Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
roma



skydiver
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
возник вопрос.
2960 15.0(2)SE9  
2960x 15.2(2)E7
и ещё несколько 2960 xr rx обычные.
делаю задачу kron которая вызывает скрипт cli tclsh flash:имя_скрипта
скрипт содержит инструкции exec и ios_config
 
там где нет aaa new-model (например login local в line) скрипт отрабатывает как надо.
а вот есть ааа настроен (аутентификация,авторизация) скрипт не выполняется. однако если исключить из него инструкции exec и ios_config то начинает выполняться (правда пользы от него в этом случае нету)
 
чтобы такого сделать? подозрение на конфиг ааа, но подтверждения этому нету
ошибка в дебаге kron  

Код:
Jul 23 16:12:00.471: Major 1, Minor 0
Jul 23 16:12:00.471: Timer Event AVAYA_INT_DESC
Jul 23 16:12:00.471: Kron delay for next AVAYA_INT_DESC 86400000
Jul 23 16:12:00.471: Call parse_cmd 'tclsh flash:avaya_int_desc.tcl'
Jul 23 16:12:00: %SYS-5-CONFIG_I: Configured from console by vty2
Jul 23 16:12:00.478: Kron CLI return 0
'
**CLI 'tclsh flash:avaya_int_desc.tcl':
WARNING: Failed to initialize TbcLoad.'
Jul 23 16:12:00.478: Major 4, Minor 7
Jul 23 16:12:00.478: Respond to end of CLI Process

делался дебаг по ааа и такаксу также, но попыток авторизовать команды на такаксе не было.
 
ещё странности - там где не выполняется целевой скрипт так же не НОРМАЛЬНО выполняются из крона например cli show users | redirect flash:xxx.log и cli show line summary | redirect flash:yyy.log
файлы xxx.log и yyy.log на флешке создаются но содержат какой-то не полный вывод команд
 
на тех устройствах где целевой скрипт нормально работает и выводы команд полные, через которые становится понятно что kron выполняется с пользователем без имени и неаутентифицированным.
и почему-то в этих версиях иоса запланировать kron от определённого пользователя как написано в интернетах нельзя.

Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 14:21 23-07-2021
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
roma
Вроде как циска выполняет авторизацию джоба в момент его создания, а не выполнения.
Ну и еще. В конфиге ААА присутствует контроль авторизации? Типа
aaa authorization exec default local
Например, создаешь юзера с уровнем 15, но без этой строчки  
цепляется он к циске все равно с минимальными правами,
и требуется вводить энейбл для выхода на уровень 15.
А при наличии этой строчки он сразу попадает на указанный ему уровень.
Еще можно через скрипт ивент менеджера делать,
там тоже есть возможность его по времени запускать. .  

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 20:49 23-07-2021
roma



skydiver
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Вроде как циска выполняет авторизацию джоба в момент его создания, а не выполнения.

я тоже на это рассчитывал, но как она узнает кто создал джоб если перезагрузится? как я уже говорил в тех версиях иоса что есть, в строке создания задания имя указать невозможно (хотя в некоторых мануалах такое есть)
 

Цитата:
Ну и еще. В конфиге ААА присутствует контроль авторизации? Типа
aaa authorization exec default local

да конечно.

Код:
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 1 default none
aaa authorization commands 15 default group tacacs+ if-authenticated

это было первое подозрение, пробовал убирать if-authenticated и в екзек ив коммандс.
скрипт делает две команды show lldp neighbors и show interfaces status (с пайпами, но не думаю что влияют пайпы)
по сути это команды уровня 1 (им даже энейбл не нужен) даже дописал на всякий случай чтобы команды 1го уровня не требовали авторизацию (ну и проверил дебаг ааа и такакс - действительно при нормальной работе ааа на себе это замыкал, на такакс не отдавал)
 
однако делал тестовую задачу в кроне cli show privilege показывала 15.
disable не помог, всё равно 15.  
т.е. было
Код:
cli disable
cli show privilege | redirect flash:zzz.log

по итогу в логе 15.
я где-то читал что для крона все команды из последовательности как новые.
 
и я бы понял если бы в дебаге ааа/такакс были отлупы по авторизации при попытке выполнить команды скриптом (tclsh) но ошибка единственная (ту что я привёл) и она похоже возникает на этапе компиляции скрипта (хотя не уверен что он именно компилируется)
 

Цитата:
Еще можно через скрипт ивент менеджера делать,

к сожалению в 2960 (обычные x xr) eem почему то нету - это была первая мысль (там то пользователя точно можно задать)
 
в общем, пока задача рассыпалась на две:
1. поиск прав (в том числе от кого выполняется) задача крона и как на это влияет секция ааа
2. как понять какие права у скрипта запущенного из крона

Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 08:59 24-07-2021
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
roma

Цитата:
к сожалению в 2960 (обычные x xr) eem почему то нету
Ключевое слово? Может, и крон  
на этих свичах, в отличие от полноценных роутеров, реализован кривовато?
К сожалению, не могу проверить, в моем зоопарке этих зверей нет.
Что могу только посоветовать - если выполняемые скрипты
не вклекут потерю связи с устройством, то реализовать их централизованно
на каком-либо линуксе с помощью экспекта  или типа того, и не заморачиваться.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:37 25-07-2021
roma



skydiver
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
реализован кривовато?

ну похоже на то
 

Цитата:
то реализовать их централизованно

с этим есть некоторые проблемы связанные с политикой информационной безопасности организации (организаций).
 
вообще скрипт который я запланировал это всего лишь инструмент которым я хочу достичь определённой цели. может её можно реализовать как-то по другому. цель следить за переездом ip-телефонов между портами. ip-телефоны поддерживают lldp (ибо не циско) а циски поддерживают lldp НО как-то не по-человечески. допустим если опросить циску по снмп на тему интерфейсов, то индексы её физических интерфейсов 10000+ для фастезернетов 10100+ для гигабитов, 10200+ для десятигиговых. (т.е. 24-х портовая 2960 с двумя гигами это 10001-10024 10101-10102)
а вот если опрашивать циску по снмп для целей lldp то нумерация портов будет сквозная (т.е. 24-х портовая 2960 с двумя гигами это 1-26)
 
скрипт планировался для смены дескрипшена порта на имя ллдп соседа (если он ip-телефон).
 
Добавлено:
новая вводная - перестало работать там где login local вместо полной секции ааа. права крона  

Код:
#more flash:sh_users_wide.log
    Line       User       Host(s)              Idle       Location
   0 con 0                                     00:00:00
   1 vty 0     admin      idle                 00:00:41 X.X.X.X
*  2 vty 1                idle                    3d20h
   3 vty 2                                     00:00:00
   4 vty 3                                     00:00:00
   5 vty 4                                     00:00:00
   6 vty 5                                     00:00:00
   7 vty 6                                     00:00:00
   8 vty 7                                     00:00:00
   9 vty 8                                     00:00:00
  10 vty 9                                     00:00:00
  11 vty 10                                    00:00:00
  12 vty 11                                    00:00:00
  13 vty 12                                    00:00:00
  14 vty 13                                    00:00:00
  15 vty 14                                    00:00:00
  16 vty 15                                    00:00:00
 
#more flash:sh_line_sum.log
        0: ?Uu? ???? ???? ???? ?
 
 
   2 character mode users.           (U)
  15 lines never used                (?)
   2 total lines in use,    1 not authenticated (lowercase)
 

Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 08:24 26-07-2021
0le



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Посоны  вы в космосе...

Всего записей: 630 | Зарегистр. 30-05-2002 | Отправлено: 20:07 05-09-2021
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго.
У родича провайдер cosmos-telecom.by, роутер: EPC3825 EuroDocsis 3.0 Data Gateway:

Раньше он тырнетничал с ноута самсунг R 60+, скорость доступа была согласно тарифного плана, к вечеру падала, но терпимо.
В конце июня собрал и поставил ему настольник с 10_кой проф, сетевую вкинул: Wi-Fi D-Link DWA-525 Wireless N 150 Desktop Adapter(rev.A2), чтобы шнурок не тянуть, подхватилась сразу, ввел тока логин с паролем, все штатно заработало.)
Параллельно к роутеру подключился с ноута самсунг NP-RV513-A01RU, на обеих устройствах скорость доступа была штатной, как обычно, с вечерним снижением.
Месяц все нормально работало, а в конце июля обратил внимание, что у его компа скорость доступа упала на порядок...( Грешил на 10_ку, думал грузит - забирает на себя ресурс под некие внутрисистемные контакты, наши подсказали как глянуть нагрузку сетевой - норм, никакой нагрузки нет, но и скорости нет...(
В тоже время у ноута, который от роутера на пару метров дальше скорость штатная.
Грешил на сетевуху, но если бы сломалась, соединения бы не было никакого.
Поискал описание работы роутера, что такое и зачем Cisco, в основном все на аглицком, но по тому, что удалось прочесть, сложилось впечатление, что возможно проблема с настройками взаимодействия роутера с потребителями...( Каналов раздачи тырнету у него несколько, а все устройства, возможно, висят на одном. Первоначальную настройку роутера делал представитель провайдера, на момент его установки кроме ноута других потребителей не было, потом добавился смарт, но у него тырнет, в основном, отключен.
А когда возникло 2 новых вайфай потребителя, роутер через какое-то время не сдюжил и засбоил...(
Просьба к разбирающимся просветить где может быть засада и как исправить?
Благодарю, с наилучшими.

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 17:53 06-09-2021
Atmel

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Надо бы посмотреть подключения и ограничить доступ указанными маками. В любом случае эо будет полезно.
Не юзал домашние циски, но вот в МироТике можно создать виртуальный инт wlan со своими настройками, и ими можно поиграться, подобрав наиболее оптимальные параметры для связки virt-wifi   - десятка.

Всего записей: 127 | Зарегистр. 10-04-2012 | Отправлено: 21:16 06-09-2021
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Atmel

Цитата:
...посмотреть подключения и ограничить доступ указанными маками...

Посмотрел свойства соединения на ноуте, но где маки можно менять не увидел.)

Цитата:
...создать виртуальный инт wlan со своими настройками, и ими можно поиграться...

Игрок с меня никакой, сам не осилю...( Мне бы как для "самых понятливых", на пальцах и пошагово, лучше с картинками...)

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 21:52 06-09-2021 | Исправлено: moroka33, 21:53 06-09-2021
roma



skydiver
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
moroka33
не сильно греется?
видел ситуацию с домашним вайфаем от циски: грелась -тормозила, сделали дырку в корпусе налепили вентилятор - вайфай ускорился.

Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 07:00 07-09-2021
ipmanyak



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
moroka33  
1 - В старых прошивках у soho рутеров  бывают проблемы с утечкой памяти и буферами. В момент падения скорости, попробуй выкл/вкл рутера. Если скорость  будет в норме, значит сами твои клиентские устройства не при делах.  Засеки время  когда скорость снова упадет на порядок.  
2 - проверь  работу ноутов не через вафлю, а по кабелю эзернет. Сделай выводы. Вафля  - зло, медь - наше всё!
3 - охлаждение проверь, у этого рутера  дыры вентиляции  для горизонтального расположения, потому  вешание на стену для него не полезно. Перегрев может влиять.
4 - прошивка  имхо очень старая , 2016 года, как и сам рутер. Если рутер принадлежит прову, то узнай у провайдера, может стоит обновить прошивку и проблемы уйдут. Я поглядел на сайте CISCO - ни хрена не нашел, даже самой страницы  про этот рутер.     Если рутер не прова, то можно подумать о смене прошивки  на  OPENWRT - https://openwrt.org/toh/cisco/epc3825
5 - Доступ в  этот рутер имеешь? Если да, то  можно сменить каналы для вафли, вместо AUTO назначить наиболее свободный,  предварительно посмотреть их занятость спец-прогами. Какими именно в инете найдешь.
6 - торренты  гоняешь на ноутах?  Для вафли это не есть гуд, забиваешь канал. Уменьши скорость торрентов  в обе стороны  до  1/3 скорости вафли или даже еще меньше. Многие  не знают, что вафля не работает в дуплексном режим в отличие от проводного ethernet, а  только в полудуплексном. То есть , если идет пакет в одну сторону, то в другую сторону пакет будет ждать. Потому на вафле торренты нужно ограничивать или даже совсем не гонять. Если у тебя есть возможность кинуть медь в плинтусах для стационарной техники, то стоит это сделать.
7 - на какой скорости вафля подключена к рутерру на твоих устройствах?  Хотя твой рутер и поддерживает 11n   - 150 Мбит/сек, в реале из-за различных проблем, в том числе совместимости, скорость бывает 11g - 54 Мбит ( или даже 11 Мбит).   В реале и этих 54 Мбит не будет, а будет в 2-3 раза меньше.   Почитай тут https://help.keenetic.com/hc/ru/articles/214471625-%D0%A0%D0%B5%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F-%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D1%8C-%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D1%83%D0%B5%D0%BC%D0%B0%D1%8F-%D0%B2-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-Wi-Fi   ( это я всё к меди тебя клоню )
 
Тут еще почитай https://help-wifi.com/poleznoe-i-interesnoe/skorost-po-wi-fi-v-diapazone-2-4-ggc-i-5-ggc-realnaya-skorost-zamery-raznica/
перец делал замеры  на вафле в 2.4 Ггц и 5 ГГц  без нагрузки  канала в инет.  35-50 Мбит у него было при  подключении по 11n  на 2.4 ГГц

----------
В сортире лучше быть юзером, чем админом...

Всего записей: 11724 | Зарегистр. 10-12-2003 | Отправлено: 08:30 07-09-2021 | Исправлено: ipmanyak, 08:55 07-09-2021
moroka33



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго.
roma

Цитата:
не сильно греется?

Нет.
ipmanyak

Цитата:
В момент падения скорости, попробуй выкл/вкл рутера. Если скорость  будет в норме, значит сами твои клиентские устройства не при делах.

Сделаю, отпишу.

Цитата:
проверь  работу ноутов не через вафлю, а по кабелю эзернет.

1 ноут и стационар с 10_кой.) Думал, но надо где-то делать или покупать кабель на 4 - 5 м, там стационар за стенкой и к нему кабель подвести отдельная тема...( Буду прикидывать.

Цитата:
медь - наше всё!

Согласен, но есть напряги...(

Цитата:
охлаждение проверь, у этого рутера  дыры вентиляции  для горизонтального расположения...

Проверил, не греется, стоит горизонтально.)

Цитата:
...рутер принадлежит прову, то узнай у провайдера, может стоит обновить прошивку и проблемы уйдут.

О, за данную рекомендацию отдельный респект.) Есть основание напрячь провайдера и бпл,попробовать порешать.)

Цитата:
Доступ в  этот рутер имеешь? Если да, то  можно сменить каналы для вафли, вместо AUTO назначить наиболее свободный,  предварительно посмотреть их занятость спец-прогами. Какими именно в инете найдешь.

Доступ есть, но сам не возьмусь, с аглицким не дружу и опасаюсь сделать хуже.) Авот представителя провайдера, коли сговоримся и придет, мона и грузануть слегонца...)

Цитата:
торренты  гоняешь на ноутах?  Для вафли это не есть гуд

Очень редко, скачиваю, раздачу почти не держу.)
Цитата:
на какой скорости вафля подключена к рутерру на твоих устройствах?

Тарифн план 100 Мбит, факт: у ноута утро 1500 КВ/сек - вечер 1200 КВ/сек, у стационара стало утро 450 КВ/сек - вечер 250 КВ/сек, а было как у ноута...(
Понял, гляну.)
Благодарю.
 

Всего записей: 4264 | Зарегистр. 31-07-2009 | Отправлено: 10:22 07-09-2021
Pomidor20

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги добрый день.
Нужна помощь в привязке сертификата от nic.ru на cisco CISCO1921/K9 IOS c1900-universalk9-mz.SPA.157-3.M3.bin
 
На nic.ru был заказан сертификат *.mydomain.ru.
В итоге имею :
 
Корневой сертификат
Промежуточный сертификат 1
Сертификат
Приватный ключ
 
Теперь нужно его прикрутить для WEBVPN (эниконнект).Кто то может поэтапно описать процесс?
Далаю это в первый раз
 

Всего записей: 72 | Зарегистр. 22-07-2014 | Отправлено: 10:46 17-11-2021
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Pomidor20
Цитата:
Кто то может поэтапно описать процесс?  
 Там много букав надо писать ...
Примерно как описано ТУТ
1. Делаешь из ключа и цепочки сертификатов, что тебе прислали,
ПФХ файл с помощью опенссл, кладешь его на тфтп сервер
2. Создаешь трастпойнт, импортируешь туда сертификат
3. Прописываешь эту трастпойнт в конфиге своей вебвпн.
Я делал примерно так, как по ссылке, все получилось.
В силу разных версий ИОС синтаксис команд может чуть отличаться.
Создание правильного файла ПФХ смотри в мануале опенссл.
Можешь загуглить по ключевым словам в тексте по ссылке,
и найти более подробное описание процесса.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:02 17-11-2021
alextp

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подробнее...

Всего записей: 3 | Зарегистр. 17-11-2021 | Отправлено: 10:50 18-11-2021
lim



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
10.0.2.4 пингается с этого ПК? Какой-нибудь конкретный адрес напиши, который недоступен с ПК, но при этом является живым хостом. Для ПК в 777 шлюзом по умолчанию является 192.168.2.1 или на этом ПК статики прописаны?

Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 12:39 18-11-2021
alextp

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
10.0.2.26
http://f26.ifotki.info/thumb/35d673c909caeda912efd946d57bbd0db91a37419890113.png

Всего записей: 3 | Зарегистр. 17-11-2021 | Отправлено: 13:09 18-11-2021
lim



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всё таки не увидел, доступен ли с ПК адрес SVI vlan 101 (10.0.2.4). Опять же спрошу интерфейсы SVI данного маршрутизатора являются шлюзами по умолчанию  ПК из Vlan 777 и хоста 10.0.2.26? Или шлюзы не указаны, а прописаны статические маршруты на этих ПК? (можно просто route print заскриншотить если это windows-хосты).

Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 22:32 18-11-2021
alextp

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://f26.ifotki.info/org/58ca0965abc808bf38e7c27fb796cf14b91a37419957355.png

Всего записей: 3 | Зарегистр. 17-11-2021 | Отправлено: 07:48 19-11-2021 | Исправлено: alextp, 07:49 19-11-2021
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alextp
Похоже, у тебя косяк с настройкой НАТ.
Попробуй в ip access-list extended al-nat  
 перед правилом  permit ip any any  
вставить правила  
 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
 deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
 deny ip  10.0.0.0 0.255.255.255 192.168.0.0 0.0.255.255
.....
 короче, все свои серые сетки
 
А правило  permit ip 192.168.2.0 0.0.0.255 any вовсе лишнее,
ибо под предыдущее попадают все пакеты
 
Еще ненормально может быть с фаерволом у хостов  Vlan101  
Циска эти хосты пингует с "родным" адресом 10.0.2.4 ,
а хосты из 777 с "чужим" 192.168.2.х
Обычно входящие пинги с неродных адресов закрыты

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:19 19-11-2021
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru