» Настройка Cisco оборудования

Цитата:

Всем привет. Никак не могу настроить SPA232D, все делаю по инструкции, но вот никак не получается зарегистрироваться, из за того, что он якобы не может авторизоваться. Digest user есть, его ассоциировал с устройством. В wireshark пишет:
SIP    456    Status: 401 Unauthorized |  
 
Не пойму где он не может авторизоваться, из за этого CUCM его постоянно сбрасывает.

Короче разобрался сам, может кому то пригодится. У меня CUCM 8.6.1. Чтобы аппарат зарегистрировался, нужно чтобы digest user и dn(внутренний номер) совпадали. И в sip securiti profile поставить галку enable digest user.

Здравствуйте,

Столкнулся с проблемой настройки точки доступа Cisco Aironet 1600
Настройки все выполнены по мануалу и точка в принципе работает, но периодически отключает клиентов. В логах при отключении пишет следующие:

Packet to client (МАК) reached max retries, removing the client

на всех возможных форумах Cisco, решение этой проблемы следующие:

Увеличение параметра Max. Data Retries: до 128

Но к сожалению не в моем случаи, я все возможные параметры выставил на максимум но нечего не изменилось.

Возможно кто то сталкивался с подобной проблемой, буду благодарен за любую информацию.

Добрый день подскажите как зайти в настройки телефона Cisco IP Phone CP-8961
через Web только информация и статистика
Пробовал на самом телефоне там кроме как яркости и обоев изменить ничего нельзя


Необходимо изменить кнопки быстрого набора

всем доброго дня, настраиваю any connect, требует образы для клиентов, а где их взять? по ссылкам требует регистрацию, регистрируешься, говорит что нужен партнерский аккаунт чтобы скачивать

Добрый день. Подскажите в чем проблема. Пытаюсь по расширенному ACL выставить пермит только для http и https трафика. Открыты порты 68,67utp, 53 tcp/udp, 80tcp,443tcp на интерфейс смотрящему в локалку. Пинги на ДНС и веб провайдера проходят из локалки однако при открытии страниц днс не отвечает. При включении в ACL, tcp/udp на "any", все начинает работать.

целиком покажите ацл и настройки интерфейса, будет проще, чем гадать.
и что вы вписать пытаетесь, отдельной строкой

народ, если у кого есть cisco configmaker, можете поделиться ?

Вот кусок конфига.


Код:

ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool IPS-WIFI
network 192.168.10.0 255.255.255.0
domain-name ips.sp5
default-router 192.168.10.1
dns-server 217.26.150.4 8.8.8.8
lease 0 4
!
!
!
ip domain name ips.sp5
ip name-server 217.26.150.4
ip name-server 7.248.160.5
ip name-server 8.8.8.8
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description $ETH-WAN$
ip address 178.168.A.B 255.255.255.0
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description $ETH-LAN$
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.3.1 255.255.255.0 secondary
ip address 192.168.10.1 255.255.255.0
ip access-group lan_net in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 1
ip http authentication local
no ip http secure-server
!
ip dns server
ip nat inside source list lan_net_nat interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 178.168.A.1
!
ip access-list standard lan_net_nat
remark CCP_ACL Category=2
remark buh1
permit 192.168.0.110
remark gt
permit 192.168.0.98
remark cekr
permit 192.168.0.99
remark buh2
permit 192.168.0.100
remark buh3
permit 192.168.0.82
remark autom
permit 192.168.0.87
remark zamdir
permit 192.168.0.19
remark centr
permit 192.168.3.20
remark admin
permit 192.168.0.200
remark dir
permit 192.168.0.180
remark wifi
permit 192.168.10.0 0.0.0.255
permit 192.168.3.0 0.0.0.255
!
ip access-list extended lan_net
remark CCP_ACL Category=1
permit ip host 192.168.0.110 any
permit ip host 192.168.0.100 any
permit ip host 192.168.0.82 any
permit ip host 192.168.0.99 any
permit ip host 192.168.0.180 any
permit ip host 192.168.0.98 any
permit ip host 192.168.0.19 any
permit ip host 192.168.0.200 any
permit ip host 192.168.3.20 any
permit ip host 192.168.0.87 any
permit udp any eq bootps any
permit udp any eq bootpc any
permit udp any eq domain any
permit tcp any eq domain any
permit icmp any any
permit tcp 192.168.10.0 0.0.0.255 any
permit udp 192.168.10.0 0.0.0.255 any
permit tcp 192.168.3.0 0.0.0.255 eq domain any
permit tcp 192.168.3.0 0.0.0.255 eq www any eq www
permit tcp 192.168.3.0 0.0.0.255 eq 443 any
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
privilege level 15
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

madblackjack
попробуйте
permit tcp 192.168.10.0 0.0.0.255 eq www any
permit tcp 192.168.10.0 0.0.0.255 eq 443 any
или же не обратные
permit tcp 192.168.10.0 0.0.0.255 any eq domain
permit tcp 192.168.10.0 0.0.0.255 any eq www
permit tcp 192.168.10.0 0.0.0.255 any eq 443

впишите строки над вашими правилами, посмотрите есть матчи, что будет происходить после каждого варианта.
что хотите ограничить, входящий или исходящий трафик?

Благодарю за ответ. Но первый вариант я уже пробовал(надо будет 2-ой). Такое впечатление, что при моём конфиге, проходят только ICMP пакеты,( т.к. внешние адресса пингуются).
Ограничить хочу трафик из локалки на вход маршрутизатора (торренты и тд).
п.с. 3-я сетка тоже не работает, я на ней какраз и эксперементирую, пока дал 10-ой "any" ,так она заводится, но соответсвенно не блокирует ничего.

добрый день, подскажите имеется циска 2921 и комм обычный правильно прописал

саб интерфейс создал на циске gi 0/2.10
encap dot1q 3 native // влан 3
ip add 192.170.1.1 255.255.255.252 //задал айпи интер. на компе єтот айпи является шлюзом основным, айпи на компе 192.170.1.2 маска такая же шлюз айпи на циске.

Хочу что б саб интер. работал не в trunk режиме а access...

cRYSMAS
Цитата:

Хочу что б саб интер. работал не в trunk режиме а access...

А как он работает, по-твоему? У тебя весь gi 0/2 в транковом режиме,
а те сабы, что ты создашь, будут акцесс для соответствующих виланов.
gi 0/2.10 - нетегированный 3, остальные должны быть тегированными.

значит правильно все сделал спасибо-=)

Cisco 7206VXR
Подскажите, есть команда rate-limit . На одном из интерфейсов висит ограничение:

Код:
interface GigabitEthernet0/1.755
description MyVLAN
encapsulation dot1Q 755
ip address 77.88.8.2 255.255.255.252
rate-limit input 102400000 3840000 7680000 conform-action transmit exceed-action drop
rate-limit output 10240000 3840000 7680000 conform-action transmit exceed-action drop
no cdp enable

Belua Похоже на глюк иоса. Посвежее есть возможность залить?

можно экспериментами заняться. сначала изменить на
rate-limit input 102400000 3840000 7680000 conform-action transmit exceed-action transmit
rate-limit output 10240000 3840000 7680000 conform-action transmit exceed-action transmit
может после этого удалится.

надежный вариант исправить startup-config, ну, и грузануть соответственно.
1. tftp/ftp the startup config to yourself
2. edit the file
3. tftp the edited file back to the router overwriting the startup config

Эксперимент проведу, но сильно экспериментировать не хочется - , боевое железо с огромным количеством клиентов и стоящее на другом конце города.

А по второму вопросу, кто сможет подсказать?

Belua

Код: show int gi0/0
GigabitEthernet0/0 is up, line protocol is up
Hardware is BCM1250 Internal MAC, address is 0011.2233.4455 (bia 0011.2233.4455)
Description: link 1
MTU 1540 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 35/255, rxload 20/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
Keepalive set (10 sec)
Full Duplex, 1000Mbps, media type is RJ45
output flow-control is XON, input flow-control is XON
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/3208/72484 (size/max/drops/flushes); Total output drops: 1373910311
Queueing strategy: Class-based queueing
Output queue: 0/1000/12 (size/max total/drops)
5 minute input rate 79658000 bits/sec, 19312 packets/sec
5 minute output rate 140174000 bits/sec, 21984 packets/sec

Belua
Цитата:

А по второму вопросу, кто сможет подсказать?

С помощью команды show interface GigabitEthernet0/1
ты можешь увидеть что-то типа
...............
5 minute input rate 5502000 bits/sec, 692 packets/sec
5 minute output rate 1217000 bits/sec, 594 packets/sec
..................
Но это на весь интерфейс, отдельно на вилан команда не показывает.
С помощью sh vlans 755 можешь посмотреть весь трафик на vlan
Virtual LAN ID: 755 (IEEE 802.1Q Encapsulation)

vLAN Trunk Interface: GigabitEthernet0/1.755

Protocols Configured: Address: Received: Transmitted:
IP 21.21.21.1 1584890859 1314811208
Other 0 2101

5879858155 packets, 4273600714878 bytes input
5609780605 packets, 2097756746308 bytes output

Почистив счетчики и замерив по времени, можешь примерно оценить загрузку.

Цитата:

Почистив счетчики и замерив по времени, можешь примерно оценить загрузку.

Не выйдет, много VLAN`ов на интерфейсе.

Belua
Цитата:

Не выйдет, много VLAN`ов на интерфейсе.

Ну и что? Ты очистишь счетчики всего интерфейса,
а потом посмотришь (через час, допустим) sh vlans ХХХ
трафик на интересующих тебя виланах

Всем привет, прошу проконсультировать в настройках ACL.
Есть изолированный vlan 10 доступ к которому имеется только из административной сети 192.168.20.0/24.

interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip access-group 4 out

ip default-gateway 192.168.1.1
ip route 0.0.0.0 0.0.0.0 192.168.1.1

access-list 4 permit 192.168.20.0 0.0.0.255

Возникла задача разрешить двум IP (192.168.10.2 и 192.168.10.3) из Vlan 10 доступ наружу.

Правильно ли я поступлю, если добавлю к interface Vlan10 список доступа в направлении in:
ip access-group 5 in
и соответственно два стандартных ACL:
access-list 5 permit 192.168.10.2
access-list 5 permit 192.168.10.3

т.е не ограничу ли я новым ACL, доступ из сети 192.168.20.0/24 – двумя узлами ?

StaDen
Что за бред? Зачем два акцесс-листа на одном интерфейсе?
Обычно вешают один, либо ин, либо аут.

vlary

Действительно, есть правило: Нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление.
Я понимал это правило по своему, т.е, что нельзя разместить более 1 ACL на направление на интерфейсе. И недавно наткнулся, что некоторые индивиды говорят- “ в принципе ничего не мешает повесить 2 ACL на in и out на один интерфейс”.
Вот и решил спросить…
А все таки если бы я повесил 2 ACL как предполагал ранее, то ограничил ли бы новым ACL, доступ из сети 192.168.20.0/24 – двумя узлами ?

И если делать по правильному... я предполагаю, что мне нужно использовать расширенный ACL,
но не могу понять в каком направлении его применить??

StaDen
Цитата:

И если делать по правильному... я предполагаю, что мне нужно использовать расширенный ACL,
но не могу понять в каком направлении его применить??

В любом. Допустим тебе нужно запретить общаться
сети 192.168.20.0 со всеми. И сделать исключение для хоста 192.168.20.100
Ты можешь сделать это через входящий список
access-list 115 permit ip host 192.168.20.100 any
access-list 115 deny ip 192.168.20.0 0.0.0.255 any
либо через исходящий
access-list 115 permit ip any host 192.168.20.100
access-list 115 deny ip any 192.168.20.0 0.0.0.255
В любом случае связь будет между 192.168.20.100 и всеми,
а для остальной сети связи не будет.
Соответственно списки можно усложнить, добавить
конкретно, к каким сетям/хостам/портам может быть связь,
а к каким сетям/хостам/портам ее быть не должно,
но это уже детали.
Ну и понятно, что списки доступа сети 192.168.20.0 к сети 192.168.10.0
можно повесить как на интерфейс первой сети, так и на интерфейс
второй сети. Не надо только правила дублировать,
чтобы не нагружать лишней проверкой железку.
Акцесс листы на циске очень важная вещь, рекомендую хорошо их усвоить.
В качестве вводного ликбеза рекомендую статью на Хабре,
а потом более детально ознакомиться с мануалами на цискодроме.

vlary
Спасибо, не раз вы мне помогали своими ответами.

Цитата:

Ну и понятно, что списки доступа сети  192.168.20.0 к сети  192.168.10.0
можно повесить как на интерфейс первой сети, так и на интерфейс
второй сети.

Мне кажется, что следующие варианты будут не равнозначны:
1)
ip access-list extended Vlan10_in
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
2)
ip access-list extended Vlan20_in
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
(или permi ip any 192.168.10.0 0.0.0.255)

И возвращаюсь к своей задаче, то думаю без двух ACL не обойтись, т.е

ip access-list extended Vlan10_in
permit tcp host 192.168.10.2 any eq smtp
permit tcp host 192.168.10.3 any eq smtp

ip access-list extended Vlan20_in
permi ip any 192.168.0.0 0.0.255.255

*Именованные ACL привязываются к соот-щему интерфейсу VLAN
*Хостам дал доступ только по SMTP
*Доступ из административной сети расширил

Добрый день! Помогите разобраться в коммутаторе Cisco SPS208G. Хотел просто подключить 6 компов, но порты не работает по умолчанию, то есть как обычный неуправляемый коммутатор. Заходил в меню настройки, поставил на UP, но коммутатор работает только до первого отключения. Как только коммутатор перезагружаю все обратно отключается. все порты не работает.

Здравствуйте, уважаемые специалисты!
Я не админ, так что не судите строго.
Есть бесшовная сеть построенная на Cisco controller 2500 серии. Сеть рабочая, хоть настраивал и не специалист. Но вот такая проблема - устройства в сети "не определяются" по имени или типу. Т.е. например broadcast на устройства из спец программы - не работает (только по ip адресу), настройка wi-fi принтера - не определяется. Даже на компьютер в локальной сети по имени не заходит.
Все вышеописанное относится именно к подключению по wi-fi, через lan все ок.

Подскажите хотя бы куда копать?
Заранее спасибо.

ZBOCHISTKA
И это правильно. Бродкаст на контроллере по умолчанию отключен
Ищи где он включается и включай, если понимаешь, что делаешь.
Поскольку отключен он не по прихоти злой циски,
а потому что сильно забивает полосу.
Потому я решал бы твои проблемы другими методами.
Доступ по имени - с помощью WINS сервера, файла lmhosts,
да даже правильной настройкой DNS (домен суффикс)


Добавлено:
zinadin
Вообще-то практически во всех цискиных устройствах
имеются два конфига, текущий и стартовый.
И чтобы изменения в текущем конфиге остались и после
перезагрузки, необходимо скопировать его в стартовый

vlary
Да я так-то смирилась в принципе. Но надо настроить wi-fi принтер (Canon), а он не ищется в его настроечном ПО (то есть там есть список мак-адресов найденных устройств, но он пуст). Я с таким принтером сталкиваюсь впервые, у него нет возможности прописаться вручную по ip или по мак адресу. Что делать вообще не представляю. В даннм случае что посоветуете?

ZBOCHISTKA
Цитата:

В даннм случае что посоветуете?

Боюсь, здесь мой совет запоздал. Ибо wi-fi принтер - полный бред!
Беспроводка хороша для ноутбуков/нетбуков, планшетов, смартфонов.
Но не для серверов, принтеров и даже стационарных ПК.
Проблемы с подобными принтерами общеизвестны, но выходят за рамки данной темы.
С этим либо в Периферийные устройства, либо на форум производителя.