Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток!
 
Подскажите какие-нибудь примеры конфигурирования vpdn pptp для cisco 2821 (12.4 ios) или, возможно, официальные описания.
Гуглил. Пробовал конфигурить как в официальном мане (но там 12.2)http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00801e51e2.shtml - есть проблема в больших задержках пакетов на внутреннем интерфейсе сразу после подключения виндового клиента и передачи каких-либо данных.
 

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 17:24 22-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrawWar Как я уже сказал, pptp - в топку, лучше L2TP/IPSec. Поддерживается стандартными виндузовыми клиентами, настраивается на циске и клиентах вполпинка.
 

Код:
aaa authentication login default local
aaa authentication ppp L2TP local
aaa authorization network L2TP local
 
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
 
username pppuser1 password 0 "verysecret"
username pppuser2 password 0 "verysecret2"
 
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key yoursharedkey address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 3600
!
!
crypto ipsec transform-set TS1 esp-3des esp-sha-hmac
 mode transport
!
crypto dynamic-map L2TP_MAP 10
 set nat demux
 set transform-set TS1
!
!
crypto map CRYP_MAP 6000 ipsec-isakmp dynamic L2TP_MAP
 
interface FastEthernet0/0
 ip access-group 101 in
 ip address 1.1.1.1 255.255.255.0
  ip virtual-reassembly
 speed 100
 full-duplex
  crypto map CRYP_MAP
 
interface FastEthernet0/1
 ip address 10.1.1.1 255.255.255.0
 ip nat inside
  ip virtual-reassembly
 speed 100
 full-duplex
 
interface Virtual-Template1
 ip unnumbered FastEthernet0/1
 ip mtu 1240
 ip virtual-reassembly
 ip tcp adjust-mss 1200
 peer default ip address pool l2tppool
 ppp mtu adaptive
 ppp authentication ms-chap-v2 L2TP
 ppp authorization L2TP
 ppp ipcp dns 10.1.1.1  
 
ip local pool l2tppool 10.1.1.240 10.1.1.250
.......
access-list 101 permit udp any host 1.1.1.1 eq isakmp
access-list 101 permit udp any host 1.1.1.1 eq 1701
access-list 101 permit udp any host 1.1.1.1 gt 4000
 

Как-то вот так

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 18:55 22-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При этом привязка пользователей к IP будет работать?
Например:

Код:
aaa authorization network default local
 
aaa attribute list user-ivanov
 attribute type addr "10.10.10.51" service ppp protocol ip
 
username ivanov privilege 0 password IvanovsPassword
username ivanov aaa attribute list user-ivanov
 

 
 
 
Добавлено:
Да и всё здорово, конечно, просто есть ещё удаленные железки, которые уже настроены на PPTP. Поделитесь если у кого есть настроенный конфиг PPTP на c2800nm-advsecurityk9-mz.124-24.T1 или подскажите что зашить, чтобы работало.
 
Попробую до c2800nm-advsecurityk9-mz.124-24.T5 зашить.

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 08:29 23-08-2011 | Исправлено: DrawWar, 10:51 23-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrawWar
Цитата:
При этом привязка пользователей к IP будет работать?  
А что мешает тупо проверить?
 

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:35 23-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
DrawWar  
Цитата:
При этом привязка пользователей к IP будет работать?  
А что мешает тупо проверить?  

Полюбому будет Спасибо, но сначала IOS обновлю, если уже это не поможет, то сделаю L2TP.

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 12:00 23-08-2011
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Поделитесь если у кого есть настроенный конфиг PPTP на c2800nm-advsecurityk9-mz.124-24.T1


Код:
ip dhcp pool metaxgroup
   network 172.31.0.0 255.255.255.248
   default-router 172.31.0.1  
   dns-server xx.xx.xx.xx xx.xx.xx.xx
!
vpdn enable
!
vpdn-group AUS_Vienne
 accept-dialin
  protocol pptp
  virtual-template 26
!
interface Virtual-Template26
 ip unnumbered Loopback0
 ip virtual-reassembly
 peer default ip address dhcp-pool metaxgroup
 no keepalive
 ppp encrypt mppe auto
 ppp authentication pap chap ms-chap

ios advipservicesk9 12.4(22)T5

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 12:34 23-08-2011 | Исправлено: slut, 13:10 23-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошился на c2800nm-advsecurityk9-mz.124-24.T5
PPTP отлично коннектится с линуксовых и виндовых машинок. Казалось бы всё. Но..
 
Но. IPhone 3 не коннектится вернее 1 из 20 раз коннектится, если через 3G, а через Wi-Fi точку - всё гуд
 
Кто-нибудь сталкивался с подобным?
 
ps спасибо за конфиги

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 09:00 24-08-2011
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrawWar
не все операторы 3G одинаково полезны.
например megafon без включения услуги статический ip режет впн.

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 09:07 24-08-2011
DiZka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую.
Есть ли какая то методика или формула для расчета оптимального количества VLAN для конкретного оборудования Cisco?
Или где что можно почитать по этому поводу. А то настраиваю VLAN-ы а задался вопросом будет ли справлятся CISCO 2901/K9 c 8 VLAN ну и компом 250 в сети?

Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 09:14 24-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
не все операторы 3G одинаково полезны.  
например megafon без включения услуги статический ip режет впн.

Даже с фиксированным IP подключается раза с 20-ого. Причём когда включаю debug vpdn packet и цыска начинает подтормаживать - тогда всё подключается с первого раза  
 
Добавлено:

Цитата:
задался вопросом будет ли справляться CISCO 2901/K9 c 8 VLAN ну и компом 250 в сети?

DiZka
При разных задачах - разная нагрузка. Железка то не гавно, должна держать 250 компов
Нигде по этому поводу не видел мануалов.

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 09:49 24-08-2011
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2901 сопоставима по мощности с 7200 NPE300, она и гораздо больше потянет.
Как уже сказано: при разных задачах - разная нагрузка.
Обычно оотталкиваются от различных sheets типа Cisco Router performance

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 10:19 24-08-2011
DiZka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slut
DrawWar
Спасибо.
 
А еще такой вопросик можно, как бы зарезервировать этот маршутизатор?
Т.е. есть еще один 2901/K9 хочется его поставить в резерв или в пару. Т.к. сеть раскидана по 3 зданиям. Оптимизировать как то хочется конфигурацию.
 
Сейчас получается:
 
Router -> Switch 2960 -> Switch 2960 -> и т.д.
 
Можно в эту схему воткнуть еще Router в помошь или в резерв или смысла от этого не прибавится?

Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 10:45 24-08-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrawWar
Цитата:
Кто-нибудь сталкивался с подобным?  
PPTP для своей работы требует, чтобы провайдер пропускал протокол GRE. Но как верно заметил zubastiy,
Цитата:
не все операторы 3G одинаково полезны.  
А для L2TP/IPSec GRE не требуется, все, что ему нужно - это открытые UDP порты 1701, 500 и 4500.  
Сталкивался с этим при настройке доступа с айпада.
 

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:06 24-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
DrawWar  
Цитата:
Кто-нибудь сталкивался с подобным?  
PPTP для своей работы требует, чтобы провайдер пропускал протокол GRE. Но как верно заметил zubastiy,
Цитата:
не все операторы 3G одинаково полезны.  
А для L2TP/IPSec GRE не требуется, все, что ему нужно - это открытые UDP порты 1701, 500 и 4500.  
Сталкивался с этим при настройке доступа с айпада.  

Это всё, конечно, очень логично... особенно после моих слов:

Цитата:
Даже с фиксированным IP подключается раза с 20-ого. Причём когда включаю debug vpdn packet и цыска начинает подтормаживать - тогда всё подключается с первого раза

Да и пробовал 3х операторов - с iphone и ipad - беда, а через 3G модем - без проблем. Так что оператор тут не при делах

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 12:55 24-08-2011
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DrawWar
Тогда реквистируйте запрос в саппорт apple, логично жеж?

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 17:44 24-08-2011
slut



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DrawWar
В AppleStore доступен Cisco AnyConnect для iPhone, проверял на 3GS и 4 - всё изумительно работает.

Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 17:52 24-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
zubastiy
Тогда реквистируйте запрос в саппорт apple, логично жеж?
 
slut
Cisco AnyConnect для iPhone, проверял на 3GS и 4 - всё изумительно работает.
 

zubastiy
Конечно, логично Особенно это мнение нравится на одном из крупнейших форумов андеграунда рунета
 
slut
Нет у меня айфона У пузатых руководителей айфоны и айпады. Устанавливать дополнительную программу при живой встроенной функции - грабли как ни крути, да и не будут они так париться, но виноваты будем мы хоть и L2TP поднимать тоже грабли но, судя по всему, куда деваться?))
 
 Отпишусь об окончательном решении - вдруг кому пригодится.

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 23:51 24-08-2011
DrawWar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Итак. L2TP поднял по следующей инструкции (слизано с забугорного сайта):
Читать дальше..
iPhone коннектится спокойно, без выпендрежей. Рядом крутится PPTP - у виндовых машинок и железок проблем не возникло.
 
Cisco 2821 прошивка c2800nm-advsecurityk9-mz.124-24.T5.bin
 

 
Всем
 
Добавлено:
может кто ещё сталкивался: как автоматически выдавать dns-суффикс клиентам VPN без DHCP пула?

Всего записей: 94 | Зарегистр. 31-10-2008 | Отправлено: 13:11 25-08-2011 | Исправлено: DrawWar, 13:13 25-08-2011
vd_agent

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день
 
Возможно ли организовать данную схему на маршрутизаторах
 
Есть 2 мартутизатора R1  и R2 по 5 интерфейсов каждый соединенные между собой.
 
К R1 подключены 2 сети: LAN10 и LAN30.
К R2 подключены 2 сети: LAN20 и LAN10.
 
1. Как сделать чтобы LAN10 R1 и LAN10 R20 были в одном адресном пространстве?
2. LAN20 R2 и LAN30 R1 видели друг друга (были маршруты)?
3. LAN10 R1 и LAN10 R2 не видели пакеты LAN20 R2 и LAN30 R1?
 
спасибо

Всего записей: 82 | Зарегистр. 18-10-2005 | Отправлено: 17:55 05-09-2011
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vd_agent

Цитата:
1. Как сделать чтобы LAN10 R1 и LAN10 R20 были в одном адресном пространстве?  

 Непонятно, сколько интерфейсов из пяти задействовано (я насчитал три) и как R1  и R2 соединены между собой. Допустим, через interface FastEthernet 0/2 (а через  FastEthernet 0/0 и  FastEthernet 0/1 подключены LAN10 и LAN30).
Разбиваем FastEthernet 0/2 на два вилана. один используем для бриджа (объединяем в bridge-group 1 с FastEthernet 0/0), другой для маршрутизации. На втором роутере поступаем аналогично. В результате LAN20  и LAN30 смаршрутизованы (прописываем маршруты), а LAN10 R1 и LAN10 R2 тупо сбриджеваны.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:06 05-09-2011 | Исправлено: vlary, 22:07 05-09-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru