» Настройка Cisco оборудования

cRYSMAS
Цитата:

как с веб или консоли скрыть вай-фай точку

ap(config)# dot11 guest-ssid 1 guestssid1
ap(config-ssid)# hide-ap
Цитата:

как зайти с консоли на вай-фай адаптер?

Router# service-module wlan-ap0 session
По-моему, ты уже созрел прочесть наконец-то инструкцию: Ссылка

Цитата:

vlary

и на том спасибо. Привязал айпи к данному девайсу к вай-фаю в смысле. Требует аунтификацию пользователя. Ввожу свой логин и пароль не подходит, локальный логин который при входе по ссш к циске. Логин по дефолту также не подходит так какой логин вводить?А на веб морде где искать скрыть SSID вай-фая?

cRYSMAS
Цитата:

Требует аунтификацию пользователя. Ввожу свой логин и пароль не подходит

Чего ты там понастраивал? Какой логин/пароль?
Настраивай WPA2/PSK и вводи ключ шифрования.
А если нужен логин/пароль, то это через сторонний RADIUS сервер настраивается.
Вебмордой для цисок не пользуюсь.

Цитата:

Чего ты там понастраивал? Какой логин/пароль?
Настраивай WPA2/PSK и вводи ключ шифрования.
А если нужен логин/пароль, то это через сторонний RADIUS сервер настраивается.
Вебмордой для цисок не пользуюсь.

та в том то и дело что я все сделал но попасть из консоли на вай-фай модуль не могу логин/пароль не подходит перепробовал все доступные авторизации.
А почему не через веб-морду грят что раньше была криво написана. А сейчас как бы профи юзают вебморду и все гуд ... как считаете что луче консоль или веб?

Все забежал под логином пароль не тот указівал для учетки
вопрос конфиг
Building configuration...

Current configuration : 3188 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TEST
!
logging rate-limit console 9
enable secret 5 111111
!
no aaa new-model
!
!
dot11 syslog
!
dot11 ssid TEST
vlan 120
authentication open
authentication key-management wpa version 2
infrastructure-ssid
wpa-psk ascii 0 12345678A
information-element ssidl advertisement wps
!
!
!
username cRYSMAS privilege 15 secret 5 ********
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 120 mode ciphers aes-ccm tkip
!
ssid Centrgas
!
antenna gain 0
station-role root
!
interface Dot11Radio0.120
encapsulation dot1Q 120 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface GigabitEthernet0
description the embedded AP GigabitEthernet 0 is an internal interface connecting AP with the host router
no ip address
no ip route-cache
!
interface GigabitEthernet0.120
encapsulation dot1Q 120 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address 10.2.120.3 255.255.255.0
no ip route-cache
!
ip default-gateway 10.2.120.2
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!
!
banner exec ^CC
% Password change notice.
-----------------------------------------------------------------------

Default username/password setup on AP is cisco/cisco with privilege level 15.
It is strongly suggested that you create a new username with privilege level
15 using the following command for console security.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want to
use. After you change your username/password you can turn off this message
by configuring "no banner login" and "no banner exec" in privileged mode.

-----------------------------------------------------------------------
^C
banner login ^CC
% Password change notice.
-----------------------------------------------------------------------

Default username/password setup on AP is cisco/cisco with privilege level 15.
It is strongly suggested that you create a new username with privilege level
15 using the following command for console security.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want to
use. After you change your username/password you can turn off this message
by configuring "no banner login" and "no banner exec" in privileged mode.

-----------------------------------------------------------------------
^C
!
line con 0
privilege level 15
login local
no activation-character
line vty 0 4
login local
!
cns dhcp
end

захожу на нужный SSID а там команды нет скрыть SSID

cRYSMAS
Цитата:

захожу на нужный SSID а там команды нет скрыть SSID

А так? Ссылка

Цитата:

А так? Ссылка

как раз так я и сделал, спасибо =) проверю отпишу, так как работаю тестю удаленно

Цитата:

vlary

все спасибо для скрытия SSID нужно было убрать команду guest-mode, хоть и веб-морде эта функция отключена. я думаю я сам ответил на свой вопрос косательно консоль & веб-морда.
Спасибо Вам!!!

Приобрели коммутатор SG300-52P Месяц работал хорошо. Сейчас начались проблемы. Периодически отваливается и перестает пинговаться. Приходится перезагружать питанием. Сам пинг очень странный - задержки внутри сети иногда до 150мс.
Почему такое может быть? Как посмотреть логи?

Цитата:

Почему такое может быть? Как посмотреть логи?

Кольцо. В гугле забанили?

Цитата:

Кольцо. В гугле забанили?

Первое что я сделал - это обратился к поисковым системам. Но по какому запросу искать решение? Запросы "cisco пропадает пинг" "cisco отваливается" не дают результата.
И даже по Вашей подсказке по запросу "cisco кольцо" в выдаче топология кольцо, а не проблемы с доступностью.
Каждый день в 9 утра сотрудники включают свои рабочие станции и они не могут получить IP от DHCP сервера на CISCO. После перезагрузки коммутатора по питанию, он начинает пинговаться и компы получают IP и работают. Но примерно в 16-00, судя по датчикам PRTG, коммутатор CISCO опять перестает пинговаться и открываться через веб браузер. При этом вся сеть работает, и у сотрудников полноценный доступ в Интернет. Но стоит только перезагрузить рабочую станцию, как вновь проблема с сетью - IP не присваивается.
Отключил DHCP на CISCO и установил другой DHCP сервер. Проблема та же - через 6-7 часов работы CISCO перестает пинговаться.
Как можно решить проблему? Перепрошить? Сбросить все на заводские настройки? Есть ли техподдержка Cisco на русском?

JekaRus
Цитата:

И даже по Вашей подсказке по запросу "cisco кольцо" в выдаче топология кольцо

Более распространенный термин данного явления не кольцо (ring),
а петля (loop). И поиск с этими параметрами тут же дает нужные результаты.
Усиление протокола STP с помощью функций защиты от петель и обнаружения отклонений BPDU

vlary
Как могла образоваться такая петля, если к коммутатору подключены рабочие станции пользователей? Целый месяц все работало ведь нормально.
Через веб интерфейс поставил галочку STP Loopback Guard Enable.
Достаточно ли этого для защиты от петель?

JekaRus
Я не утверждаю, что дело именно в петле.
Просто уточнил ответ уважаемого tankistua
А симптом такой, что свитч что-то очень сильно грузит.
Это может быть результатом и петли, и проблемы с железом, и глюк софта.
Поскольку в момент возникновения проблемы по сети к нему не пробиться,
можно попробовать подключиться через сериал порт,
и посмотреть загрузку процессора.
Если даже через порт не удастся соединиться, тогда настроить его
писать логи на внешний сервер, и пытаться вычислить по логам,
что предшествовало проблеме.

vlary
Галочка не помогла. Свич опять отвалился.

Добавлено:
vlary
Вот что вспомнил. Есть сервер Supermicro с 2мя сетевыми карточками. Обе карточки подключены в Cisco. По идее должна быть скорость между сервером и коммутатором 2Гб. Но никаких дополнительных настроек портов на Cisco для этого не делал. Просто воткнул два патчкорда. Нужно ли делать какие-то настройки для объединения 2х портов? Могут ли из-за этого быть проблемы?

JekaRus
Цитата:

Нужно ли делать какие-то настройки для объединения 2х портов?

Конечно нужно: Ссылка

vlary
Большое спасибо. Но у меня на сервере не Windows, а ESXi 6
Сейчас попробовал вытащить 1 патчкорд. Посмотрим отвалится или нет.
Но пинги до свича все равно с задержками по 150мс.

В логах еще почему то варнинги сыпятся
2147483504    2016-Jun-19 17:18:08    Warning    %STP-W-PORTSTATUS: gi48: STP status Forwarding, aggregated (2)
2147483505    2016-Jun-19 17:18:03    Informational    %LINK-I-Up: gi48, aggregated (2)
2147483506    2016-Jun-19 17:18:01    Warning    %LINK-W-Down: gi48, aggregated (2)
2147483507    2016-Jun-19 17:14:06    Warning    %STP-W-PORTSTATUS: gi48: STP status Forwarding
2147483508    2016-Jun-19 17:14:01    Informational    %LINK-I-Up: gi48
2147483509    2016-Jun-19 17:13:59    Warning    %LINK-W-Down: gi48

JekaRus
Цитата:

Но у меня на сервере не Windows, а ESXi 6

Cisco catalyst switch ( ether channel settings ) to VMWare ESXi 5
Думаю, разница ESXi 6 и ESXi 5 в данном случае не очень существенна.


Добавлено:
Вот тут можно дополнительно почитать про агрегирование в варе: Ссылка

vlary
Почему пинг может быть такой?
Reply from 192.168.1.1: bytes=32 time=19ms TTL=64
Reply from 192.168.1.1: bytes=32 time=18ms TTL=64
Reply from 192.168.1.1: bytes=32 time=26ms TTL=64
Reply from 192.168.1.1: bytes=32 time=9ms TTL=64
Reply from 192.168.1.1: bytes=32 time=20ms TTL=64
Reply from 192.168.1.1: bytes=32 time=12ms TTL=64
Reply from 192.168.1.1: bytes=32 time=31ms TTL=64
Reply from 192.168.1.1: bytes=32 time=11ms TTL=64
Reply from 192.168.1.1: bytes=32 time=23ms TTL=64

Как будто коммутатор не в офисе, а в америке.

JekaRus
Цитата:

Почему пинг может быть такой?

Ну так наверное потому, что свитч в ESXi е железный, а софтверный.
Ну и кстати он уже не 150 мс.
Сейчас как раз ESXi 6 на работе развертываю.
Подниму там виртуалку, будет с чем сравнить.

vlary

Цитата:

Ну так наверное потому, что свитч в ESXi е железный, а софтверный.

192.168.1.1 - это как раз железный свич Cisco SG300-52P-K9-EU
150мс периодически все равно проскакивает.

Пытаюсь настроить VLAN из веб интерфейса. Создал VLAN 2. В пункте Port VLAN Membership на всех портах установлено 1UP. Прописал на порту к которому подключен роутер 2UP и на порту к которому подключен ПК тоже 2UP. Но сеть не работает. А если прописать на порту с подключенным ПК 1UP,2T то сеть работает. Как правильно задать настройки VLAN без командной строки?

Добрый день, ребят кто пробрасывал порты на циске?В чем может быть проблема?
conf t:
ip nat inside source static tcp (вн. айпи пк) 80 (вн. айпи выдан провайдером) 80 extendable
прописал. Тестирую пробую по внешнему айпи забежать по 80 порту. не пускает. Сканирую пишет порт закрыт.
вбил sh ip nat trans
Pro Inside global Inside local Outside local Outside global

tcp внеш.IP:80 192.168.5.37:80 --- ---
Что смущает Outside local и Outside global - не заполнено. Да с локалки на 192.168.5.37 по 80 заходит нормально

cRYSMAS
Цитата:

Тестирую пробую по внешнему айпи забежать по 80 порту. не пускает.

Из локалки забежать пытаешься? Это во всех букварях уже написано,
называется NAT Loopback. Проверяй снаружи, из другой сети.
Если нет такой возможности, пиши айпи, протестирую и скажу.
Ну и еще, у 192.168.5.37 дефолт шлюзом должна быть циска.

cRYSMAS
а что с ACL на интерфейсе с внешним адресом (не может же его не быть=)), порт открыт?


vlary
К чему такие сложности, проверялок снаружи доступности портов море.
Да хоть это https://zyxel.ru/openport/

Цитата:

Из локалки забежать пытаешься? Это во всех букварях уже написано,
называется NAT Loopback. Проверяй снаружи, из другой сети.
Если нет такой возможности, пиши айпи, протестирую и скажу.
Ну и еще, у 192.168.5.37 дефолт шлюзом должна быть циска.

нет из внешней сети, у меня получается 2921 потом идет 3560 ПК 192.168.5.37 подключил к 3560. Указал шлюз 3560

Цитата:

а что с ACL на интерфейсе с внешним адресом (не может же его не быть=)), порт открыт?

можно по подробней?

cRYSMAS
А что такое 3560? У тебя двойной проброс? Или это простой свитч?

cRYSMAS

сложно указать не видя конфига, но ищите интерфейс на котором у вас висит внешний айпишник (на нем же ip nat outside) и в нем что либо вида:
ip access-group БЛАБЛАБЛА1 in
ip access-group БЛАБЛАБЛА2 out

вам нужен тот что "in"
найдите его, это:
access-list БЛАБЛАБЛА1
или
ip access-list extended БЛАБЛАБЛА1

и в нем должно быть указано для доступа с любого наружного адреса по 80 порту:
для extended
permit tcp any host ТУТ_ВАШ_ВНЕШНИЙ_АЙПИШНИК eq www
для простого листа
access-list БЛАБЛАБЛА1 permit tcp any host ТУТ_ВАШ_ВНЕШНИЙ_АЙПИШНИК eq www

vlary

свичи 3ХХХ серии могут брать на себя роль роутера.

vovan1st
Цитата:

свичи 3ХХХ серии могут брать на себя роль роутера.

Я в курсе. Потому и спросил.
Они конечно могут брать на себя роль роутера, но поддержку NAT там никто не обещал.

Цитата:

сложно указать не видя конфига

[more]gw2921#sh run
Building configuration...

Current configuration : 9836 bytes
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw2921
!
boot-start-marker
boot-end-marker
!
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
!
!
!
!
aaa session-id common
!
!
!
!
!
!
!
ip domain lookup source-interface GigabitEthernet0/1.1570
ip host ******************
ip name-server ***********
ip name-server ***********
ip name-server 8.8.8.8
ip inspect name Inter http timeout 3600
ip inspect name Inter https timeout 3600
ip inspect name Inter smtp timeout 3600
ip inspect name Inter udp timeout 3600
ip inspect name Inter tcp timeout 3600
ip inspect name Inter pop3 timeout 3600
ip inspect name Inter ftp timeout 3600
ip inspect name Inter dns timeout 3600
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn FCZ184070XV
!
!

!
redundancy
!
!
!
!
!
ip ssh maxstartups 2
ip ssh version 2
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description Inside SW3560
bandwidth 10000
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.9
encapsulation dot1Q 9
no cdp enable
!
interface GigabitEthernet0/0.10
description Ins_SW3560_VL10
encapsulation dot1Q 10
ip address 10.2.10.2 255.255.255.0
ip access-group Ins_Inter in
ip nat inside
ip inspect Inter in
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
no cdp enable
!
interface GigabitEthernet0/0.40
encapsulation dot1Q 40
no cdp enable
!
interface GigabitEthernet0/0.50
encapsulation dot1Q 50
no cdp enable
!
interface GigabitEthernet0/0.60
encapsulation dot1Q 60
no cdp enable
!
interface GigabitEthernet0/0.61
encapsulation dot1Q 61
no cdp enable
!
interface GigabitEthernet0/0.70
encapsulation dot1Q 70
no cdp enable
!
interface GigabitEthernet0/0.80
encapsulation dot1Q 80
no cdp enable
!
interface GigabitEthernet0/0.81
encapsulation dot1Q 81
no cdp enable
!
interface GigabitEthernet0/0.82
encapsulation dot1Q 82
no cdp enable
!
interface GigabitEthernet0/0.90
encapsulation dot1Q 90
no cdp enable
!
interface GigabitEthernet0/0.100
no cdp enable
!
interface GigabitEthernet0/0.192
description lan 3560
encapsulation dot1Q 192
ip address 192.168.1.28 255.255.248.0
no cdp enable
!
interface GigabitEthernet0/0.1570
encapsulation dot1Q 1570
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/1
bandwidth 10000
no ip address
ip nat outside
ip virtual-reassembly in
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0/1.30
encapsulation dot1Q 30
ip address 10.2.30.2 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.40
encapsulation dot1Q 40
ip address 10.2.40.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.50
encapsulation dot1Q 50
ip address 10.2.50.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.60
encapsulation dot1Q 60
ip address 10.2.60.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.61
encapsulation dot1Q 61
ip address 10.2.61.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.70
encapsulation dot1Q 70
ip address 10.2.70.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.80
encapsulation dot1Q 80
ip address 10.2.80.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.81
encapsulation dot1Q 81
ip address 10.2.81.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.82
encapsulation dot1Q 82
ip address 10.2.82.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.90
encapsulation dot1Q 90
ip address 10.2.90.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.91
encapsulation dot1Q 91
ip address 10.2.91.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.100
encapsulation dot1Q 100
ip address 10.2.100.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.110
encapsulation dot1Q 110
ip address 10.2.110.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.120
encapsulation dot1Q 120
ip address 10.2.120.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.121
encapsulation dot1Q 121
ip address 10.2.121.1 255.255.255.0
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.192
description ST
encapsulation dot1Q 192
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/1.1570
description Outside
encapsulation dot1Q 1570
ip address **** 255.255.255.252
ip access-group Outside in
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
no ip route-cache
no cdp enable
!
interface GigabitEthernet0/2
no ip address
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2.10
encapsulation dot1Q 3 native
ip address 192.170.1.1 255.255.255.252
ip access-group Ins_Inter in
ip nat inside
ip inspect Inter in
ip virtual-reassembly in
no cdp enable
!
!
router eigrp 30
network 10.2.10.0 0.0.0.255
network 10.2.20.0 0.0.0.255
network 10.2.30.0 0.0.0.255
network 10.2.40.0 0.0.0.255
network 10.2.50.0 0.0.0.255
network 10.2.60.0 0.0.0.255
network 10.2.61.0 0.0.0.255
network 10.2.70.0 0.0.0.255
network 10.2.80.0 0.0.0.255
network 10.2.81.0 0.0.0.255
network 10.2.82.0 0.0.0.255
network 10.2.90.0 0.0.0.255
network 10.2.91.0 0.0.0.255
network 10.2.100.0 0.0.0.255
network 10.2.110.0 0.0.0.255
network 10.2.120.0 0.0.0.255
network 10.2.121.0 0.0.0.255
network 10.10.1.0 0.0.0.255
network ****.0 0.0.0.3
network 192.168.0.0 0.0.7.255
network 192.168.9.0 0.0.0.3
network 192.170.1.0 0.0.0.3
!
router ospf 28
network 10.2.10.0 0.0.0.255 area 0
network 10.2.20.0 0.0.0.255 area 0
network 10.2.30.0 0.0.0.255 area 0
network 10.2.40.0 0.0.0.255 area 0
network 10.2.50.0 0.0.0.255 area 0
network 10.2.60.0 0.0.0.255 area 0
network 10.2.70.0 0.0.0.255 area 0
network 10.2.80.0 0.0.0.255 area 0
network 10.2.90.0 0.0.0.255 area 0
network 10.2.100.0 0.0.0.255 area 0
network 10.2.110.0 0.0.0.255 area 0
network 10.2.120.0 0.0.0.255 area 0
network 192.168.0.0 0.0.7.255 area 0
!
router bgp 30
bgp log-neighbor-changes
!
ip default-gateway ******
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 1 interface GigabitEthernet0/1.1570 overload
ip nat inside source list 1570 interface GigabitEthernet0/1.1570 overload
ip nat inside source list NAT interface GigabitEthernet0/1.1570 overload
ip nat inside source static tcp 192.168.5.37 80 ******* 80 extendable
ip default-network 10.2.10.0
ip route 0.0.0.0 0.0.0.0 94.153.161.161
ip route 192.168.25.0 255.255.255.0 192.168.1.254
!
ip access-list extended Ins_SW3560_VL10
permit tcp 10.2.10.0 0.0.0.255 any
permit udp 10.2.10.0 0.0.0.255 any
permit icmp 10.2.10.0 0.0.0.255 any
permit tcp host ****** host 192.168.5.37 eq www
ip access-list extended Outside
permit icmp any host ****** unreachable
permit icmp any host ****** echo
permit icmp any host ****** echo-reply
permit icmp any host ****** packet-too-big
permit icmp any host ****** time-exceeded
permit icmp any host ****** traceroute
permit icmp any host ****** administratively-prohibited
permit tcp any host ****** eq www
deny ip any any log
!
no cdp run
!
!
snmp-server community **** RO
snmp-server host 192.168.5.30 ****
tftp-server flash:cpconfig-2921-04122014.cfg
access-list 1 permit 10.2.16.0 0.0.0.255
access-list 1570 permit 10.2.0.0 0.0.255.255
access-list 1570 permit 192.170.0.0 0.0.0.3
access-list 1570 permit 192.168.0.0 0.0.8.255
access-list 1570 deny any log
access-list 111 remark NTP SERVER
!
!
!
control-plane
!
!
!
line con 0
password 7 ***************************
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password 7 *****************
transport input all
line vty 5 1114
password 7 *****************
transport input all
!
scheduler allocate 20000 1000
ntp authenticate
ntp master 3
ntp update-calendar
ntp server 195.138.69.242
ntp server 78.154.171.62
ntp server 194.54.80.30
ntp server 91.236.251.30 prefer
!
end

Инетересует VLAn1570 который заходит от провайдера в 2921 и раздает NAT
[/more]

cRYSMAS
С конфигом вашей 2921 всё ОК. Но вы писали, что ПК с сервисом на 80 порту подключён к 3560? Так всё же каков режим работы 3560? Что там с ACL? Выпускает ли 3560 трафик с 80 порта компа с сервисом в сторону 2921?