Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
Sterh84

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотелбы дополнить ответ denis_a, что необходимо наличие комманды ip dns server, те
ip name-server <IPDNS>
ip dns server

Всего записей: 318 | Зарегистр. 03-10-2006 | Отправлено: 13:09 03-02-2010
borov

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После безуспешных попыток настроить приоретизацию трафика на ADSL модеме Acorp 422 решил приобрести на ebay Cisco 877.
Канал ADSL 256/128.
Нужно выделить приоритеты таким образом:
Самый высокий - VoIP SIP телефон и спутниковый ресивер (для шары )
Средний - компьютер
Низший  - ноут-торрент качалка (забирать весь канал, при отсутствии другого трафика)
 
Пока вопрос в том, можно ли вообще это сделать?  А то сомнения насчёт возможности управления входящим трафиком есть.

Всего записей: 166 | Зарегистр. 26-04-2002 | Отправлено: 15:55 25-02-2010 | Исправлено: borov, 19:16 25-02-2010
denis_a

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
borov
Простой ответ, практически нет, входящий траффик можно резать только с помощью policy.
Кроме того, он уже пришел на роутер, даже если ты его дельнешь, то толку мало. За одним исключением, уменьшиться TCP окно, что в свою очередь сделает нагрузку меньше. Можно попробовать сделать одну хитрость, но получиться или нет... это вопрос. Можно попробовать зашейпить исходящий траффик с роутера во внутреннию сетку, и поставить QoS на траффик.
Зашейпить нужно, т.к. вообще какая либо приоритезация включается только при условии, что в канал нужно впихнуть больше чем возможно. А т.к. локалка по скорости в разы привосходит WAN интерфейс, то такое получить получиться только шейпингом или policy.
 
С одной стороны, это конечно сможет резать входящий траффик с помощью TCP окна. Правда это касается только TCP траффика. С другой стороны, такое прокатит только на роутерном порте, на SVI есть только rate-limit, что по сути policy.

Всего записей: 214 | Зарегистр. 16-08-2004 | Отправлено: 19:27 25-02-2010 | Исправлено: denis_a, 19:35 25-02-2010
borov

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis_a, спасибо за ответ. Если была бы железка, поэкспериментировал бы.  Но покупать для экспериментов с негарантированным успехом пожалуй не буду. 877 и б/у недешево стоит

Всего записей: 166 | Зарегистр. 26-04-2002 | Отправлено: 07:14 26-02-2010
PhilipMorris

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вопрос общего плана) В данный момент 2 подсетки вила 10.1.1.0/16 и 10.1.2.0/16. 2 организации в этих подсетях. Общий выход в нет. Планируется отделение - купили асу, свой канал. Но осталась необходимость ходить на шары и sql сервер из первой сети. Ещё необходимо во 2 сделать вланы(так надо). Дальнейшая марштутизация на провайдера проста - статический маршрут на их роутер. По поводу подключения к нету всё ясно - НАТ, на асе пишутся default route, пробрасываются порты на почтовик и тп. Как лучше сделать подключение к первой сети? сделать ещё один нат, чётко прописать хосты и порты, к которым нужен доступ? или сделать маршрутизацию статическую из одной сети в другую. GRE, как вариант,  у асы нема... Спасибо заранее за советы

Всего записей: 1 | Зарегистр. 11-01-2006 | Отправлено: 09:55 26-02-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
сделать ещё один нат, чётко прописать хосты и порты, к которым нужен доступ?  
Если провода во вторую сеть еще не оборвали, просто настроить маршрутизацию. Ходить через интернет в сетку, которая торчит в соседнем порту, ИМХО изврат
 

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 12:43 26-02-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди помогите. Только начинаю осваивать cisco.  
CISCO 871, IOS 12,4, SDM ver 2.5
Ситуация следующая: при подключении к удаленному VPN-серверу (212.119.171.134) не удается установить соединение с локальной машины. Для установки соединения должены быть открыты порты 1723, 1743 и 47(GRE) протокол. Их я открыл, но соединение по-прежнему не устанавливается. Подскажите, что надо еще сделать для установки этого подключения?
 
конфиг настроек
 
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1262986364
revocation-check none
rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
69666963 6174652D 31323632 39383633 3634301E 170D3039 30373138 31343039  
32305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239  
38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401  
F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A  
A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F  
1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138  
74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603  
551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5  
EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA  
4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500  
03818100 468191C8 EAE39678 B11D5ACF E15EC7CE ACC1D231 3B4F6317 772FE8FB  
43878729 9B776FB9 0F85826E CCCEFB4C 2A654C7E D9D26E17 590F2D69 A2DF9A31  
10F433FE C9A3F510 D99F6E9E 574DBD1A 9A046FD9 05871CCF A2ACD1C4 6602FB55  
B3642D9F 934F24D9 96AF3076 E74EE588 9EA5D1F1 270D7722 125E5710 7A539B5A CF89F2D7
quit
dot11 syslog
no ip source-route
!
!
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!  
!
crypto isakmp policy 1
encr 3des
group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
match access-group 102
class-map type inspect match-all sdm-protocol-https
match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
match class-map sdm-protocol-http
match class-map sdm-protocol-https
match class-map sdm-protocol-telnet
match class-map sdm-protocol-icmp
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect  
class class-default
pass
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-insp-traffic
inspect  
class type inspect sdm-protocol-http
inspect  
class type inspect sdm-cls-VPNOutsideToInside-1
inspect  
class class-default
drop
policy-map type inspect sdm-permit
class type inspect sdm-access-proto
inspect  
class class-default
drop
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
ip address 87.248.240.98 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly
zone-member security out-zone
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.0.254 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
ip access-list extended SDM_HTTP
permit tcp any any eq www
ip access-list extended SDM_HTTPS
permit tcp any any eq 443
ip access-list extended SDM_ICMP
permit icmp any any information-request
permit icmp any any information-reply
permit icmp any any unreachable
permit icmp any any traceroute
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
permit tcp any any eq telnet
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 eq 1723 any
permit tcp host 192.168.0.6 eq 1743 any
permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 remark IPSec Rule
access-list 101 permit ip 192.168.0.0 0.0.0.255 212.119.171.0 0.0.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
no cdp run
 
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 23:09 28-02-2010
denis_a

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yurichekk
Если мне память не изменяет, то нужно прописать разрешения в файерволе
С inside > outside
НА порт 1723
GRE
С outside > inside
GRE
 
1. Поправь (ты ведь пытаешся соеденится НА порт 1723, а не С 1723)
no ip access-list extended VPN
ip access-list extended VPN
remark SDM_ACL Category=1
permit tcp host 192.168.0.6 any eq 1723
 
ip access-list extended GRE
permit gre host 192.168.0.6 any  
 
class-map type inspect match-all CLMAP_PPTP
 description PPTP Connections
 match access-group name VPN
 match protocol tcp
class-map type inspect match-any CLMAP_GRE
 description GRE Tunnel for Inbound traffic
 match access-group name GRE
 
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
 class type inspect CLMAP_GRE
  pass
 class type inspect CLMAP_PPTP
  inspect  
class type inspect sdm-insp-traffic
inspect  
class type inspect sdm-protocol-http
inspect  
class type inspect sdm-cls-VPNOutsideToInside-1
inspect  
class class-default
drop  
 
policy-map type inspect POLMAP_WAN2LAN
 description Port Mapping & Access to LAN
 class type inspect CLMAP_GRE
  pass
 class class-default
  drop
 
zone-pair security ZP_WAN2LAN source out-zone destination in-zone
 service-policy type inspect POLMAP_WAN2LAN
 
PS. на некоторых 12.4 прошивках были проблемы с PPTP, правда я встречал только соединение на циску из вне.
помоему это было на 12.4 24T на 1811

Всего записей: 214 | Зарегистр. 16-08-2004 | Отправлено: 23:55 28-02-2010 | Исправлено: denis_a, 23:58 28-02-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
denis_a спасибо за совет!  
сегодня попробую!

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 00:19 01-03-2010
RedFlash123

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу помощи. (искал, натыкался на разные статьи, в т.ч. на факцискору, но ясность так и не появилась, боюсь сломать существующую кнофигурацию)
Есть ASA 5505 (ASA VERSION: 8.0(3)6 ASDM VERTION: 6.0(3))
 
Нужно настроить запрет определенных URL для пользователей (хотелось бы для избранных внутренних, но если очень сложно, то для начала всем)
 
Возможно ли это сделать, используя ASDM ? Если да, то как?
 
Если не возможно, тогда через telnet дайте плиз пример.
И, скразу второй вопрос (вдруг отпадет необходимость фильтровать этот сайт) - как отменить фильтрацию того или иного сайта?

Всего записей: 30 | Зарегистр. 03-03-2009 | Отправлено: 12:26 02-03-2010
Bock



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
class-map type inspect match-any sdm-cls-insp-traffic  
match protocol pptp
добавить надо. Тогда и будет работать.

Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 11:03 05-03-2010
roll7777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А есть ли способ сделать хард ресет удалено?
Собственно опрос возник по причине собственной ошибки((
Имеется -каталист 2960g 24 порта
изначально была самая первая прошивка и настроен вход на вебморду по ip без пароля.
 
Вздумалось удаленно обновить прошивку на последнюю (c2960-lanbasek9-tar.122-52.SE.tar)
 
все прошло успешно, но теперь зайти по ИП через веб нереально, т.к. требует авторизацию(которой раньше не было) «level_15_access»
 
Судя по документации, есть варианты сделать полный сброс находясь локально рядом с ним физически. (кнопка mode)
 
Есть ли возможность сделать хард ресет удаленно?? или есть какие то дефолтные логин-пароли??
 
ПС (уж очень не хоца ехать на сайт )

Всего записей: 16 | Зарегистр. 02-04-2006 | Отправлено: 21:57 06-03-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
просьба помочь дальше разобраться в вопросе с настройкой 871-ой цыски.(см.несколько ответов выше).  Переопишу задачу простыми словами. Есть цыска (871ая), которая раздает инет и натит сеть. В сети один из компов должен соединяться с неким VPN-сервером. Адрес VPNсервера с компа пингуется, но соединение не устанавливается...
после некоторых попыток настройки через СДМ конфиг выглядит следующим образом:
 
!This is the running config of the router: 192.168.0.254
!----------------------------------------------------------------------------
!version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname rtr-mo48
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200
logging console critical
enable secret 5 $1$FDas$Jfac8W0jG.Cn6LNxybnw50
!
no aaa new-model
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1262986364
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1262986364
 revocation-check none
 rsakeypair TP-self-signed-1262986364
!
!
crypto pki certificate chain TP-self-signed-1262986364
 certificate self-signed 01
  30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030  
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274  
  69666963 6174652D 31323632 39383633 3634301E 170D3039 30373233 31353134  
  31355A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649  
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 32363239  
  38363336 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281  
  8100B011 9C6C23CA E769D5E4 890C7182 2C40012F B4DA993F 4765BFA7 69DA5401  
  F5C8014A 6F54138D 41C4F876 71716981 EC3DE331 B67A3FF8 A2B9DDD2 8161689A  
  A2287B78 039CFB75 CC34FE67 986BDB7E 3F72698B 7BB66173 8C11C068 154A9F5F  
  1BE8AE73 FA3B4B60 04FD5AFD 24025ADE 872FE5F0 88FF152D 0C3F8D0A 3FE04138  
  74C10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603  
  551D1104 0C300A82 08727472 2D6D6F34 38301F06 03551D23 04183016 801426D5  
  EA4DE8B1 B2B015F1 E06E480A 0355AB59 FE23301D 0603551D 0E041604 1426D5EA  
  4DE8B1B2 B015F1E0 6E480A03 55AB59FE 23300D06 092A8648 86F70D01 01040500  
  03818100 765A551D 30A6253B 85B2C900 45CFB271 F5C6E4D8 43CA2B07 9C964A87  
  A2F9D304 0AC19153 23F48C6D 4685D79D BA745AD3 8D79C8BF 17348BE6 3A351B6C  
  09AB109E D3893C6E 08949AE1 65AE3EBA B6D4D57F BE2FF8F3 13BDF5DA A896C4C4  
  83330B99 A639EAF5 BA3E607A 487FD2A6 5491316F 4A314F80 ABA57367 F0145FE9 10FD361F
   quit
dot11 syslog
no ip source-route
!
!
ip port-map user-ezvpn-remote port udp 10000
ip cef
no ip bootp server
ip name-server 87.248.225.4
ip name-server 87.248.224.4
!
!
!
!
username admin privilege 15 secret 5 $1$i4sb$WPAV5.CZN/WYrOo3w1S7D/
!  
!
crypto isakmp policy 1
 encr 3des
 group 2
!
crypto isakmp policy 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac  
archive
 log config
  hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
 match access-group 102
class-map type inspect match-all sdm-cls-VPNOutsideToInside-2
 match access-group 106
class-map type inspect match-all sdm-protocol-https
 match access-group name SDM_HTTPS
class-map type inspect match-all sdm-protocol-http
 match access-group name SDM_HTTP
class-map type inspect match-all sdm-protocol-telnet
 match access-group name SDM_TELNET
class-map type inspect match-all sdm-protocol-icmp
 match access-group name SDM_ICMP
class-map type inspect match-any sdm-access-proto
 match class-map sdm-protocol-http
 match class-map sdm-protocol-https
 match class-map sdm-protocol-telnet
 match class-map sdm-protocol-icmp
class-map type inspect match-any SDM_AH
 match access-group name SDM_AH
class-map type inspect match-any SDM_GRE
 match access-group name SDM_GRE
class-map type inspect match-any sdm-cls-insp-traffic
 match protocol cuseeme
 match protocol dns
 match protocol ftp
 match protocol h323
 match protocol https
 match protocol icmp
 match protocol imap
 match protocol pop3
 match protocol netshow
 match protocol shell
 match protocol realmedia
 match protocol rtsp
 match protocol smtp extended
 match protocol sql-net
 match protocol streamworks
 match protocol tftp
 match protocol vdolive
 match protocol tcp
 match protocol udp
 match protocol pptp
 match protocol l2tp
 match protocol gtpv0
 match protocol gtpv1
 match class-map SDM_GRE
 match protocol ident
 match protocol gdoi
 match protocol isakmp
 match protocol ipsec-msft
 match protocol ssp
class-map type inspect match-all sdm-insp-traffic
 match class-map sdm-cls-insp-traffic
class-map type inspect match-any SDM_ESP
 match access-group name SDM_ESP
class-map type inspect match-any SDM_VPN_TRAFFIC
 match protocol isakmp
 match protocol ipsec-msft
 match class-map SDM_AH
 match class-map SDM_ESP
class-map type inspect match-all SDM_VPN_PT
 match access-group 105
 match class-map SDM_VPN_TRAFFIC
class-map type inspect match-all SDM_EASY_VPN_REMOTE_PT
 match access-group 103
class-map type inspect match-any sdm-cls-VPNInsideToOutside
 match protocol pptp
 match protocol l2tp
 match class-map SDM_GRE
 match class-map sdm-cls-VPNOutsideToInside-2
 match class-map sdm-cls-VPNOutsideToInside-1
 match class-map SDM_VPN_TRAFFIC
 match class-map SDM_VPN_PT
 match class-map sdm-protocol-http
 match access-group name SDM_HTTP
 match access-group name VPN
 match access-group name SDM_GRE
 match protocol http
 match protocol https
 match protocol pop3
 match protocol pop3s
 match protocol tcp
 match protocol udp
 match protocol dns
class-map type inspect match-any 192.168.0.6
 match class-map SDM_GRE
 match protocol http
 match protocol https
 match protocol pptp
 match protocol l2tp
 match protocol gtpv0
 match protocol gtpv1
 match protocol icmp
 match protocol gdoi
 match protocol isakmp
 match protocol ipsec-msft
 match protocol ssp
 match protocol dns
class-map type inspect match-any sdm-cls-icmp-access
 match protocol icmp
 match protocol tcp
 match protocol udp
class-map type inspect match-any SDM_EASY_VPN_REMOTE_TRAFFIC
 match protocol isakmp
 match protocol ipsec-msft
 match class-map SDM_AH
 match class-map SDM_ESP
 match protocol user-ezvpn-remote
class-map type inspect match-all sdm-invalid-src
 match access-group 100
 match class-map 192.168.0.6
class-map type inspect match-all sdm-icmp-access
 match class-map sdm-cls-icmp-access
!
!
policy-map type inspect sdm-permit-icmpreply
 class type inspect sdm-icmp-access
  inspect  
 class class-default
  drop
policy-map type inspect sdm-pol-VPNOutsideToInside-1
 class type inspect sdm-cls-VPNOutsideToInside-2
  inspect  
 class class-default
  drop
policy-map type inspect sdm-inspect
 class type inspect sdm-invalid-src
  inspect  
 class type inspect sdm-insp-traffic
  inspect  
 class type inspect sdm-protocol-http
  inspect  
 class type inspect sdm-cls-VPNOutsideToInside-1
  inspect  
 class class-default
  drop
policy-map type inspect sdm-permit
 class type inspect SDM_EASY_VPN_REMOTE_PT
  pass
 class type inspect sdm-access-proto
  inspect  
 class class-default
  pass
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
 service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-out-self source out-zone destination self
 service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
 service-policy type inspect sdm-inspect
zone-pair security sdm-zp-VPNOutsideToInside-1 source out-zone destination in-zone
 service-policy type inspect sdm-pol-VPNOutsideToInside-1
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description $ES_WAN$$FW_OUTSIDE$
 ip address 87.248.240.98 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 zone-member security out-zone
 duplex auto
 speed auto
!
interface Virtual-Template1 type tunnel
 no ip address
 tunnel mode ipsec ipv4
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
 ip address 192.168.0.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
 ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 87.248.240.97 2
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
!
ip access-list extended SDM_AH
 remark SDM_ACL Category=1
 permit ahp any any
ip access-list extended SDM_ESP
 remark SDM_ACL Category=1
 permit esp any any
ip access-list extended SDM_GRE
 remark SDM_ACL Category=0
 permit gre any any
ip access-list extended SDM_HTTP
 permit tcp any any eq www
ip access-list extended SDM_HTTPS
 permit tcp any any eq 443
ip access-list extended SDM_ICMP
 permit icmp any any information-request
 permit icmp any any information-reply
 permit icmp any any unreachable
 permit icmp any any traceroute
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any time-exceeded
ip access-list extended SDM_TELNET
 permit tcp any any eq telnet
ip access-list extended VPN
 remark SDM_ACL Category=1
 permit tcp host 192.168.0.6 eq 1723 any
 permit tcp host 192.168.0.6 eq 1743 any
 permit gre host 192.168.0.6 any
!
logging trap debugging
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.0.40
access-list 1 permit 192.168.0.42
access-list 1 permit 192.168.0.44
access-list 1 permit 192.168.0.46
access-list 1 permit 192.168.0.36
access-list 1 permit 192.168.0.38
access-list 1 permit 192.168.0.56
access-list 1 permit 192.168.0.48
access-list 1 permit 192.168.0.50
access-list 1 permit 192.168.0.8
access-list 1 permit 192.168.0.10
access-list 1 permit 192.168.0.12
access-list 1 permit 192.168.0.14
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.4
access-list 1 permit 192.168.0.6
access-list 1 permit 192.168.0.24
access-list 1 permit 192.168.0.26
access-list 1 permit 192.168.0.28
access-list 1 permit 192.168.0.30
access-list 1 permit 192.168.0.16
access-list 1 permit 192.168.0.18
access-list 100 remark permit ip host 192.168.0.6 any
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 87.248.240.96 0.0.0.3 any
access-list 101 remark SDM_ACL Category=4
access-list 101 permit tcp host 192.168.0.0 eq 1722 host 192.168.0.255 eq 1744
access-list 101 permit gre host 192.168.0.0 host 192.168.0.255
access-list 102 remark SDM_ACL Category=0
access-list 102 remark IPSec Rule
access-list 102 permit ip 212.119.171.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 104 remark SDM_ACL Category=4
access-list 104 remark IPSec Rule
access-list 104 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 remark SDM_ACL Category=128
access-list 105 permit ip host 212.119.171.134 any
access-list 106 remark SDM_ACL Category=0
access-list 106 remark IPSec Rule
access-list 106 permit ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 107 remark SDM_ACL Category=2
access-list 107 permit ip host 192.168.0.18 any
access-list 107 permit ip host 192.168.0.16 any
access-list 107 permit ip host 192.168.0.30 any
access-list 107 permit ip host 192.168.0.28 any
access-list 107 permit ip host 192.168.0.26 any
access-list 107 permit ip host 192.168.0.24 any
access-list 107 permit ip host 192.168.0.6 any
access-list 107 permit ip host 192.168.0.4 any
access-list 107 remark INSIDE_IF=Vlan1
access-list 107 permit ip host 192.168.0.2 any
access-list 107 permit ip host 192.168.0.14 any
access-list 107 permit ip host 192.168.0.12 any
access-list 107 permit ip host 192.168.0.10 any
access-list 107 permit ip host 192.168.0.8 any
access-list 107 permit ip host 192.168.0.50 any
access-list 107 permit ip host 192.168.0.48 any
access-list 107 permit ip host 192.168.0.56 any
access-list 107 permit ip host 192.168.0.38 any
access-list 107 permit ip host 192.168.0.36 any
access-list 107 permit ip host 192.168.0.46 any
access-list 107 permit ip host 192.168.0.44 any
access-list 107 permit ip host 192.168.0.42 any
access-list 107 permit ip host 192.168.0.40 any
access-list 108 remark permit
access-list 108 remark SDM_ACL Category=4
access-list 108 permit tcp host 192.168.0.6 eq 1722 any eq 1744
access-list 108 permit gre host 192.168.0.6 any
no cdp run
 
!
!
!
route-map SDM_RMAP_1 permit 1
 match ip address 107
!
!
control-plane
!
banner login ^CAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 login local
 no modem enable
 transport output telnet
line aux 0
 login local
 transport output telnet
line vty 0 4
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 21:03 08-03-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тег more вам в помощь. Постить такие простыни - моветон. Что за тип VPN-сервера?
Они, как ни странно, разные бывают.

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 02:30 09-03-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обычный pptp сервер. Извиняюсь конечно за такие "простыни", но конфиг для того выкладываю, чтобы сразу было видно что за сервисы настроены и что разрешено...

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 11:05 09-03-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Извиняюсь конечно за такие "простыни", но конфиг для того выкладываю, чтобы сразу было видно что за сервисы настроены и что разрешено...  
Правильно, вот для этого и существует тег more, чтобы текст в топике был виден по ссылке, а не как простыня.

Цитата:
Обычный pptp сервер
Для него должны быть разрешены TCP-порт 1723, а также GRE
 

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:43 09-03-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в след раз обязательно спрячу тегом эту "простыню" =)  
 
порты 1723, 1743 и протокол GRE я уже открывал где только можно..  
но все-равно не помогает. а поскольку опыта в настройке такого оборудования у меня минимум (все мы когда-то только начинаем учиться), то мне и нужны подсказки что и где надо настроить чтобы разрешить свою задачу. еще время как всегда поджимает.  
спс за оперативность.

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 12:44 09-03-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
порты 1723, 1743 и протокол GRE я уже открывал где только можно..  
Попробуйте на пару минут вообще отключить фаервол и посмотрите, работает ли коннект в этом случае. Если да, тогда копайте акцесс-листы

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 18:02 09-03-2010
denis_a

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Никто с таким не сталкивался?
 
class-map type inspect match-any CLMAP_USER_HOSTS
 match access-group 700
 
policy-map type inspect POLMAP_LAN2WAN
 class type inspect CLMAP_USER_HOSTS
  inspect  
 class class-default
  drop log
 
zone-pair security ZP_LAN2WAN source ZONE_LAN destination ZONE_WAN
 service-policy type inspect POLMAP_LAN2WAN
 
access-list 700 permit 0050.5600.0000   0000.00ff.ffff
access-list 700 permit 0005.6900.0000   0000.00ff.ffff
access-list 700 permit 000c.2900.0000   0000.00ff.ffff
access-list 700 permit 001c.1400.0000   0000.00ff.ffff
 
Почему проверка по MAC адресам не идет? Это глюк иоса, либо я чего-то не понимаю? Т.к. инфы по таким access list'ам почти нет, все что находил это обрезки конфигураций, в которых они используются, а описания оных так и не нашел. И тем более в связке с Zone based firewall.

Всего записей: 214 | Зарегистр. 16-08-2004 | Отправлено: 00:21 12-03-2010
Yurichekk

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Попробуйте на пару минут вообще отключить фаервол и посмотрите, работает ли коннект в этом случае. Если да, тогда копайте акцесс-листы  

 
с отключенным фаерволом соединение устанавливается  

Всего записей: 6 | Зарегистр. 28-02-2010 | Отправлено: 19:59 12-03-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru