Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования

 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?
Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 
Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
AndreySergeevich



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DiZka
поставьте лучше гигабитный свич L3
Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 14:02 27-12-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
если сети 10.78.1.0 и 10.78.0.0 локальные то лучше вместо маршрутизатора взять коммутатор L3 например cisco C3560 (самый дешевый) а маршрутизатору оставить связь с  WAN
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 14:11 27-12-2010
DiZka



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а как коммуникатором объединить 2 сети то?
Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 14:38 27-12-2010
AndreySergeevich



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DiZka
коммуникатором лучше не стоит
 
на коммутаторе сделаете пару L3 портов и включите роутинг, оно само забегает.
Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 14:41 27-12-2010
DiZka



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AndreySergeevich
боюсь показаться совсем идиотом, но что такое L3 и поподробнее как это сделать
Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 14:50 27-12-2010
AndreySergeevich



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DiZka
вот тут ознакомтесь
 
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_example09186a008019e74e.shtml
Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 14:59 27-12-2010
DiZka



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо, разобрался вроде все работает и на L3 Будем думать.
Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 16:08 27-12-2010
Gorde

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JonJonson
1. пока инты не упали все отлично (ошибок нет) - когда упали к циске доступа нет!!!
2. все инты в авто.
3. модемы есть - но проблема решается, как указано, перезагрузкой циски и не троганием модемов!
alespopov
в прошивке может быть дело только если она сама посебе глючная (так сделана), но никаких подобных багов по ней в инете не нашел!
как было указано - менялось полностью железо!!! (прошивка перезаливалась само собой). Статистика памяти ровнейшая
ESX091
1. именно это и хочу выяснить!!! sla не перестает работать - как раз работает!!! и по логам как раз видно что его статус постоянно UP/DOWN на обоих провайдерских интерфейсах!!!
2. инты подключены независимо - один через модем прова, второй напрямую кабелем!
3. остаться на ночь нет возможности (в этом как раз проблема!) циска в др. городе за несколько сот км.
vlary
не о том!!! отсутствее local pbr в данном случае влияет только на построение тунелей!!! стат маршрутами ПРАВЕЛЬНО указано за каким провом какой конец тунеля искать!
 
Конфиг:
IP провайдеров соответственно:
  IPS1 - X1.X1.X1.X1/30 (шлюз "GW ISP 1")
  IPS2 - X2.X2.X2.X2/30 (шлюз "GW ISP 2")
 
IP провайдеров на филиале:
  ISP 1 - F1.F1.F1.F1
  ISP 1 - F2.F2.F2.F2
 
IP провайдеров в центральном офисе:
  ISP 1 - C1.C1.C1.C1
  ISP 1 - C2.C2.C2.C2
 
Сам конфиг:
 
 
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Gorod
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 10240
logging rate-limit all 10 except errors
enable secret 5 ******************************
!
no aaa new-model
clock timezone Gorod 10
clock summer-time Gorod recurring last Sun Mar 2:00 last Sun Oct 2:00
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ip domain lookup
!
multilink bundle-name authenticated
!
!
!
!
!
!
username user01 privilege 15 secret 5 ******************************
username user02 privilege 15 secret 5 ******************************
username user03 privilege 15 secret 5 ******************************
username user04 privilege 5 secret 5 ******************************
username user04 autocommand menu Admin
archive
log config
  hidekeys
!
!
!
!
!
!
track 101 ip sla 101 reachability
!
track 102 ip sla 102 reachability
!
!
!
interface Loopback1
ip address 172.16.1.10 255.255.255.255
!
interface Tunnel350101
description to filial via ISP 1 to ISP 1
ip unnumbered Loopback1
ip mtu 1500
ip ospf database-filter all out
keepalive 10 3
tunnel source Vlan101
tunnel destination F1.F1.F1.F1
tunnel mode ipip
!
interface Tunnel350202
description to filial via ISP 2 to ISP 2
ip unnumbered FastEthernet0/1
ip ospf database-filter all out
shutdown
keepalive 10 3
tunnel source X2.X2.X2.X2
tunnel destination F2.F2.F2.F2
tunnel mode ipip
!
interface Tunnel500101
description to Center via ISP 1 to ISP 1
ip unnumbered FastEthernet0/1
ip mtu 1500
ip ospf cost 10
keepalive 10 3
tunnel source Vlan101
tunnel destination C1.C1.C1.C1
!
interface Tunnel500203
description to Center via ISP 2 to ISP 2
ip unnumbered FastEthernet0/1
ip mtu 1500
ip ospf cost 20
keepalive 10 3
tunnel source X2.X2.X2.X2
tunnel destination C2.C2.C2.C2
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
description to LAN
ip address 172.16.1.1 255.255.255.248
ip nat inside
no ip virtual-reassembly
ip ospf database-filter all out
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 101
!
interface FastEthernet0/0/1
switchport access vlan 102
!
interface FastEthernet0/0/2
shutdown
!
interface FastEthernet0/0/3
shutdown
!
interface Vlan1
no ip address
shutdown
!
interface Vlan101
description ISP 1
ip address X1.X1.X1.X1 255.255.255.252
ip nat outside
no ip virtual-reassembly
!
interface Vlan102
description ISP 2
ip address X2.X2.X2.X2 255.255.255.252
ip nat outside
no ip virtual-reassembly
!
router ospf 51
router-id 10.40.40.19
log-adjacency-changes
redistribute connected subnets route-map OSPF
redistribute static subnets route-map OSPF
network 172.16.1.0 0.0.0.7 area 0.0.0.255
distribute-list 20 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 "GW ISP 1" track 101
ip route 0.0.0.0 0.0.0.0 "GW ISP 2" 50 track 102
ip route 10.40.35.0 255.255.255.0 Tunnel350101
ip route 10.40.41.0 255.255.255.0 172.16.1.2
ip route F1.F1.F1.F1 255.255.255.255 "GW ISP 1"
ip route F2.F2.F2.F2 255.255.255.255 "GW ISP 2"
ip route C1.C1.C1.C1 255.255.255.255 "GW ISP 1"
ip route C2.C2.C2.C2 255.255.255.255 "GW ISP 2"
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map 101_NAT_ISP_1 interface Vlan101 overload
ip nat inside source route-map 102_NAT_ISP_2 interface Vlan102 overload
ip nat inside source static tcp 172.16.1.2 20 X2.X2.X2.X2 20 extendable
ip nat inside source static tcp 172.16.1.2 21 X2.X2.X2.X2 21 extendable
ip nat inside source static tcp 172.16.1.2 22 X2.X2.X2.X2 22 extendable
ip nat inside source static tcp 172.16.1.2 25 X2.X2.X2.X2 25 extendable
ip nat inside source static tcp 172.16.1.2 53 X2.X2.X2.X2 53 extendable
ip nat inside source static udp 172.16.1.2 53 X2.X2.X2.X2 53 extendable
ip nat inside source static tcp 172.16.1.2 110 X2.X2.X2.X2 110 extendable
ip nat inside source static tcp 172.16.1.2 1723 X2.X2.X2.X2 1723 extendable
ip nat inside source static tcp 172.16.1.2 20 X1.X1.X1.X1 20 extendable
ip nat inside source static tcp 172.16.1.2 21 X1.X1.X1.X1 21 extendable
ip nat inside source static tcp 172.16.1.2 22 X1.X1.X1.X1 22 extendable
ip nat inside source static tcp 172.16.1.2 25 X1.X1.X1.X1 25 extendable
ip nat inside source static tcp 172.16.1.2 53 X1.X1.X1.X1 53 extendable
ip nat inside source static udp 172.16.1.2 53 X1.X1.X1.X1 53 extendable
ip nat inside source static tcp 172.16.1.2 110 X1.X1.X1.X1 110 extendable
ip nat inside source static tcp 172.16.1.2 1723 X1.X1.X1.X1 1723 extendable
!
ip sla 101
icmp-jitter "GW ISP 1" source-ip X1.X1.X1.X1 num-packets 20 interval 50
timeout 10000
threshold 10000
frequency 30
history hours-of-statistics-kept 3
ip sla schedule 101 life forever start-time now
ip sla 102
icmp-jitter "GW ISP 2" source-ip X2.X2.X2.X2 num-packets 20 interval 50
timeout 10000
threshold 10000
frequency 30
history hours-of-statistics-kept 3
ip sla schedule 102 life forever start-time now
logging facility local1
logging 10.40.50.1
logging 172.16.1.2
access-list 20 remark ============filtering incoming OSPF routes===========
access-list 20 permit 10.40.40.0
access-list 20 permit 10.40.50.0
access-list 20 permit 10.23.0.0
access-list 20 permit 10.20.0.0
access-list 20 permit 10.21.0.0
access-list 20 permit 172.16.255.0
access-list 20 permit 10.40.255.41
access-list 20 remark =====================================================
access-list 189 remark ======for OSPF redistribute & NAT via both ISPs=====
access-list 189 permit ip 172.16.1.0 0.0.0.7 any
access-list 189 permit ip 10.40.41.0 0.0.0.255 any
access-list 189 remark ====================================================
access-list 190 remark ======for OSPF redistribute=========================
access-list 190 permit ip 10.40.35.0 0.0.0.255 any
access-list 190 remark ====================================================
!
menu Admin title 
MENU

menu Admin text 1 Show Interfaces Status
menu Admin command 1 sh ip int bri
menu Admin options 1 pause
menu Admin text 2 Show routing table
menu Admin command 2 sh ip route
menu Admin options 2 pause
menu Admin text 3 Tunnel to filial (via ISP 2 to ISP 2)
menu Admin command 3 eve ma run filisp2
menu Admin text 4 Tunnel to filial (via ISP 1 to ISP 1)
menu Admin command 4 eve ma run filisp1
menu Admin text 5 Ping to ISP 1 GW ("GW ISP 1")
menu Admin command 5 ping "GW ISP 1"
menu Admin options 5 pause
menu Admin text 6 Ping to ISP 2 GW ("GW ISP 2")
menu Admin command 6 ping "GW ISP 2"
menu Admin options 6 pause
menu Admin text 7 Ping to Center ISP 1 (C1.C1.C1.C1)
menu Admin command 7 ping C1.C1.C1.C1
menu Admin options 7 pause
menu Admin text 8 Ping to Center ISP 2 (C2.C2.C2.C2)
menu Admin command 8 ping C2.C2.C2.C2
menu Admin options 8 pause
menu Admin text 9 Logoff
menu Admin command 9 exit
menu Admin clear-screen
menu Admin default 1
menu Admin single-space
!
!
!
route-map OSPF permit 10
match ip address 189 190
!
route-map 101_NAT_ISP_1 permit 10
match ip address 189
match interface Vlan101
!
route-map 102_NAT_ISP_2 permit 10
match ip address 189
match interface Vlan102
!
!
!
control-plane
!
privilege exec level 5 event manager run
privilege exec level 5 event manager
privilege exec level 5 event
privilege exec level 5 show ip route
privilege exec level 5 show ip interface brief
privilege exec level 5 show ip interface
privilege exec level 5 show ip
privilege exec level 5 show
!
line con 0
line aux 0
line vty 0 4
no motd-banner
exec-timeout 30 0
privilege level 15
login local
transport input telnet
line vty 5 15
no motd-banner
exec-timeout 30 0
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp server 10.40.50.4
event manager applet filisp2
event none
action 1.0 cli command "en"
action 1.1 cli command "conf t"
action 2.0 cli command "int Tunnel350202"
action 2.1 cli command "no shut"
action 2.2 cli command "exit"
action 3.0 cli command "no ip route 10.40.35.0 255.255.255.0 Tunnel350101"
action 3.1 cli command "ip route 10.40.35.0 255.255.255.0 Tunnel350202"
action 4.0 cli command "int Tunnel350101"
action 4.1 cli command "shut"
action 4.2 cli command "exit"
action 5.0 cli command "end"
event manager applet filisp1
event none
action 1.0 cli command "en"
action 1.1 cli command "conf t"
action 2.0 cli command "int Tunnel350101"
action 2.1 cli command "no shut"
action 2.2 cli command "exit"
action 3.0 cli command "no ip route 10.40.35.0 255.255.255.0 Tunnel350202"
action 3.1 cli command "ip route 10.40.35.0 255.255.255.0 Tunnel350101"
action 4.0 cli command "int Tunnel350202"
action 4.1 cli command "shut"
action 4.2 cli command "exit"
action 5.0 cli command "end"
!
end
Всего записей: 16 | Зарегистр. 16-06-2009 | Отправлено: 10:48 29-12-2010
JonJonson



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gorde, я бы жёстко согласовал интерфейсы по скорости и дуплексу.
И ещё, кису не обязательно ребутить. Повести на неё консоль и передёрните интерфейсы принудительно (shut и no shut). Сто процентов, что тунели поднимутся.  
 
Вопрос скорее здесь в модуле, который рассчитан на работу как LAN, а не как WAN
Всего записей: 135 | Зарегистр. 22-05-2004 | Отправлено: 11:08 29-12-2010
alespopov



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
icmp-jitter "GW ISP 1" source-ip X1.X1.X1.X1 num-packets 20 interval 50  

Гм, а если таки заменить "GW ISP 1" на нормальный IP ?
Или воовбще на 'icmp-echo' ? Извините, не совсем понял возможно Вашу мысль в идее именно jitter использовать ...
 
Добавлено:
 
Понял, -"GW ISP 1" там и есть IP, а jitrer что-б не по одному пакету судить.
Только уж маршруты на него надо указывать с  именем интерфейса, а не только IP.
Типа так (с моей конфы, - переделать под себя):
ip route 192.168.xxx.xxx 255.255.255.252 FastEthernet0/0.1 192.168.yyy.yyy name CO_IPVPN_link
И я согласен с JonJonson.
В целом, по конфигу, особых "где собака порылась" я не вижу ...
Разве что попробовать добавить, на всякий:
no spanning-tree vlan 101
no spanning-tree vlan 102


----------
Да помогут Вам те боги, в которых Вы верите
Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 11:12 29-12-2010 | Исправлено: alespopov, 12:36 29-12-2010
Gorde

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JonJonson
вешать циску на консоль нет ни какого смысла, к тому же консоль подключена к виндовому серваку, только вот НЕТУ связи с тем серваком когда провы упали!!! Циска в ДР. ГОРОДЕ!!!
По поводу модуля: никакого не стандартного использования этого модуля не происходит (работает он естественно в режиме свичинга и привязан в вланам - от него больше и не требуется). по поводу глючности КОНКРЕТНО ЭТОГО модуля я уже писал, что отправляли полностью такуюже циску с точно таким же модулем!!!
alespopov

Цитата:
ip route 192.168.xxx.xxx 255.255.255.252 FastEthernet0/0.1 192.168.yyy.yyy name CO_IPVPN_link  

не понял такого НАСИЛЬСТВЕННОГО маршрутизирования!!!
 
ИМХО спанинг-три тут просто не может быть виновен:
 1. почему тогда всетаки работает 1,5 суток
 2. плащадки у провов разные и точно не соеденены
 3. забив на первые два пункта получается что провы все таки где то соединены (пусть пиры будут) время схождения spanning-tree 1,5 суток и spanning-tree ложит не один а два инта!!!
Хотя добавил на всякий случай
 
 
Может подскажете что и как помониторить (проц там, память, инты), но тока чтоб писалось в лог что-то типа: Int error: to much tranfer packets error - buffer full
 
чтоб после перезагрузки циски мона было залезть на удаленный сислог и почитать?
 
З.Ы. только не просто "проц мониторить так то", а именно исходя из вашего мнения что может быть применимо именно к конкретной проблеме!!!
Всего записей: 16 | Зарегистр. 16-06-2009 | Отправлено: 02:56 30-12-2010 | Исправлено: Gorde, 03:03 30-12-2010
JonJonson



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
no spanning-tree vlan 101
no spanning-tree vlan 102

Кстати да. Вполне могут проскакивать пакеты от провайдеров.
 
Gorde, о консоли я написал только для того, что бы вы смогли понять, что киса не висит. В любом случае удалённо можно инструкцию дать, что бы проверили догатку.
 
Понятно что модуль в режиме коммутации. Он на то и рассчитан. А вот на провайдеров вам нужны скорее всего два независимых интерфейса. Кстати, вы можете произвести эксперимент. Настроить встроенный эзернет на одного из провайдеров и один из портов модуля на другого провайдера. И ощутить разницу.
Всего записей: 135 | Зарегистр. 22-05-2004 | Отправлено: 03:22 30-12-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня провайдеры "висят" не на модуле а на коммутаторе,  
в настройке портов я указываю
 
no vtp
no cdp enable
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
 
особенно важно не пропускать  bpdu,  такие пакеты прилетающие от прова  (ибо не всегда там продвинутые в настройках коммутаторов спецы) или от вас к прову блокируют порт,  
возможно они даже не ваши, а проскакивают с одного прова на другого и порты блокируются у них
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 09:47 30-12-2010 | Исправлено: Valery12, 09:49 30-12-2010
alespopov



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gorde

Цитата:
не понял такого НАСИЛЬСТВЕННОГО маршрутизирования!!!  

Вот почему:

Цитата:
"Причина этого поведения в том, что статические маршруты являются рекурсивными по природе."

Читаем вдумчиво Концепция работы статических маршрутов .


----------
Да помогут Вам те боги, в которых Вы верите
Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 15:28 30-12-2010 | Исправлено: alespopov, 11:22 08-04-2011
Luckas

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если есть ещё кто живой, помогите!
Поменяли zyxel660r2 на cisco877k9 (advsec). На зухеле были прописаны постоянные маршруты. 877, как мне кажется, настроил

Код:
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
clock timezone EET 2
clock summer-time EET recurring last Sun Mar 3:00 last Sun Oct 4:00
!
crypto pki trustpoint TP-self-signed-234362756
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-234362756
 revocation-check none
 rsakeypair TP-self-signed-234362756
!
!
crypto pki certificate chain TP-self-signed-234362756
 certificate self-signed 01
  3082024D 308201B6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274  
  69666963 6174652D 32333433 36323735 36301E17 0D313130 31303631 30353531  
  395A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F  
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3233 34333632  
  37353630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100  
  C371FC02 A04E78FA 93E9B4E2 27BFD95D 167D3CBB 31621C4A 0F1B7D1C CDBF8A65  
  B3098481 88C6831C C78646F1 1C953768 7214EEE6 EFB39A51 061DCEF7 A1767733  
  E38E3317 BB4C6FD2 8BA5C7B0 3A414A3A 307260EB BB988B6B 2C094DB0 244FB00E  
  97E5A847 881B9C2A 2AC4F309 0A129535 908A9C14 D937F24F 69D11F16 9527278B  
  02030100 01A37730 75300F06 03551D13 0101FF04 05300301 01FF3022 0603551D  
  11041B30 19821779 6F75726E 616D652E 796F7572 646F6D61 696E2E63 6F6D301F  
  0603551D 23041830 16801483 35E9B40D 212CF2FF 67F075B1 668DA561 B22F3C30  
  1D060355 1D0E0416 04148335 E9B40D21 2CF2FF67 F075B166 8DA561B2 2F3C300D  
  06092A86 4886F70D 01010405 00038181 002EF88A 3EB8E24F 692C1F8E 158DCB00  
  C0496ACD 3706DB01 4BF360E3 4E8C224B 64680E89 C629D719 68F7418E 8A623B63  
  239A9935 0B05522B DE44888B EE97CF6F 9ECDB469 6FA00E5F 5F73D175 F484F410  
  9BC7DB2D BCF36675 4B696486 DB06A546 AABE7AB9 CADA5529 DF4EF7FB FDC8919E  
  3FDEAF6F 6AF7C03B 98058596 52C164C6 A9
      quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name yourdomain.com
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
username cisco privilege 15 secret 5 $1$9/qv$g.W0Q6NrTEIXugvsJhxe11
!  
!
archive
 log config
  hidekeys
!
!
!
bridge irb
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no atm ilmi-keepalive
 dsl operating-mode auto  
!
interface ATM0.1 point-to-point
 description ADSL to ByFly camon
 pvc 0/33  
  encapsulation aal5snap
  pppoe max-sessions 2
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1  
 ip unnumbered Vlan1
 ip nat inside
 ip virtual-reassembly
 peer default ip address pool VPNPOOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication ms-chap ms-chap-v2 chap
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 ip address 192.168.1.221 255.255.255.0
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
interface Dialer0
 description ByFly main
 mtu 1492
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1452
 ip nat outside
 ip nat enable
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname ****
 ppp chap password 7 ****
 ppp pap sent-username **** password 7 ****
 ppp ipcp dns request
!
ip local pool VPNPOOL 192.168.1.251 192.168.1.253
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 192.168.1.1
ip route 192.168.3.0 255.255.255.0 192.168.1.1
ip route 192.168.4.0 255.255.255.0 192.168.1.1
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
bridge 1 protocol ieee
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 30 0
 privilege level 15
 logging synchronous
 login local
 transport input ssh
 transport output ssh
!
scheduler max-task-time 5000
ntp clock-period 17183731
ntp server 86.57.151.3 key 0 prefer
end

Интернет появился, однако, не работают удалённые банковские терминалы, указанные в маршрутах, и банк-клиент из локалки... В чём моя ошибка (не судите строго - это моя первая 877). Схема сети простая: ADSL(PPPoE)->CISCO->HUB->LAN
Всего записей: 52 | Зарегистр. 18-08-2006 | Отправлено: 21:55 06-01-2011
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Интернет появился, однако, не работают удалённые банковские терминалы, указанные в маршрутах
я так понимаю эти терминалы в сетях 2.0 3.0 и 4.0
а в конфиге
 
ip nat inside source list 1 interface Dialer0 overload
access-list 1 permit 192.168.1.0 0.0.0.255
 
значит "натятся" только адреса 1.0
 
и еще
 
interface Dialer0
 ip nat outside
 ip nat enable  
 
определись какой НАТ нужен
 
 
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 13:57 07-01-2011
Luckas

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 Valery12:
"определись какой НАТ нужен"
Вообще-то это я "слизал" с чужой рабочей настройки...
Но рассуждал примерно так:  
ip nat enable - разрешает НАТ как таковой
ip nat outside - разрешает трансляцию извне
Разъясните тёмному что не так.
 
"я так понимаю эти терминалы в сетях 2.0 3.0 и 4.0" - да, всё верно
access-list 1 permit 192.168.0.0 0.0.255.255
Так верно?
 
Но, как мне кажется, Ваши замечания не помогут мне ответить на вопрос - почему не работает банк-клиент?
Который использует ТСР и порт 9971
Всего записей: 52 | Зарегистр. 18-08-2006 | Отправлено: 19:50 08-01-2011
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ip nat enable - разрешает НАТ как таковой  
ip nat outside - разрешает трансляцию извне  
Разъясните тёмному что не так.  
ip nat outside или inside это классический NAT где мы однозначно указываем какой интерфейс внешний а какой внутренний
а вот ip nat enable это новая технология, называется NAT NVI, вместо outside или inside на всех нужных интерфейсах указываем ip nat enable и в зависимисти от ACL для отдельного пакета может быть или прямая или обратная трансляция.
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 22:53 08-01-2011
roma



skydiver		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12

Цитата:
называется NAT NVI

чё-то я вот долго читал и так и не понял. оно только с VRF-ками работает или с нормальными интерфейсами тоже?
Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 10:53 09-01-2011
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
или с нормальными интерфейсами тоже?

да и с нормальными тоже, главное чтобы ИОС поддерживал.
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 17:37 09-01-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru