Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка Cisco оборудования

Автор: ipmanyak
Дата сообщения: 28.08.2015 09:53
cRYSMAS Не надо ничего разграничивать на циске. В виндовом нэймсервере 10.2.10.3 в его настройках во вкладке Пересылка (Forwarding) укажи пересылать неразрешимые запросы на нэймсерверы прова или гуглевские.
Автор: sVIVs
Дата сообщения: 28.08.2015 17:05
День, добрый!
Продолжение истории с ipsec между cisco881-k9 и Zyxel USG 300
Предыстория:
Есть локальная сеть за cisco881: 192.168.15.0 255.255.255.0
Из этой сети есть выход в интернет, через l2tp.

Ниже рабочий конфиг:

Код:
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
!
hostname Router881
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
memory-size iomem 10
!
ip dhcp excluded-address 192.168.15.1 192.168.15.149
!
ip dhcp pool LAN
network 192.168.15.0 255.255.255.0
default-router 192.168.15.1
dns-server 192.168.15.1
lease 3
!
ip domain name domain.ru
ip name-server 80.252.130.254
ip name-server 80.252.130.253
ip name-server 8.8.8.8
ip inspect WAAS flush-timeout 10
ip cef
no ipv6 cef
l2tp-class class1
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol l2tp
initiate-to ip 10.255.255.254 priority 1
l2tp hidden
l2tp ignore tx-speed
no l2tp tunnel authentication
ip mtu adjust
!
license udi pid CISCO881-K9 sn FCZ183160LA
!
!
username admin privilege 15 secret 5 $1$N8hW$KdmbpaoOqmZFxP5A/VHgt/
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
pseudowire-class class2
encapsulation l2tpv2
protocol l2tpv2 class1
ip local interface FastEthernet4
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
ip address 10.201.156.xx 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface Virtual-PPP1
ip address negotiated
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in max-reassemblies 1024
no peer neighbor-route
no keepalive
ppp authentication chap callin
ppp chap hostname User
ppp chap password 7 003045265744D52542E7415
ppp direction callout
ppp ipcp dns request
ppp timeout retry 1
no cdp enable
pseudowire 10.255.255.254 10 encapsulation l2tpv2 pw-class class2
!
interface Vlan1
description ==LAN==
ip address 192.168.15.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat inside
no ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat translation max-entries 1000000
ip nat translation max-entries all-host 150000
ip nat inside source list natglobal interface Virtual-PPP1 overload
ip nat inside source list natlocal interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route 10.255.255.254 255.255.255.255 10.201.156.254
ip route 80.252.130.248 255.255.255.248 10.201.156.254
!
ip access-list extended natglobal
deny ip 192.168.15.0 0.0.0.255 0.0.0.1 10.255.255.254
deny ip 192.168.15.0 0.0.0.255 80.252.130.248 0.0.0.7
permit ip 192.168.15.0 0.0.0.255 any
ip access-list extended natlocal
permit ip 192.168.15.0 0.0.0.255 80.252.130.248 0.0.0.7
permit ip 192.168.15.0 0.0.0.255 0.0.0.1 10.255.255.254
deny ip any any
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
!
!
end
Автор: Apeir0n
Дата сообщения: 07.09.2015 16:46
Приветствую, коллеги.
Хотел бы получить совет "стратегического" плана.

Есть головное предприятие и ряд филиалов.
Есть основная сеть VPN L2, арендуемая у одного оператора и резервная сеть, арендуемая у другого оператора.
Окончание - Ethernet.
Сейчас организовано динамическое резервирование по доступности на базе SLA.

Что хотелось бы получить - загрузить оба канала, получить резервирование.
Агрегирование каналов, как я понимаю доступно только для каналов точка-точка.
Какую технологию применить? Туннелирование?
Автор: vlary
Дата сообщения: 07.09.2015 18:26
sVIVs
Цитата:
$my_ip_address - вот здесь совсем не понятно - локальный ip cisco -192.168.15.1 или ip внутри сети провайдера  ip address 10.201.156.xx или внешний ip cisco?
Ни тот, ни другой, и не третий. Тот, который пров выдает тебе на interface Virtual-PPP1
Если он белый, естественно, а не 10.х.х.х
Apeir0n Да, туннелирование GRE подойдет. Можно дополнительно защитить IPSec.
Автор: sVIVs
Дата сообщения: 09.09.2015 16:40
vlary
Спасибо, уже подсказали.
К сожалению, пока не взлетело(
Автор: slut
Дата сообщения: 09.09.2015 16:44
Apeir0n
Cisco OER/PfR
Автор: Graay4
Дата сообщения: 16.09.2015 11:31
Добрый день. С филиала прихал свич SF300-24 который при загрузке выдавал ошибку
Illegal mac address FF:FF:FF:FF:FF:FF и предлагал ввести правильный МАК. Я ввел мак адрес напечатанный сзади на свиче, но немного ошибся…. + не ввел запрашиваемы после этого серийник свича.
Свич запустился, я на нем обновил прошивку до последней 1.4.1.3 версии. Вроде пока работает.
Возможно ли теперь изменить мак и сериийник свича?
+
SF-300#show version
SW version 1.4.1.3 ( date 29-Mar-2015 time 16:24:16 )
Boot version 1.3.5.06 ( date 21-Jul-2013 time 15:12:10 )
HW version V
Автор: vlary
Дата сообщения: 16.09.2015 16:22
Graay4
Цитата:
Возможно ли теперь изменить мак и сериийник свича?
Попробуй, может, получится: http://www.anticisco.ru/forum/viewtopic.php?t=4644
Автор: Graay4
Дата сообщения: 17.09.2015 11:36
vlary
Не могу попасть в ROMMon на этом sf300... пробывал подключатся путтей и виндовым гипертерминалом + разные комбинации клавиш break; ctrl+break; ctrl+6; ctrl+c; кликнуть мышкой по послать Break; и поменять скорость на порту на 1200 и зажать пробел...
Автор: Graay4
Дата сообщения: 22.09.2015 11:39
Пишут, что нет rommona в smallbusiness. Может есть еще варианты? Как то же он сменился...
Автор: DrSqaer
Дата сообщения: 03.10.2015 16:16
Коллеги приветсвтую,

имеется проблема.
В качестве сервера PPTP Cisco 2951 (C2951-UNIVERSALK9-M, Version 15.2(2)T)
Настройки следующие, выкладываю всё что касаемо PPTP
!
ip dhcp pool pptp-users
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server 192.168.0.2
option 249 hex 10ac.100a.0a0a.0110.c0a8.0a0a.0a01
lease 0 1
!
!
vpdn enable
!
vpdn-group STO
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
interface Loopback0
ip address 10.10.10.1 255.255.255.0
!

!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address dhcp-pool pptp-users
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
В целом всё работает, да и конфиг то в целом стандартный. НО!
Цепляемся Windows 7 клиентом или Ubuntu, пытаемся передать на удалённый хост за Cisco файл, и получаем фриз. Т.е сессия всё ещё активна, но доступа куда-либо нет. А самое интересное не это, а то что включение debug ppp mppe events решает вопрос Карл, сессия стабильна! В логах
Vi4 MPPE: missed 1 key changes, recomputing
Vi4 MPPE: missed 4 key changes, recomputing
Vi4 MPPE: rx key change error - diff = 4094

Убунта пишет когда всё перестаёт работать
pppd[2743]: Protocol-Reject for unsupported protocol 0xa4e8
pppd[2743]: Protocol-Reject for unsupported protocol 0xb038

Может кто сталкивался?

UPD

Пока это "решается" отключением CEF на Virtual интерфейсе. В реальности похоже на баг IOS.
А Debug как подсказали умные люди по видимости отключает CEF чтобы лить всё через проц и анализировать.
Автор: 19851105vadim
Дата сообщения: 22.10.2015 20:22
Всем привет. Если не трудно, подскажите откуда можно взять cat4000.6-1-1.bin ? Уже весь инет облазил. Заранее спасибо!
Автор: vlary
Дата сообщения: 22.10.2015 23:02
DrSqaer Чем вызван выбор именно pptp?
19851105vadim А поднять глаза на шапку темы не судьба? И чуть-чуть подумать.

Автор: cRYSMAS
Дата сообщения: 02.11.2015 15:39
Приветствую!!!
Вопрос кто занимался шифрованием паролей пользователей автоматизируется на циске кроме МД5 можно как то?
хочу сделать так: conft : username xxx privilege 15 secret 9 password
( 0 Specifies an UNENCRYPTED secret will follow
5 Specifies a MD5 HASHED secret will follow
8 Specifies a PBKDF2 HASHED secret will follow
9 Specifies a SCRYPT HASHED secret will follow
)
но ругается на ошибку:

ERROR: The secret you entered is not a valid encrypted secret.
To enter an UNENCRYPTED secret, do not specify type 9 encryption.
When you properly enter an UNENCRYPTED secret, it will be encrypted.

Если я правильно понимаю он ругается что вводится не зашифрованный пароль, вводил MD5 все равно такая же ошибка, есть спец. приблуда которая шифрует пароли в PBKDF2/SCRYPT HASHED secret will follow
???
Автор: vlary
Дата сообщения: 03.11.2015 01:13

Цитата:
есть спец. приблуда которая шифрует пароли в PBKDF2/SCRYPT HASHED...
Есть приблуда. Попробуй эту перловку:
Код: use Crypt::ScryptKDF qw (scrypt_raw);
# ...здесь сам напишешь чтение аргументов, вызов функции

sub cisco9 {
if (defined $argsalt && length($argsalt)==14) { $salt = $argsalt; } else { $salt = randstr(14,\@i64); }
my $h = scrypt_raw($_[1],$salt,16384,1,1,32);
my $s = base64_wpa($h);
print "u-cisco9:\$9\$$salt\$$s:$u:0:$_[0]::\n";
}
Автор: melboyscout
Дата сообщения: 12.11.2015 18:30
Подскажите пожалуйста, имеется хаб R0 и два споука (R3, R4). между ними поднят ipsec. как заставить увидеть с одного споука второй?


[more=R0]R0:
-------
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key3 address 192.168.10.3
crypto isakmp key MT_Key4 address 192.168.10.4
crypto isakmp key MT_Key5 address 192.168.10.5
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 3 ipsec-isakmp
set peer 192.168.10.3
set transform-set myset
match address 100
!
crypto map mymap 4 ipsec-isakmp
set peer 192.168.10.4
set transform-set myset
match address 104
!
ip domain-name r0.my
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 192.168.3.0 255.255.255.0 192.168.10.3
ip route 192.168.4.0 255.255.255.0 192.168.10.4
ip route 192.168.5.0 255.255.255.0 192.168.10.5
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 104 permit ip 192.168.0.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255[/more]

[more=R3]R3
----------------------------
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key3 address 192.168.10.1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 3 ipsec-isakmp
set peer 192.168.10.1
set transform-set myset
match address 100
!
interface FastEthernet0/0
ip address 192.168.10.3 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255[/more]

[more=R4]R4
------------------------
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key MT_Key4 address 192.168.10.1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 4 ipsec-isakmp
set peer 192.168.10.1
set transform-set myset
match address 100
!
interface FastEthernet0/0
ip address 192.168.10.4 255.255.255.0
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
ip address 192.168.4.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255[/more]
Автор: alespopov
Дата сообщения: 13.11.2015 08:53
melboyscout
Смотреть в сторону DMVPN и EIGRP ?!
Автор: melboyscout
Дата сообщения: 13.11.2015 08:57
alespopov
не, мне не нужно динамическиая маршрутизация. я готов проделать ацкий труд и добалять в акссес листы записи. ведь в дальнейшем можно будет ограничивать доступ с одного филиала на другие
Автор: alespopov
Дата сообщения: 13.11.2015 16:44
К чему все эти "велосипеды" и "сизифов труд", - потом ограничите по ACL на интерфейсах, ну и фильтрацию маршрутов никто не отменял. Или я не понял вопроса про 'увидеть' ...
Автор: melboyscout
Дата сообщения: 13.11.2015 17:42
У меня зоопарк: циска и кучу микротиков
Автор: melboyscout
Дата сообщения: 13.11.2015 20:28
К циске звездой (по вайфаю) подключены микротики. Нужно организовать айписек шифрование между устройствами. Причем, звезда не чистая. Пускай есть 4 луча, а от каждого такого луча еще подлучи. Так вот, как организовать это шифрование, что бы при отвале одного основноо луча, на подлучах оставалась связь, и шифрованная.
По маршрутизации думаю Оспф. А вот айписек кроме чистого криптомапа подобрать не могу для этого зоопарка. Или что посоветуете?
Автор: vlary
Дата сообщения: 14.11.2015 00:09
melboyscout
Цитата:
Или что посоветуете?
В корне пересмотреть структуру. То, что ты пытаешься сделать,
надо в цирке показывать. Соединять с циской микротики по вайфаю это вообще жесть.
Вайфай - он хорош для конечных пользователей, если полоса и качество связи не критичны.
И потом, зачем это соединение еще и шифровать? Там же свое шифрование есть.
Автор: melboyscout
Дата сообщения: 14.11.2015 06:47
vlary
Требование заказчика.

Да, и забудьте что там вайфай. Достаточно знать, что есть линк
Автор: sidjohn
Дата сообщения: 15.11.2015 10:32
Помогите с конфигом плиз
rACL...собствеено нужно чтобы 10.110.0.0\16 могли ходить в 192.168.2.0/24, а последнии не могли в 10ю сеть, только до определенных хостов.
Отрабатывает rACL наполовину, т.е. 10я сеть не могжет попасть в 192.168....
в GNS работает, на реальной железке нет...

ip access-list extended VLAN_Access_1stLINE_out
10 permit ip any any reflect refVLAN_Access_1stLINE_in
ip access-list extended VLAN_Access_1stLINE_in
5 evaluate refVLAN_Access_1stLINE_in
10 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255
20 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.22
30 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.30
40 deny ip 192.168.2.0 0.0.0.255 10.110.0.0 0.0.255.255
50 permit ip any any
Автор: Munche
Дата сообщения: 17.11.2015 03:02
Вечер добрый!

Достались в наследство несколько железок.
Проблема собственно в том, что не работает ip cef - точнее напрочь отсутствует.
Кто знает как победить?


Код:
#conf t
Enter configuration commands, one per line. End with CNTL/Z.
(config)#ip cef
^
% Invalid input detected at '^' marker.
Автор: ipmanyak
Дата сообщения: 17.11.2015 10:21
Munche Полагаю cef нет потому, что WS-C2960S - свичи Layer 2, а ip cef - фича Layer 3
Автор: Munche
Дата сообщения: 17.11.2015 17:16
ipmanyak
Сайт циски утверждает что на данной модели в данной прошивке эта функция есть.
Автор: ipmanyak
Дата сообщения: 18.11.2015 06:46
Munche Не верю. Ответы на ваши команды ip cef и sh ip доказывает обратное!
Покажите ссылку.
Cisco Express Forwarding (CEF) — технология высокоскоростной маршрутизации/коммутации пакетов, использующаяся в маршрутизаторах и коммутаторах третьего уровня фирмы Cisco Systems.
Ваши свичи второго уровня. Что не ясно?

Для понимания http://admindoc.ru/1419/ip-routing-and-forwarding/
Фактически ip cef объединяет в себе информацию L2 и L3 уровней, чтобы быстрее форвардить пакеты, по сути до таблицы маршрутизации пакет не доходит, но ip cef работает с таблицей FIB, которая формируется из таблицы routing table (RIB). На ваших свичах L2 никакой маршрутизации нет, простая коммутация пакетов.
Почему вы заморочились CEF вообще ?
Автор: sever829
Дата сообщения: 18.11.2015 08:04
Всем привет. Никак не могу настроить SPA232D, все делаю по инструкции, но вот никак не получается зарегистрироваться, из за того, что он якобы не может авторизоваться. Digest user есть, его ассоциировал с устройством. В wireshark пишет:
SIP    456    Status: 401 Unauthorized |

Не пойму где он не может авторизоваться, из за этого CUCM его постоянно сбрасывает.
Автор: Munche
Дата сообщения: 18.11.2015 12:24

Цитата:
Ответы на ваши команды ip cef и sh ip  доказывает обратное!


Вот ответ на команду


Код: #sh ipv6 ?
access-list Summary of access lists
cef Cisco Express Forwarding for IPv6
dhcp IPv6 DHCP
features IPV6 features
general-prefix IPv6 general prefixes
interface IPv6 interface status and configuration
local IPv6 local options
mld MLD Snooping info on Catalyst Vlans
mtu MTU per destination cache
nd Show IPv6 ND related information
neighbors Show IPv6 neighbor cache entries
policy Policy routing
prefix-list List IPv6 prefix lists
protocols IPv6 Routing Protocols
route Show IPv6 route table entries
routers Show local IPv6 routers
snooping IPv6 snooping show commands
static IPv6 static routes
traffic IPv6 traffic statistics

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

Предыдущая тема: Не могу побороть вирус Nimda


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.