Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почему 3560 не даёт добавить маршруты к подсетям?
 

Код:
C3560(config)#ip route 172.17.0.0 255.255.192.0 192.168.64.2
%Inconsistent address and mask
C3560(config)#ip route 172.17.0.0 255.255.224.0 192.168.64.2
%Inconsistent address and mask
C3560(config)#ip route 172.17.0.0 255.255.240.0 192.168.64.2
%Inconsistent address and mask
 

При этом, конкретно там же через тот же шлюз, но /24 вполне проходит?
 

Цитата:
C3560(config)#ip route 172.17.1.0 255.255.255.0 192.168.64.2
C3560(config)#ip route 172.17.3.0 255.255.255.0 192.168.64.2
C3560(config)#exit
 


Код:
!
ip route "White IP" 255.255.255.240 192.168.64.2
ip route 172.17.1.0 255.255.255.0 192.168.64.2
ip route 172.17.3.0 255.255.255.0 192.168.64.2
ip route 192.168.128.0 255.255.255.0 192.168.64.2
!
 


Код:
 
C3560#sh ip route
 
Gateway of last resort is not set
      90.0.0.0/28 is subnetted, 1 subnets
S        "White Subnet" [1/0] via 192.168.64.2
      172.17.0.0/24 is subnetted, 2 subnets
S        172.17.1.0 [1/0] via 192.168.64.2
S        172.17.3.0 [1/0] via 192.168.64.2
      192.168.64.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.64.0/24 is directly connected, Vlan7
L        192.168.64.3/32 is directly connected, Vlan7
S     192.168.128.0/24 [1/0] via 192.168.64.2
C     192.168.208.0/22 is directly connected, Vlan2
      192.168.208.0/32 is subnetted, 1 subnets
L        192.168.208.22 is directly connected, Vlan2
 


----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:10 13-11-2017
alespopov



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
"ip classless" может надо включить ?
Оно ?

Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 12:42 13-11-2017
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кроме  
(config)#ip classless
попробуй еще  
(config)#ip subnet-zero  


----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 15:07 13-11-2017 | Исправлено: ipmanyak, 15:21 13-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ага, точно
ip subnet-zero
ip classes не сработали

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:46 13-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возвращаясь к разговору о статическом NAT
Поднял в подсети хост с частным адресом. 2911 у него как шлюз по умолчанию. Они в одной подсети.
Строка конфигурации static nat так, как указал профессор, а именно, первым - внутренний адрес, а затем внешний - работает.
ip nat inside source static 192.168.128.11 "White IP"
Наоборот же, как в вичке, не работает. Хотя, ресурс не плохой.
Не знаю, кто и где ошибается, но есть еще такая строка, как
ip virtual-reassembly
На in интерфейсе она соответственно in, на out - out, что логично. Почему я об этом упоминаю, так это потому, что у меня не работало ни как у профессора, ни как у вички, пока я не привел в указанное соответствие, почему-то было иначе. Так что может никто и не ошибается.
Скажите, что за строчка такая?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:06 14-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Скажите, что за строчка такая?
Если включен НАТ, добавляется автоматически
Цитата:
VFR is designed to work with any feature that requires fragment reassembly
 (such as Cisco IOS Firewall and NAT).  
Currently, NAT enables and disables VFR internally;  
that is, when NAT is enabled on an interface,  
VFR is automatically enabled on that interface.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 10:52 15-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Ну, то есть, получается, что меняя адреса я сам и наваял несовпадение in out... На интерфейсе, где было nat inside была строка ip virtual-reassembly out и наоброт. Как вообще должно быть? Хочу полностью оправдать философию Cisco: настроил и забыл. Но настроить надо правильно...
Конфиг

Код:
!interface GigabitEthernet0/0
 ip address White IP address 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 ip virtual-reassembly out
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.128.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
...
!
ip nat inside source static 192.168.128.27 White IP address

Всё работает.
Утверждаем?
 
Добавлено:
Во, сам только увидел, что

Код:
ip address White IP address 255.255.255.240  
  ip nat outside  
  ip virtual-reassembly in  
  ip virtual-reassembly out  



----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:02 15-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Как вообще должно быть?
Оставь просто ip virtual-reassembly там и там, и не заморачивайся.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:37 16-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yes, sir!
 
Теряется ли MAC адрес источника при прохождении коммутаторов, использующих Inter VLAN Routing?
Допустим, трафик идёт из вилана2 в вилан 3 через два коммутатора, на каждом из них включен упомянутый роутинг.
У меня вообще-то кривая задача этот МАС видеть. Оконечное устройство, NAT, использует его для идетнификации источников.
И важно ли где этот роутинг включен? На 2960 или на 3560 могу на выбор. Пока еще
 
Добавлено:
Пардон, поправил... Не на "одном из них" включен InVLAN routing, а на каждом.

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:30 16-11-2017 | Исправлено: Paromshick, 18:01 16-11-2017
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Paromshick
MAC-table строится для отдельного VLAN'а, поэтому смаршрутизированное с vlan2 в vlan3 - на конечном устройстве MAC не увидишь
Пример не из циски, но смысл тот же:

Код:
> show ethernet-switching table
Ethernet-switching table: 58 entries, 48 learned, 0 persistent entries
  VLAN              MAC address       Type         Age Interfaces
  local_5          *                 Flood          - All-members
  local_5          10:0e:7e:83:dd:c8 Static         - Router
  local_xxx        *                 Flood          - All-members
  local_xxx        06:0a:49:43:xx:xx Learn          0 ae0.0
  local_xxx        0a:12:11:00:xx:xx Learn          0 ae0.0
  local_xxx        10:0e:7e:83:xx:xx Static         - Router
  local_xxx        50:e5:49:43:xx:xx Learn          0 ae0.0
  local_xxx        8c:e7:48:c0:xx:xx Learn          0 ae0.0
  local_xxx        8c:e7:48:c0:xx:x Learn          0 ae0.0
 

Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 19:48 16-11-2017 | Исправлено: vertex4, 19:50 16-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Теряется ли MAC адрес источника
MAC адрес имеет смысл только внутри L2 сегмента.
А роутинг это уже L3. IP пакеты находятся внутри Ethernet фреймов, а не наоборот.
Ну кроме каких либо экзотических случаев, типа Ethernet-over-IP.
Если ты почитаешь какую-нибудь познавательную книжку, типа
TCP/IP Illustrated, то увидишь, что в заголовках IP пакетов просто не отведено
места для МАС адресов.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:52 16-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Если я об этом спрашиваю, то это не значит, что не знаю.
Если сравнить трафик с почтовым, то маршрутизаторы, это пункты сортировки. Особенностью является то, что в отличие от посылки, адрес здесь написан под обёрткой со штрих-кодами (МАС'ами) И на каждом из пунктов сортировки, с посылки срывается обёртка с её штрих-кодами, смотрится адрес, который под обёрткой, заново упаковывается, но уже с новыми штрих кодами и отсылается следующему маршрутизатору, пардон, пункту сортировки. Тут я вам книжку сам напишу, с картинками.
 
Но есть же упомянутые экзотические случаи, это раз, а главное, есть незабвенный вендор, вынесенный в заглавие. Он мог решить иначе, разве нет? У девайса свой МАС. Ведь так же? Так. И своя таблица МАС, кто на каком порту сидит. Случай, когда один сидит на двух портах... ну, вы понимаете.
Следовательно, вендор мог рассудить, что если осуществляется IP адресация внутри одного девайса, тот же InterVLAN routing, то який сенс менять ему МАС??? Вот поднял я, подлец, внутри одного девайса несколько IP интерфейсов в VLAN'ах, между которыми происходит IP роутинг. Стандартная штука. Они в разных "свичах" и даже IP подсетях, но в одном девайсе. Подумайте. Либо он будет всем шлёпать свой МАС, либо какие???
Так что вопрос не столь глупый, как показалось.
У этого девайса своя таблица MAC адресов.
И что там решил вендор...
Практика - критерий истинности (С) дощло до меня к концу написания этого поста.
Проверим
 
Добавлено:
Он нащлёпает им адрес порта скорее всего. Ведь у каждого порта свой МАС.
Как-то так, видимо... хтознает... проверим

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 06:42 17-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick
Цитата:
Он нащлёпает им адрес порта скорее всего. Ведь у каждого порта свой МАС.  
Куда-то тебя вообще не в ту степь понесло.
У каждого порта нет своего МАС. Он есть у интерфейса.
У каждого устройства (вернее, его сетевого интерфейса) тоже есть МАС,
но он имеет смысл только внутри данного куска провода (хаба, свича).
VLAN, грубо говоря, тоже кусок провода, один из виртуальных свичей,
размазанный по нескольку реальных свичей.
У свичей есть база МАС адресов, в  которой записано, через какой порт доступен
какой МАС. Если к порту подключен ПК, то там один МАС. Если другой свитч,
там может быть их сотни, те, которые подключены к этому свичу, и те, которые
 подключены к следующим свичам.
Когда приходит эзернет фрейм, свич смотрит на МАС назначения, и направляет его
на нужный порт или другой свитч. Айпи ему пофиг, во фрейме его может вообще
не быть, если там ходит какой-нибудь IPX или Apple Talk.
В случае если свитч поддерживает VLAN, то у него своя база для каждого из них.
Он определяет VLAN по соответствующему тегу и консультируется с нужной базой.
Свичи L3 имеют встроенный IP router, который осуществляет маршрутизацию
как обычный роутер . Отличие в том, что функции сильно урезаны,
зато основные решены на аппаратном уровне с помощью
специализированных микросхем. Потому намного большая пропускная способность.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:11 17-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Куда-то тебя вообще не в ту степь понесло.  

Ага. Попробуйте и лабораторки в продакшене делать и в нём же LUNы терять на ESXi. Я уже не мальчик

Цитата:
VLAN, грубо говоря, тоже кусок провода, один из виртуальных свичей,  размазанный по нескольку реальных свичей.  У свичей есть база МАС адресов, в  которой записано, через какой порт доступен  какой МАС. Если к порту подключен ПК, то там один МАС.

А если компы подключены к одному свитчу, но разным VLAN и подсетям? Что в этом случае?
 
Я же говорю, есть кривая задача. Задача под эту задачу (она, ага) построить конфиг. Так вот, в случае, если к одному свитчу, в разных виланах воткнуты клиенты и фаер, горячо любимый кем-то и за что-то MikroTik, который клиетнов шейпит по МАС. Не спрашивайте меня зачем, - пожелание заказчика. Мне надо тогда, что б он видел МАСи клиентов
Сейчас в каждом "куске провода" свой микрОтик. Мне это НЕ нравится.
Хочу один. Да еще и с одним внутренним интерфейсом, и в свой, отличный от клиентских "кусков провода" воткнутый. Ясно, что между ними будет маршрутизация. Но не ясно, зачем свитчу при этом МАС менять...
Ничто не мешает воткнуть его, фаер разными интерфейсам в каждый из виланов, но это красиво?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:17 17-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Paromshick

Цитата:
А если компы подключены к одному свитчу, но разным VLAN и подсетям? Что в этом случае?  
В этом случае они не будут знать маки друг друга.
Их знать будет только роутер, чей интерфейс находится  
в данном  VLAN и подсети.
Даже если 2 ПК находятся в одном VLAN (свиче), но разных подсетях,  
друг друга они не увидят. Нужен будет посредник - роутер.
Скажем, есть на одном проводе две подсети, 192.168.0.0/24 и 192.168.1.0/24.
Если ПК 192.168.0.5 нужно будет пообщаться  с 192.168.0.12, он выполнит арп запрос,
узнает МАС 192.168.0.12, и свяжется с ним напрямую.
А если с 192.168.1.20, он даже не будет выполнять арп запрос.
У него есть МАС его дефолт шлюза, либо шлюза в сеть 192.168.1.0/24, если он прописан.
Он кинет по этому МАС эзернет пакет, в который завернут IP пакет с адресом источника
192.168.0.5, и адресом назначения 192.168.1.20. Шлюз перепакует пакет в фрейм
с МАС  192.168.1.20, если у него есть интерфейс в этой сети.
А если нет, перепакует пакет в фрейм с МАС своего дефолт шлюза,
или шлюза в сеть 192.168.1.0/24, если такой имеется.
Заметь, IP самих шлюзов в пакетах даже не фигурирует.
Равно как и МАС ПК 192.168.0.5 во фреймах после роутера.    

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 18:49 17-11-2017
Paromshick



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Если писать книжку с картинками, то можно сказать короче. И как это до меня сразу не дошло...
Зачем держать у себя штрих коды иностранных корреспондентов, когда достаточно знать только адрес таможни? А он там сам уже разберётся, кому ласты завроачивать
Было ще пару вопросов из серии "а давайте изобретём что-то двухколёсное", но я их подзабыл.  
Хотя почему, вот, очередной, но чисто прикладной вопрос, связанный с предыдущим. Можно ли на 3560 настроить так, чтоб роут 0.0.0.0, либо какой-то его квазианалог был свой для каждого вилана?
То есть для подсети 192.168.1.0 шлюзом был бы 192.168.1.10, а для 192.168.2.0 192.168.2.10 и т.п. Только это не интерфейсы виланов,  и не статические маршруты, а некий аналог 0.0.0.0 В каждом вилане свой шлюз на 0.0.0.0 отличный от других проводов
Я понимаю, что на 0.0.0.0 будет заворачиваться трафик из любой подсети, если иного не описано. И, видимо, так и есть. Но вдруг. Вдруг можно сделать что-то двухколёсное, но не велосипед
Типа маршрутизатора на палочке, но своего для каждого вилана.
Бред, конечно...
И всё. Спать

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:46 17-11-2017
vertex4

Moderator
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Paromshick
VRF пользуй. Но Base-лицензии для этого мало, нужна IP Services license
 
Добавлено:
Подробнее:  
VRF позволяет создать несколько виртуальных маршрутизаторов с независимыми таблицами маршрутизации. Поэтому можно хоть 0/0 через разные шлюзы в разных vrf делать (что ты и хочешь)

Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 23:00 17-11-2017 | Исправлено: vertex4, 23:02 17-11-2017
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
для полноты вариантов можно еще PBR использовать, но то тоже, это с IP Base не прокатитс.

Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 01:30 18-11-2017
Elenada

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 3 | Зарегистр. 01-11-2017 | Отправлено: 14:26 21-11-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Elenada
По поводу тети Аси лучше в эту тему: Cisco PIX Firewall / ASA
У нее свои заморочки.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:59 21-11-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru