамической маршрутизации ( EIGRP, OSPF, ... ).
Цитата:

у меня пропал айпи адрес с NVIO, ip -addres - unassigned - как мне его туда просать или это не смертельно?

Он может быть не только без айпи, но даже в шатдауне.
NVI - это NAT Virtual Interface. Если интересно, можешь про него почитать.
https://supportforums.cisco.com/sites/default/files/legacy/0/8/0/60080-NAT%20Virtual%20Interface.pdf

Цитата:

Гм, о-о-о, это очень большая тема, самое простое - статика:

я так и сделал, подскажите как посмотреть к какому интр. привязан vlan?кроме sh run другой командой можно, более сокращенно?


Цитата:

Маршрутизация выполняется по таблице маршрутизации.
По акцесс-листам выполняется PBR (Policy Based Routing).
Кроме того, есть еще протоколы динамической маршрутизации ( EIGRP, OSPF, ... ).

а пример небольшой? если правильно понимаю то что то на подобии access-list ов, но я понимаю что две разные вещи но в принципе суть в том же кому то разрешить туда ходить комуто нет, а комуто ходить через хрен знает кого и только туда =)

примерчик.. .маленький =) если не сложно

cRYSMAS
Цитата:

подскажите как посмотреть к какому интр. привязан vlan?кроме sh run другой командой можно, более сокращенно?

sh vlan-switch
Цитата:

если правильно понимаю

Ты еще многого не понимаешь. И похоже, навсегда забанен в Гугле.
Маршрутизация в Cisco
Policy-based Routing (PBR), как основное назначение
Еще раз повторяю: этот раздел не для ликбеза. Ликбезом каждый занимается сам.

Доброе время суток.
помогите плиз разобраться.
Имеется Cisco 871. Очень часто вырубали свет и конфа реснулась. Стоял пароль и копии конфы не было. На флеше кроме иоса ничего небыло.

Итак через неё по ВПН-у подключались юзеры к серваку 2003.
Явки, пароли для доступа прописываются на этом серваке. Сервак имеет выход на Киску через локальный адрес 192,168,1,250 Я понятия не имею, что там должно в киске быть.
Порывшись в инете нашёл это
Ссылка

Я в правильном направлении веду поиски?

Если есть какая то инфа боллее развёрнутая, то ткните плиз, Спасибо.

Infinity33
Цитата:

На флеше кроме иоса ничего небыло.

Конфиг не хранится на флеше, он хранится в nvram.
Цитата:

Я понятия не имею, что там должно в киске быть

Там как минимум должны быть настроены адреса интерфейсов,
подключение к провайдеру, NAT и проброс нужных для VPN портов на 2003 сервер.

vlary

Цитата:

Конфиг не хранится на флеше, он хранится в nvram.

Я знаю, но многие пишут боевой конфиг на флешку или предидущий, если некуда скинуть.

Цитата:

Там как минимум должны быть настроены адреса интерфейсов,
подключение к провайдеру, NAT и проброс нужных для VPN портов на 2003 сервер.

Ну это мне понятно. Адреса интерфейсов я настрою.
http://www.cisco.com/c/en/us/support/docs/ip/point-to-point-tunneling-protocol-pptp/29781-pptp-ios.html#windows
Отсюда я могу что то взять?
SDM поможет настроить ?

Цитата:

Я знаю, но многие пишут боевой конфиг на флешку

Многие сохраняют его на рабочий комп по тфтп.
Цитата:

Отсюда я могу что то взять?

А при чем здесь это? Как я понял, pptp сервер у вас на винде, а не на циске.
Цитата:

SDM поможет настроить ?

Не знаю, я им не пользуюсь.

подскажите, как быстро зашейпить порты в ме3600 ?
перекопал много сайтов, быстрого решения не нашёл.
через полиси мап? кто делал?

з.ы.

Цитата:

Cisco IOS Software, ME360x Software (ME360x-UNIVERSALK9-M), Version 15.3(3)S, RELEASE SOFTWARE (fc1)

Помогите пожалуйста, первый раз настраиваю циску 871, но не как не могу добиться доступа в инет, не пингуется шлюз (для теста подключил к обычному роутеру) 192.168.5.1 для выхода в инет, что еще нужно добавить или исправить для решения проблемы? Спасибо

cisco#sh running-config
Building configuration...

Current configuration : 2016 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
!
!
dot11 syslog
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.6.1 192.168.6.99
!
ip dhcp pool LAN
network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
dns-server 192.168.6.1
!
!
no ip bootp server
ip domain name qserv
ip name-server 192.168.5.1
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
!
multilink bundle-name authenticated
!
!
username cisco privilege 15 secret 5 $1$IRTt$3.mqQtRrURaDQWApzUcoF.
!
!
archive
log config
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 192.168.5.83 255.255.255.0
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
ip address 192.168.6.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.5.1
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended FIREWALL
ip access-list extended NAT
permit ip host 192.168.6.0 any
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
end

FedorPolkan
Цитата:

что еще нужно добавить или исправить для решения проблемы?

Ты создал Vlan1, но повесил ее в воздухе, не назначив ни на какой физический интерфейс.
Нужно что-то типа на интерфейсе, куда ты втыкаешь локальный провод:
interface FastEthernet0
switchport access vlan 1

Цитата:

alespopov

Цитата:

vlary

Добрый, Спасибо ВАМ Большущее, поднял протокол EIGRP, кон. пол. -> 2921 -> 3560 и обратно все видится. Может криво может с ошибками, но то потом самое главное задачу которая стояла выполнил почти.
Вопрос на 2921 есть фаервол кто то настраивал его? и шифрование?
Еще момент в качестве tftp сервера может выступать любой комп или только циска?

cRYSMAS
Файрвол IMHO имеет смысл при наличии DMZ. Обычно акцес-листы вешают на вход
interface FastEthernet4
description Internet$ETH-WAN$
ip access-group 160 in
...
end
[more]
Что-то типа этого например:

Код:
access-list 160 remark STANDART-WAN-SECURITY
access-list 160 remark SDM_ACL Category=1
access-list 160 deny 53 any any
access-list 160 deny 55 any any
access-list 160 deny 77 any any
access-list 160 deny pim any any
access-list 160 deny ip 0.0.0.0 0.255.255.255 any
access-list 160 deny ip 10.0.0.0 0.255.255.255 any
access-list 160 deny ip 127.0.0.0 0.255.255.255 any
access-list 160 deny ip 169.254.0.0 0.0.255.255 any
access-list 160 deny ip 172.16.0.0 0.15.255.255 any
access-list 160 deny ip 192.168.0.0 0.0.255.255 any
access-list 160 deny ip 224.0.0.0 15.255.255.255 any
access-list 160 deny ip host 255.255.255.255 any
access-list 160 deny ip host 0.0.0.0 any
access-list 160 remark Need for IP SLA
access-list 160 permit icmp host 46.xxx.xxx.254 any echo-reply
access-list 160 remark Allow Office and Other
access-list 160 permit icmp host 78.xxx.xxx.10 any
access-list 160 permit icmp host 46.xxx.xxx.20 any
access-list 160 remark Allow good ICMP
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 net-unreachable
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 host-unreachable
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 port-unreachable
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 parameter-problem
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 packet-too-big
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 administratively-prohibited
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 source-quench
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 ttl-exceeded
access-list 160 permit icmp any 46.xxx.xxx.0 0.0.0.255 echo-reply
access-list 160 deny icmp any any
access-list 160 deny ip 46.xxx.xxx.0 0.0.0.255 any log-input
access-list 160 deny ip host 46.xxx.xxx.149 any log-input
access-list 160 permit tcp any any established
access-list 160 permit ip any any

cRYSMAS
Цитата:

Вопрос на 2921 есть фаервол кто то настраивал его? и шифрование?

Фаервол есть в любой циске, как обычный пакетный фильтр, так и Context-Based Access Control (CBAC)
Цитата:

Еще момент в качестве tftp сервера может выступать любой комп или только циска?

Лучше, если это будет не циска. И не старая Unix/Linux версия, которая передает файлы 32 МБ максимум.
Вот неплохая версия сервера для винды: Tftpd32

Спасибо vlary

Цитата:

"Шифрование" - слишком размыто; правильно заданный вопрос = половине выполненной задачи

имеется в виду шифрование трафика, который будет бегать с 881->2921->3560 и обратно
DMZ будет
и Вам спасибо=)

Цитата:

Лучше, если это будет не циска. И не старая Unix/Linux версия, которая передает файлы 32 МБ максимум.
Вот неплохая версия сервера для винды: Tftpd32

Спасибо=)
зы. буду дальше сексом заниматься =)

cRYSMAS

Цитата:

имеется в виду шифрование трафика, который будет бегать с 881->2921

Это понятно, технологий разных много просто. Самый простой:
1) Настраиваем GRE туннель http://www.opennet.ru/base/cisco/gre_cisco_tun.txt.html
2) Настраиваем IPSEC который и будет эти данные шифровать. Лицензии должны его поддерживать само-собой http://xgu.ru/wiki/IPsec_%D0%B2_Cisco
PS Собственно все это верхние 1 по 3 ссылки в гугле. Учитесь пользоваться, задавая правильные вопросы ему

Цитата:

Это понятно, технологий разных много просто. Самый простой:
1) Настраиваем GRE туннель http://www.opennet.ru/base/cisco/gre_cisco_tun.txt.html
2) Настраиваем IPSEC который и будет эти данные шифровать. Лицензии должны его поддерживать само-собой http://xgu.ru/wiki/IPsec_%D0%B2_Cisco
PS Собственно все это верхние 1 по 3 ссылки в гугле. Учитесь пользоваться, задавая правильные вопросы ему

а при этом всем шифровании сильно грузить сеть будет, при количестве около 500-700 пользователей?
поясню: 7 шт (881) - 7 как бы офисов в среднем суммарно около 500 тел. все они будут ходить через 2921 к 3560. а основ. офис который будет ходить сразу к 3560, численность основого около 250-300 тел.
А зачем тогда я заморачивался с маршрутизацией и EIGRP протоколом... а можно сделать без GRE но с шифрованием?
Во общем самый большой вопрос это по поводу нагрузки сети этим шифрованием, если 2921 то справиться, а вот 881 слабенькая совсем=(
зы. я поэкспериментировал кинул с лока. машины пинг на 881, а на 881 включил debug инт на который шел пинг, жутко тормозила 881, и пинги на машине выросли от 300-до 800 а были 1-4 мс

cRYSMAS
Цитата:

а при этом всем шифровании сильно грузить сеть будет

Как всегда, читаем первоисточники
http://www.cisco.com/c/en/us/td/docs/ios/12_2/12_2z/12_2zj/feature/guide/gtaimvpn.html
У некоторых цисок имеется такая штука, как Hardware Encryption Module, у некоторых - нет.
При наличии такого модуля с обеих сторон влияние на производительность минимальное, но конечно из-за дополнительных заголовков трафик несколько увеличивается.
Насколько конкретно, зависит от характера трафика.
Лично у меня долгое время между центром и филиалами стояли простые GRE туннели без шифрования.
Недавно перевел все на DMVPN с шифрованием. Особой разницы ни я, ни юзеры не заметили.
По крайней мере, пинги заметно не увеличились.

Цитата:

поясню: 7 шт (881) - 7 как бы офисов в среднем суммарно около 500 тел

IMHO могут быть и слабоваты для такого количества, но в любом случае зависит от задач, и какую нагрузку они будут создавать. Одно дело только RDP или Citrix, на мегабитном канале, и совсем другое когда активный обмен файлами по _нифигасеберазмерчик_ на 10-ке.
Запускаем один филиал и смотрим нагрузку по процу за сутки:
881filial#sh processes cpu history
Рекомендуется не более 70-80% average, если я не путаюсь в показаниях
Ну и да, DMVPN Вам лучше разворачивать, но там все одно GRE туннели, если необходима связность сетей.

Цитата:

IMHO могут быть и слабоваты для такого количества, но в любом случае зависит от задач, и какую нагрузку они будут создавать. Одно дело только RDP или Citrix, на мегабитном канале, и совсем другое когда активный обмен файлами по _нифигасеберазмерчик_ на 10-ке.
Запускаем один филиал и смотрим нагрузку по процу за сутки:
881filial#sh processes cpu history
Рекомендуется не более 70-80% average, если я не путаюсь в показаниях
Ну и да, DMVPN Вам лучше разворачивать, но там все одно GRE туннели, если необходима связность сетей.

Да это конечно классно, спасибо за инфу=)
Вопрос: а с помощью eigrp можно прописать что б любой филиал из 7 "не видел" другой любой филиал, а только центр? или мне с помощью CBAC.
Хотя как я понимаю EIGRP должен это делать, все таки протокол маршрутизации...

Цитата:

Вопрос: а с помощью eigrp можно прописать что б любой филиал из 7 "не видел" другой любой филиал, а только центр?

А это как ты DMVPN построишь. Phase 2 или 3 - смогут между собой напрямую общаться spoke-to-spoke,
Phase 1 - только через HUB.
Вот тебе статейка с картинками в тему: http://brbccie.blogspot.ru/2014/05/dmvpn.html

Ну и докучи: http://cisco-lab.by/study/articles/1314-ospf-eigrp-distribute-lists.html
"не видел" - в контексте cisco можно по разному понимать.

Парни...не CCNA, но с обычными конфами работаю без особых сложностей...

В данный момент понадобилось немного усложнить роутинг... Что есть и что нужно...

[more=Читать дальше..]
Есть 2901 с допмодулем на 4 порта, старый (по земле) и новый (радио) каналы Инета и несколько вланов (привязаны к разным портам допмодуля) во внутренней сетке: один для компов, один для voIP и один для выделенного сервака (ходють туда извне все кому не лень...))).

Кабель старого (шибко много денег жрал) канала был вынут (в начале декабря), вместо него шнурок нового (анлим за вменяемые деньги, с лучшей шириной) в тот же порт с перенастройкой. Все пользователи в щасте - мне "плюшки"...

После праздников с телефонией начались проблемы и было принято решение VoIP вернуть в старый канал (по "земле" оно как-то надёжнее и денег немного жрёт) и тут я "встал"...гугление и "курение мануалов" привело к некоторым результатам и были внесены правки в конфу...после этого, "тормоз просто сожрал меня"...не идут пакеты от подсетки телефонии в старый канал, даже пинги не идут через него, при этом пров говорит, что какой-то трафик ходит.

Т.е. нужно чтобы Vlan 7 и Vlan 10 ходили через g0/0, а Vlan 9 через g0/1

Я даже все ACL упростил(фактически разрешив всё) на период настройки, чтобы ничего не резалось...но не помогает...

Просьба к гуру и всем знающим посмотреть где у меня в конфе косяк...

Current configuration : 6088 bytes
!
! Last configuration change at 09:47:38 PCTime Fri Jan 16 2015 by хххххххх
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname al-rt
!
boot-start-marker
boot system flash c2900-universalk9-mz.SPA.155-1.T.bin
boot-end-marker
!
!
logging buffered 3200000
enable secret 5 xxxxxxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone PCTime 3 0
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
ip dhcp excluded-address 192.168.7.201 192.168.7.254
ip dhcp excluded-address 192.168.9.1 192.168.9.49
ip dhcp excluded-address 192.168.9.201 192.168.9.254
ip dhcp excluded-address 192.168.7.1 192.168.7.99
!
ip dhcp pool Data
import all
network 192.168.7.0 255.255.255.0
default-router 192.168.7.254
dns-server 192.168.7.254 80.76.224.2
lease 7
!
ip dhcp pool VoIP
import all
network 192.168.9.0 255.255.255.0
default-router 192.168.9.254
dns-server 192.168.9.254 83.242.140.10
lease infinite
!
!
!
ip domain name xxxxxxxx.ru
ip name-server 8x.7x.2xx.x
ip name-server 8x.7x.2xx.1x
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
cts logging verbose
!
crypto pki trustpoint xxxxxxxxxxxxxxxxxxxx
!
!
crypto pki xxxxxxxxxxxxxxxxxxxxxxxxxxxx
    quit
license udi pid CISCO2901/K9 sn xxxxxxxxxxxxxx
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package datak9
!
!
username xxxxxxxxxxx privilege 15 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description radioWAN
ip address 8x.7x.2xx.2xx 255.255.255.252
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ethWAN
ip address 2xx.2xx.7x.1xx 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1/0
description VoIP
switchport access vlan 9
no ip address
!
interface GigabitEthernet0/1/1
description alportal
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/1/2
description Int_WiFi
switchport access vlan 7
no ip address
!
interface GigabitEthernet0/1/3
description al-fs2
switchport access vlan 7
no ip address
!
interface Vlan1
no ip address
shutdown
!
interface Vlan7
ip address 192.168.7.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan9
description VoIP
ip address 192.168.9.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan10
description alportal
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip flow-top-talkers
top 20
sort-by bytes
cache-timeout 360000
!
no ip nat service sip udp port 5060
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.7.5 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source static tcp 10.10.10.10 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source static tcp 10.10.10.10 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source static tcp 192.168.7.119 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source list ethNAT interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 8x.7x.2xx.2xx
ip route 192.168.9.0 255.255.255.0 GigabitEthernet0/1 2xx.2xx.7x.1xx 10
!
ip access-list standard NAT
permit 192.168.7.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 10.10.10.0 0.0.0.255
ip access-list standard ethNAT
permit 192.168.9.0 0.0.0.255
deny any
!
ip access-list extended NAT_ethWAN
!
logging trap debugging
logging host 192.168.7.5
!
end
[/more]

Цитата:

Просьба к гуру и всем знающим посмотреть где у меня в конфе косяк...

Я у тебя в конфиге не увидел никаких route-map
А без них работа на два провайдера невозможна. Гугли Policy Based Routing

Цитата:

Я у тебя в конфиге не увидел никаких route-map
А без них работа на два провайдера невозможна. Гугли Policy Based Routing

Гуглил...и даже написал конфу по найденым статьям с sla, route-map и т.д., но что-то в ней перемудрил, ибо отвалилось ВООБЩЕ всё!

Не настаиваю, но всё же если не сложно...можете накидать пару строчек кода с route-map, что добавить?!...

Добавлено:

Цитата:

Цитата:
Просьба к гуру и всем знающим посмотреть где у меня в конфе косяк...
Я у тебя в конфиге не увидел никаких route-map
А без них работа на два провайдера невозможна. Гугли Policy Based Routing

vlary

Вот что у меня получилось по результатам гугления использования route-map

[more=Читать дальше..]

Last configuration change at 00:14:27 PCTime Fri Jan 16 2015 by xxxxxxx
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname al-rt
!
boot-start-marker
boot system flash c2900-universalk9-mz.SPA.155-1.T.bin
boot-end-marker
!
!
logging buffered 3200000
enable secret 5 xxxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxx
!
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone PCTime 3 0
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
ip dhcp excluded-address 192.168.7.201 192.168.7.254
ip dhcp excluded-address 192.168.9.1 192.168.9.49
ip dhcp excluded-address 192.168.9.201 192.168.9.254
ip dhcp excluded-address 192.168.7.1 192.168.7.99
!
ip dhcp pool Data
import all
network 192.168.7.0 255.255.255.0
default-router 192.168.7.254
dns-server 192.168.7.254 80.76.224.2
lease 7
!
ip dhcp pool VoIP
import all
network 192.168.9.0 255.255.255.0
default-router 192.168.9.254
dns-server 192.168.9.254 83.242.139.10
lease infinite
!
!
!
ip domain name xxxxxxxxxxx.ru
ip name-server 80.76.224.2
ip name-server 80.76.224.18
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
cts logging verbose
!
crypto pki trustpoint xxxxxxxxxxxxxxx
!
!
crypto pki certificate chain xxxxxxxxxxxxxxxxx
    quit
license udi pid CISCO2901/K9 sn xxxxxxxxxxxxx
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package datak9
!
username xxxxxxxxxx privilege 15 xxxxxxxxxxxxxxx
!
redundancy
!
track 123 ip sla 1 reachability
!
track 124 ip sla 2 reachability
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description RAD-WAN
ip address 80x.7x.2xx.2x2 255.255.255.252
ip access-group 111 in
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description $ETH-WAN$
ip address 2xx.2xx.7x.1xx 255.255.255.252
ip access-group 121 in
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1/0
description VoIP
switchport access vlan 9
no ip address
!
interface GigabitEthernet0/1/1
description alportal
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/1/2
description Int_WiFi
switchport access vlan 7
no ip address
!
interface GigabitEthernet0/1/3
description al-fs2
switchport access vlan 7
no ip address
!
interface Vlan1
no ip address
shutdown
!
interface Vlan7
ip address 192.168.7.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan9
description VoIP
ip address 192.168.9.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan10
description alportal
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip flow-top-talkers
top 20
sort-by bytes
cache-timeout 360000
!
no ip nat service sip udp port 5060
ip nat pool ETH-WAN-ACL 192.168.9.1 192.168.9.254 netmask 255.255.255.0
ip nat pool RAD-WAN-ACL 192.168.7.1 192.168.7.254 netmask 255.255.255.0
ip nat inside source static tcp 192.168.7.5 xxxx interface GigabitEthernet0/0 xxx
ip nat inside source static tcp 10.10.10.10 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source static tcp 10.10.10.10 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source static tcp 192.168.7.119 xxxx interface GigabitEthernet0/0 xxxx
ip nat inside source route-map ETH-WAN interface GigabitEthernet0/1 overload
ip nat inside source route-map RAD-WAN interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 8x.7x.2xx.2x1
ip route 192.168.9.0 255.255.255.0 2xx.2xx.7x.1x1
!
ip sla 1
icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0
request-data-size 32
frequency 5
history hours-of-statistics-kept 24
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1
request-data-size 32
frequency 5
history hours-of-statistics-kept 24
ip sla schedule 2 life forever start-time now
logging host 192.168.7.5
!
route-map tracking permit 10
set ip next-hop verify-availability 8x.7x.2x.2x1 10 track 123
set ip next-hop 8x.7x.2xx.2x1
!
route-map tracking permit 20
set ip next-hop verify-availability 2xx.2xx.7x.1x1 20 track 124
set ip next-hop 2xx.2xx.7x.1x1
!
route-map RAD-WAN permit 10
match ip address RAD-WAN-ACL
match interface GigabitEthernet0/0
set ip next-hop 8x.7x.2xx.2x1
!
route-map ETH-WAN permit 10
match ip address ETH-WAN-ACL
match interface GigabitEthernet0/1
set ip next-hop 2xx.2xx.7x.1x1
!
access-list 111 permit ip any 192.168.7.0 0.0.0.255 log
access-list 121 remark inside_ETH-WAN
access-list 121 permit ip any 192.168.9.0 0.0.0.255
!
control-plane
!...........
end
[/more]

homebizz Ну приблизительно где-то так:

Код: ip nat inside source route-map isp1 interface GigabitEthernet0/0 overload
ip nat inside source route-map isp2 interface GigabitEthernet0/1 overload
access-list 1 permit 8x.7x.2xx.2xx
access-list 2 permit 2xx.2xx.7x.1xx
access-list 110 permit ip 192.168.9.0 0.0.0.255 any
access-list 111 permit ip 192.168.7.0 0.0.0.255 any
access-list 111 permit ip 10.10.10.0 0.0.0.255 any

ip route 0.0.0.0 0.0.0.0 8x.7x.2xx.2xу
ip route 0.0.0.0 0.0.0.0 2xx.2xx.7x.1xу

route-map local-policy permit 10
match ip address 1
set ip default next-hop 8x.7x.2xx.2xу

route-map local-policy permit 20
match ip address 2
set ip default next-hop 2xx.2xx.7x.1xу

route-map isp1 permit 10
match ip address 110
match interface GigabitEthernet0/0
!
route-map isp2 permit 20
match ip address 111
match interface GigabitEthernet0/1

vlary


Цитата:

route-map isp1 permit 10
match ip address 110
match interface GigabitEthernet0/0
!
route-map isp2 permit 20
match ip address 111
match interface GigabitEthernet0/1

Это точно? access-list'ы 110 и 111 не наоборот? Я заменил свои настройки НАТа и роут-мапы и вообще ВСЁ отвалилось...

homebizz
Цитата:

Это точно? access-list'ы 110 и 111 не наоборот?

Не суть важно. Мне было лень разбираться,
какая сеть через какого провайдера пойдет. Если поменять эти акцесс-листы,
то клиентские сети просто поменяются провайдерами.
Цитата:

и вообще ВСЁ отвалилось...

Что - все? Инет на циске есть? Покажи результаты команд
trace 8.8.8.8 source 8x.7x.2xx.2xx
trace 8.8.8.8 source 2xx.2xx.7x.1xx

Всем привет, ребят подскажите:
есть 2 ранга сети 192.168.1.0/21 и 2 10,2,1,0/24
Сеть 10,2,1,0/24 имеет несколько подсетей 10,2,1-10,2,110,0(но другие подсети покамись не используюуться)
Сеть 10,2,1,0 настроена и ходит : ПК-881-2921-3560-Сервер и обратно
Появился 2 ранг сети 192,168,1,0. Сервер 3 -сетевых одна смотрит в 10,2,1,0 другая 192,168,1,0, я с помощью влана назвал символично 192 прописал в 3560 и в 2921, пинг появился из сети 10.2.1.0 в 192,168,1,0 но с 881 и с ПК пинг не идет, а обратно из сети 192,168,1,0 с пк пингуеться ПК в сети 10,2,1,0
Где может быть косяк мой что мне Вам предоставить для лучшего понимания?


Добавлено:
или еще проще как с одного ранга сети через 3560 видет ьдругой ранг сети ?

cRYSMAS
Может типа что-то вроде этого?:

Код:
!
vlan 10-11
!
interface Vlan10
ip address 192.168.1.1 255.255.255.0
!
interface Vlan11
ip address 192.168.2.1 255.255.255.192
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254 name RouteToRouter