» Настройка Cisco оборудования

Для любителей потренироваться "на кошках" выложил в смежной теме
образ VIOS-ADVENTERPRISEK9-M Version 15.5(2)T для запуска виртуальной циски
на VmWare Workstation или Player. В виде готового виртуального диска (.vmdk)
Проверил на VmWare Player 6.0.3. Работает!

Что не поддерживает? А то Olive не поддерживает кучу протоколов и даже gr интерфейс.

Добрый день уважаемый гуру

Есть cisco 2921

Есть 2 провайдера
Пров 1 - 10.10.0.2
Пров 2 - 10.11.0.2

Есть DNS сервер в DMZ
192.168.251.53

Нужно чтобы работал статик нат на сервер в DMZ с внешних интерфейсов одновременно.

ip vrf PRO2
rd 1:1
route-target export 1:1
route-target import 1:1

interface GigabitEthernet0/1
bandwidth 1000000
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.251
description -= DMZ Network =-
encapsulation dot1Q 251
ip address 192.168.251.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.700
description -= VLAN PRO1 internet Direct IP =-
bandwidth 32000
encapsulation dot1Q 700
ip address 10.10.0.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/1.937
description -= VLAN PRO2 Internet Direct IP =-
encapsulation dot1Q 937
ip vrf forwarding PRO2
ip address 10.11.0.2 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
no cdp enable
!
ip nat inside source list 100 interface GigabitEthernet0/1.700 overload
ip nat inside source static tcp 192.168.251.53 53 10.11.0.2 53 vrf PRO2 extendable
ip nat inside source static udp 192.168.251.53 53 10.11.0.2 53 vrf PRO2 extendable
ip nat inside source static tcp 192.168.251.53 53 10.10.0.2 53 extendable
ip nat inside source static udp 192.168.251.53 53 10.10.0.2 53 extendable
!
ip route 0.0.0.0 0.0.0.0 10.10.0.1
ip route vrf PRO2 0.0.0.0 0.0.0.0 10.11.0.1
ip route vrf PRO2 192.168.251.53 255.255.255.255 GigabitEthernet0/1.251 192.168.251.53 global
!
access-list 100 permit ip 192.168.251.0 0.0.0.255 any

через Провайдера 1 Все хорошо из вне делаем запрос nslookup domain.ru 10.10.0.2 ответ получен.
Через провайдера 2 делаем запрос из вне nslookup domain.ru 10.11.0.2
До сервера в DMZ запросы доходят смотрел через tcpdump. Но вот обратно пакеты не доходят до запрашиваемой стороны. и соответственно ответ на запрос не получен.

Почему? дело в маршрутах я так полагаю.
Если с сервера в DMZ traceroute до IP первого прова то все Ок.
А вот если сделать traceroute до IP второго прова, то он тоже проходит, но делая круг через внешний интерфейс первого провайдера. Как бы приходит на IP Прова 2 из вне.

Вопрос как сделать чтобы заработало?

Zagray_2009

Цитата:

ip route vrf PRO2 192.168.251.53 255.255.255.255 GigabitEthernet0/1.251 192.168.251.53 global

А так оно вообще пингуется у Вас?:
#ping vrf PRO2 192.168.251.53

В том то и дело что да

#sh ip route vrf PRO2

Routing Table: PRO2
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is 10.11.0.1 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.11.0.1
10.11.0.0/24 is variably subnetted, 2 subnets, 2 masks
C 10.11.0.0/24 is directly connected, GigabitEthernet0/1.937
L 10.11.0.2/32 is directly connected, GigabitEthernet0/1.937
192.168.251.0/32 is subnetted, 1 subnets
S 192.168.251.53 [1/0] via 192.168.251.53, GigabitEthernet0/1.251

#ping vrf PRO2 192.168.251.53 repeat 50
Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 192.168.251.53, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (50/50), round-trip min/avg/max = 4/7/8 ms

#ping 192.168.251.53 repeat 60
Type escape sequence to abort.
Sending 60, 100-byte ICMP Echos to 192.168.251.53, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (60/60), round-trip min/avg/max = 1/1/4 ms

Такое впечатление что когда пингаешь с cisco, она нормально отрабатывает.
А вот если запрос приходит из вне, она перенаправляет пакеты, принимает пакеты, а отдать в мир пытается уже через дефолтный маршрут.

Привет Всем!
Нужен совет.
Каким оборудованием и как можно организовать шифрование данных, передаваемых по оптоволокну!
Тобись, есть два здания, которые объедены между собой оптоволоконной линией идущей по канализациям... Есть теоретический риск с помощью специальных делителей и ответвителей, получения доступа злоумышленником к передаваемым данным. Какие есть способы защиты?

Tek1l0v1ch Своим вопросом ты ставишь меня в гугол...
Первая же ссылка на запрос

Добрый день.
Вот в первые столкнулся с циской один на один так сказать. Покурив форумы я взломал таки её и сбросив конфиг(т.к. пароль я увы не знал) начал настраивать. Вообщем-то пока что, она должна просто пропускать трафик с интернета, хотя до появления сервера DHCP и DNS она выполняла и эти роли. Но вот такая беда произошла практически сразу: провайдер мой раздаёт настройки по DHCP без привязки по макадресу(то есть включай что хочешь на шнурок всё получит настройки), у меня реальный IP-адрес, и вот когда я подключаю на шнурок Cisco 1811 то она настройки в упор не получает и даже если вручную внести все параметры, то соединения с инетом нет. Я подумал и решил проверить Cisco - включил интернет в D-Link DIR-615(настроен DHCP-сервер)и подождал пока он получит настройки и доступ в интернет, а затем подключил к нему Cisco 1811 и о чудо циска получила адрес от длинка и доступ в интернет. Т.к. нужно было работать я оставил такую конфигурацию, но ведь нельзя же так работать постоянно. Провайдер беседует неохотно на эту тему потому решил обратитьс к Вам подскажите что могло бы мешать Cisco выходить в инет напрямую?
В инет нашёл только одну тему с похожей проблемой, но там не было нормального ответа и единственное указание на то что провайдер может в DНСP слать имя хоста которое циска не принимает и отказывается от настроек.

GuzenkoAN
покажите конфигурацию WAN интерфейса на 1811 и то, что происходит во время подключения линка от провайдера можно узнать включив дебаг dhcp.
Вообще первым делом приходит на ум как раз привязка к mac адресу, раз вы говорите dlink получает адрес на ура..точнее в дебаге смотрите. Или кидайте сюда дебаг dhcp.

Коллеги, прошу помощи!

Есть роутер Cisco 2901

На нем поднят VPN Server по протоколу L2TP. Я пока еще чайник в администрировании Цисок, настраивал этот функционал по примерам и мануалам, найденным в Интернет. Но вроде все получилось, и работало. Клиенты подключались, и входили в сеть. Настраивалось изначально на прошивке 15.1М. Все было прекрасно, до тех пор пока на роутере стояли прошивки IOS вплоть до версии 15.3М. Но, стоило мне поменять прошивку на версию 15.4М (а теперь уже есть и 15.5М) - VPN перестает принимать подключения! Винда у клиентов выдает ошибку подключения 720. При откате прошивки на 15.3М все снова начинает работать как надо.

Я понимаю, что вы попросите конфиг. Но для начала, может быть кто-то в курсе, что такого поменялось в IOS начиная с 15.4, что может повлиять на работу VPN-сервера? Ткните меня носом, в каком направлении копать? Шифрование, аутентификация, или еще что? заранее спасибо за ответы! Можно в личку, если тут неудобно.

Nickola На цискодроме имеется багрепорт касаемо L2TP/IPsec
http://tools.cisco.com/bugsearch/bug/CSCul52326
Возможно, ваш случай. А поскольку лечится даунгрейдом прошивки, скорее так оно и есть.

vlary
спасибо за ответ, но это не мой вариант.

там проблема описана для внешнего аппаратного ISM-VPN модуля, а у меня его нет, только Onboard-VPN.

В багрепорте, вроде как раз советуют переключиться на onboard модуль с внешнего для решения проблемы, так что никак не подходит для меня.

Здравствуйте! Прошу помочь со следующей задачей:
На предприятии появилась необходимость WIFI инета для гостей.
Для этого уже имеется следующее оборудование: cisco 2801, asus WL-500GP v2 и прокси.

На данный момент выход в инет по ethernet через прокси сервер.

Схема подключения к инету выглядит следующим образом:
Cisco подымает инет, который раздается только на прокси. Юзеры ходят в нет с фиксированными настройками прокси.
Все IP в сетке фиксированные.

В asus WL-500GP нет возможности прописать прокси. Поэтому, как я думаю, есть 2 возможности: 1) Прописать в конфигурации циски маршрутизации или создать новый интерфейс; 2) Каким то образом научить asus ходить через прокси.

Что будет проще и как это реализовать?

Ruslanych
Цитата:

В asus WL-500GP нет возможности прописать прокси

А ты покажи мне хоть один роутер, маршрутизирующий через прокси!
Роутеры работают на уровне L3(сетевой), прокси на уровне L7(приложений).
И вместе им никогда не встретиться.
А посему настраивай на циске НАТ для WL-500GP, втыкай его WAN портом в LAN свитч или циску,
а гостям по вайфай пусть он раздает по DHCP левые адреса.
Клиенты будут ходить через два НАТа, первый на асусе, второй на циске.
Примерно так: 192.168.10.100 (клиент) - 192.168.10.1 ( LAN асуса) - 10.10.10.10 (WAN асуса)
- 10.10.10.1 ( LAN циски) - 1.2.3.4 (WAN циски) - 1.2.3.1 (шлюз провайдера).
Про прокси забудь, это для локальных юзеров.

Я так понимаю, что на циске нужно для НАТ для WL-500GP создать новый интерфейс и настроить под него НАТ?

Ruslanych
Цитата:

Я так понимаю, что на циске нужно для НАТ для WL-500GP создать новый интерфейс

Если есть на циске свободный порт, можно и отдельный,
а если нет, можно обойтись и тем, что идет в локалку.
А доступ гостей в местную сеть запретить фаерволом асуса

Простите за глупый вопрос, но в циске только начал разбираться...

Что нужно добавить в конфиге циски для добавления НАТ для WL-500GP?

Цитата:

Что нужно добавить в конфиге циски для добавления НАТ для WL-500GP?

Ну, исходя из гипотетической сети, что я написал выше, грубо как-то так:

Код: interface FastEthernet0/0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly

interface FastEthernet0/1
ip address 1.2.3.4 255.255.255.0
ip nat outside
ip virtual-reassembly

ip nat inside source list 111 interface FastEthernet0/1 overload

access-list 111 permit ip host10.10.10.10 any
access-list 111 deny ip any any

Что то сильно заколдовано...
Никак не работает НАТ для WL-500GP

192.168.8.10 - Прокси, для которого НАТ работает
192.168.8.20 - WL-500GP - нат не работает
77.90.xxx.xxx - провайдер

кусок конфигурации:

Код:
no ip domain lookup
ip domain name yyy.com.ua
ip host yyyfBHcme.yyy.com.ua 192.168.8.10
ip host yyy.com.ua 192.168.8.10
...
interface FastEthernet0/0
ip address 192.168.8.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
speed auto
full-duplex
...
interface FastEthernet0/1
ip address 77.90.xxx.xxx 255.255.255.252
ip access-group 199 in
ip access-group 198 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect INTERNET out
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
....
ip nat inside source list 110 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.8.10 21 77.90.xxx.xxx 21 extendable
access-list 110 permit ip host 192.168.0.1 any
access-list 110 permit ip host 192.168.0.101 host 195.248.93.152
access-list 110 permit ip host 192.168.0.60 any
access-list 110 permit ip host 192.168.8.20 any
access-list 110 permit ip 192.168.8.0 0.0.0.255 any

Ruslanych
Цитата:

что не так?

Цитата:

ip nat inside source static tcp 192.168.8.10 21 77.90.xxx.xxx 21 extendable

Откуда взялась эта хрень? Я такого явно не советовал.
В данном случае просто
ip nat inside source list 111 interface FastEthernet0/1 overload
access-list 111 permit ip host 192.168.8.20 any

vlary Спасибо!
Все вышло. К неправильной конфигурации на циске были глюки на WL-500GP - пришлось перепрошить на заводскую пошивку, сбросить настройки на дефолтные, после чего все настроить заново...

Добрый день!

Есть Cisco 881 и Zyxell USG 300.
Нужно пробросить между ними ipsec.
Возможно ли это?
Просто очень давно с цисками не общался и искать кошку в темной комнате, без надежды на результат очень тяжко)

sVIVs
Цитата:

Возможно ли это?

Открой (для себя) базу знаний Зухеля. Очень полезный ресурс
для имеющих их железяки. Ну и с гуглом неплохо бы подружиться,
чтобы совершать и другие открытия.
VPN-туннель между шлюзом ZyWALL и маршрутизатором Cisco

vlary
Спасибо большое!

Здравствуйте, подскажите знатоки DNS на cisco 881
прописал на циске
ip domain-lookup
ip name server 10.2.10.3
на клиенте поставил днс первичный 10.2.10.3
пингую 10.2.10.3 гуд пингую по имени ADSRV. При проверке связи не удалось обнаружить узел ADSRV.

на циске когда делаю пинг по имени пишет

Translating "adsrv"...domain server (213.179.249.137)
% Unrecognized host or address, or protocol not running.


настройки днс
ip domain name kirgas.com
ip name-server 213.179.249.137
ip name-server 213.179.249.138
ip name-server 8.8.8.8
ip name-server 10.2.30.253
ip name-server 10.2.10.3

включил дебаг
*Aug 26 11:50:34.167: search_nametype_index: adsrv
*Aug 26 11:50:34.167: search_nametype_index: adsrv.kirgas.com
*Aug 26 11:50:34.167: search_nametype_index: adsrv.kirgas.com
*Aug 26 11:50:34.167: Domain: query for adsrv.kirgas.com type 1 to 213.179.249.137 Reply received no such name
*Aug 26 11:50:34.207: delete_nametype_from_index: searching adsrv to delete
*Aug 26 11:50:34.207: delete_nametype_from_index: name adsrv not found to del
*Aug 26 11:50:34.207: delete_nametype_from_index: also found 0 entries to delete directly
*Aug 26 11:50:34.207: add_nametype_to_index: added adsrv
*Aug 26 11:50:34.211: search_nametype_index: adsrv
*Aug 26 11:50:34.211: search_nametype_index: found adsrv for adsrv

он спросил у 1 днс сервера тот ответил что не знаю и отвалил и все ... хотя должно переберать сверху к низу нам нужен днс 10.2.10.3 последний

ip dns server
есть такая команда?

cRYSMAS
Цитата:

пингую по имени ADSRV. При проверке связи не удалось обнаружить узел ADSRV.

И чему ты удивляешься? Имя должно быть FQDN
Откуда серверу 213.179.249.137, который у тебя первый по списку, знать,
какой именно из миллионов доменов ты имеешь в виду?

cRYSMAS Надо точно знать как работает резолвинг на цисках. Например в Windows 2000, если первый нэймсервер ответил, что такого хоста не знает, то ко второму нэймсерверу обращение уже не идет. На второй обращение идет только если первый не отвечает совсем. Возможно на цисках также все работает.
Если 10.2.10.3 это виндовый нэймсервер или какой-либо другой, и тебе надо резолвить локальные зоны, то поставь его первым, а в его настройках укажи пересылать неразрешимые запросы на внешние нэймсерверы.

насколько я знаю, маршрутизаторы не работают с зонами, хотя все меняется..)

Цитата:

И чему ты удивляешься? Имя должно быть FQDN
Откуда серверу 213.179.249.137, который у тебя первый по списку, знать,
какой именно из миллионов доменов ты имеешь в виду?

да в том то и дело, понял о чем ты хочешь мне сказать..


Цитата:

Надо точно знать как работает резолвинг на цисках. Например в Windows 2000, если первый нэймсервер ответил, что такого хоста не знает, то ко второму нэймсерверу обращение уже не идет. На второй обращение идет только если первый не отвечает совсем. Возможно на цисках также все работает.
Если 10.2.10.3 это виндовый нэймсервер или какой-либо другой, и тебе надо резолвить локальные зоны, то поставь его первым, а в его настройках укажи пересылать неразрешимые запросы на внешние нэймсерверы.

Да 10.2.10.3 это виндовый ДНС поставил его как первый из списка все adsrv пингуется но теперь не пингуется mail.ru
Дилема, как циске указать если ***kirgas.com беги на ДНС 10.2.10.3 остальное на ДНС провайдера...
Даже не так их помоему можно разграничить по спискам... как это сделать?