Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
alyce

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 

Цитата:
Почему если 3 провайдера, то обязательно должны быть 3 физических интерфейса?  
Можно поднять на одном порту + коммутатор с .1q  

 
Совершенно с Вами согласен
 

Цитата:
Если всё хотите поднять на одной железке, тогда встречные вопросы:  
 
1. bandwidth к каждому провайдеру?  
2. ip-телефония что именно и на сколько народу?  
3. VPN - 150 клиентов. - каких? ipsec или ssl?

 
1. 2 Мбит, 4 Мбит, и ? Мбит (пока не знаю - ну пусть будет 4)
2. Примерно на 250 - 300 человек.
3. ipsec.
 

Всего записей: 41 | Зарегистр. 26-10-2004 | Отправлено: 14:22 11-08-2010
shuxrat

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco2Host. Несколько VLAN-ов через один порт.
 
Имеется Cisco Catalyst серии 4500.  
На нем прописаны VLAN 2 (10.10.20.1/24), VLAN 3 (10.10.30.1/24) и VLAN 4 -на этом VLAN-е сидит отдельный DHCP-сервер.  
На каждом отделе установлен промежуточный простой switch.  
 Задача состоит  в том, чтобы обеспечить прохождение всех 3-х VLAN-ов через 1 порт,  к примеру GigabitEthernet2/12 на прямую. Необходимость реализации данной задачи вызвана тем, чтобы при подключении гостевых хостов на общую корпоративную сетку, IP-адрес назначался DHCP-сервером(VLAN4), на котором сидят  сотрудники компании (VLAN2, VLAN3).  
Хотелось бы узнать мнение просвещенного народа, реализуема ли данная задача или же имеется альтернативные пути.  

Всего записей: 6 | Зарегистр. 15-12-2005 | Отправлено: 14:48 11-08-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091

Цитата:
Почему если 3 провайдера, то обязательно должны быть 3 физических интерфейса?

Мною не утверждалось, что в этом имеется необходимость, но если речь идет например о маршрутизаторе на базе ПК, то чтобы не утруждать себя настройкой VLAN и подключением управляемого коммутатора с поддержкой trunk/vlan, который выйдет дороже покупки тех же трех сетевых карт.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 15:31 11-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alyce
150 каналов ipsec? я так понимаю для удаленных пользователей?
по vpn и всему прочему (кроме voice), я бы порекомендовал 2821 + секурный софт + увеличить объем оперативки для bgp + простой коммутатор L2.
+ отдельный сервер CCM (или 2 для отказоустойчивости).
 
Остается вопрос зачем нужен BGP и нужен ли full view?
 
а если хочется реализовать функционал АТСки на маршрутизаторе

Цитата:
Примерно на 250 - 300 человек.  

тогда нужно рассматривать варианты начиная с 3945

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:38 11-08-2010 | Исправлено: ESX091, 16:00 11-08-2010
roma



skydiver
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shuxrat

Цитата:
прохождение всех 3-х VLAN-ов через 1 порт,  к примеру GigabitEthernet2/12

а к этому порту будет подключено что?

Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 15:53 11-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ginger
по поводу 3х интерфейсов - это к хозяину поста =)
 

Цитата:
поэтому правильнее было бы использовать 2911 только для VPN и VoIP, для связи с провайдерами, можно использовать обычный ПК (у нас например это DELL MT360 4ГБ ОЗУ/2хHDD Seagate ES.2/4NIC Intel100/1000Pro) с операционной системой *nix и демоном Zebra/Quagga, для доступа в сеть Интернет (NAT) можно использовать, например Cisco 1841, либо PIX535, либо опять же ПК, например с m0n0wall, или же nanowall (ПК+m0n0wall интегрированный вариант).

Если я правильно понял, то Вы предлагаете 3 девайса
1. 2911 voip +vpn (хотя на 300 человек 2911 voip не потянет).
2. Quagga = BGP
3. 1841/PIX/PC для ната
почему бы не совместить п 1 и 3?
получается, что в инет будет смотреть Quagga с 3 или 4 интерфейсами. к этому PC подключается VPN/NAT маршрутизатор (т.е проблема внешнего ip + каким образом будет происходить балансировка)....а потом LAN?
Большое нагромождение девайсов...
Хотя кому как нравится)
 

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:55 11-08-2010 | Исправлено: ESX091, 16:07 11-08-2010
shuxrat

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
roma
 
 
В общем схема такова cisco<->hub<->host

Всего записей: 6 | Зарегистр. 15-12-2005 | Отправлено: 16:12 11-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shuxrat
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.
этого должно быть достаточно.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 16:33 11-08-2010
alyce

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091

Цитата:
150 каналов ipsec? я так понимаю для удаленных пользователей?  

 
Скорее для удаленных офисов.
 
BGP, не нужен похоже.
Да и телефонию заказчик пока не готов внедрять.
 
Так что остается 3 прова, Load balancing, VPN, NAT.
Все немного упрощается
 

Всего записей: 41 | Зарегистр. 26-10-2004 | Отправлено: 16:44 11-08-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ не подскажите? (мой пост последний на предыдущей странице - незаметный такой )
 
Сейчас решил всё-таки нажать опять reset и ни чего... он на удержание ни как не реагирует! на одиночное нажатие реагирует перезагрузкой - но на кой она мне он и так каждые 42секунды ребутится...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:51 11-08-2010 | Исправлено: Alukardd, 18:23 11-08-2010
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.  

а не лучше на Catalyst 4500 dhcp поднять?

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 19:46 11-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alyce
150 каналов для удаленных офисов от силы на 10 mbps???...
посчитайте сколько достанется каждому офису =), а лучше уточните.
а так рекомендации прежние.
 
Alukardd
если честно, то не знаю. аналогичных девайсов под руками нет.
могу посоветовать полазить здесь:
https://supportforums.cisco.com/community/netpro/small-business/switches
 
Добавлено:
Valery12
Зачем на каталисте dhcp поднимать, если есть уже сервер и достаточно пару команд добавить?

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 19:50 11-08-2010
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
поможите люди добрые.
 
сейчас используется cisco 1810 в центре и cisco 870 в филиалах. dmvpn + ospf. все ios k9
 
расширяем сеть филиалов.
 
есть сложности с поставкой 870 + k9 )
поставщик предлагает 870 + k8 - где криптография пожиже, но зато девайсы в наличии.  
k8 как я понял, не умеет 3DES, только DES
заработает ли в нашей схеме 870 + k8?  
 
сейчас для шифрования трафика используется 3DES и AES
 
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 256
 authentication pre-share
 
 
По идее я должен сделать еще одну policy  
 
crypto isakmp policy 3
 encr des
 authentication pre-share
 
+ профиль ipsec и дополнительный тоннель.  
и поехали.
 
так?

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 20:21 11-08-2010 | Исправлено: zubastiy, 21:58 11-08-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091

Цитата:
Если я правильно понял, то Вы предлагаете 3 девайса  
1. 2911 voip +vpn (хотя на 300 человек 2911 voip не потянет).  
2. Quagga = BGP  
3. 1841/PIX/PC для ната  
почему бы не совместить п 1 и 3?  
получается, что в инет будет смотреть Quagga с 3 или 4 интерфейсами. к этому PC подключается VPN/NAT маршрутизатор (т.е проблема внешнего ip + каким образом будет происходить балансировка)....а потом LAN?  
Большое нагромождение девайсов...  
Хотя кому как нравится)

Нет, схема выглядит иначе, quagga служит для связи с провайдерами и обменом информацией по BGP, оставшимся интерфейсом смотрит в коммутатор (например HP1700-8), к данному коммутатору так же поключаются 2911 (vpn+voip) и 1841 (nat).
Совместить п.1 и п.3 похорошему нельзя т.к. каждое из этих устройств должно выполнять свою задачу, а не все сразу, предположим, что упала 2911 либо 1841, тогда можно задействтвовать по временной схеме одно из этих устройств пока ремонтируется другое.
zubastiy

Цитата:
поставщик предлагает 870 + k8 - где криптография пожиже, но зато девайсы в наличии.  
k8 как я понял, не умеет 3DES, только DES

Приобретя k8, почему вы не можете обновить IOS до k9? Так же хочу порекомендовать вам вместо 3des использовать aes, который превосходит 3des по скорости, а по стойкости ему не уступает.


----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 23:33 11-08-2010
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ginger
 

Цитата:
Приобретя k8, почему вы не можете обновить IOS до k9? Так же хочу порекомендовать вам вместо 3des использовать aes, который превосходит 3des по скорости, а по стойкости ему не уступает.

 
IOS k9 найдется. но обновить до него k8 - это разве не нарушение лицензионного соглашения?
 

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 00:26 12-08-2010
shuxrat

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ESX091
 

Цитата:
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.  
этого должно быть достаточно.

Спасибо за дельный совет. Думою это то что мне необходимо. Попробую осилить сие чудо опцию))
 
Добавлено:
Valery12
 

Цитата:
а не лучше на Catalyst 4500 dhcp поднять?


Цитата:
Цитата:
если необходимо, чтобы dhcp работал на несколько vlan, настройте на коммутаторе ip-helper address и укажите dhcp сервер.  

 
Думою DHCP на Mikrotik-е более гипче в управлении нежели на Catalyst-е.    

Всего записей: 6 | Зарегистр. 15-12-2005 | Отправлено: 07:33 12-08-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy

Цитата:
IOS k9 найдется. но обновить до него k8 - это разве не нарушение лицензионного соглашения?

В случае официальной покупки upgrade ios до k9, то по отношению к cisco, вы не нарушите лицензионного соглашения, однако k9 официально не разрешен в России, следовательно использование k9 будет незаконным.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 12:25 12-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy

Цитата:
поставщик предлагает 870 + k8  

а можно pn озвучить? в жопеле такого зверя c k8 не нашел.
вообще, если k8 идет под одним feature set, а k9 под другим, то  
1. это не пиксы и асы, лицензию сгенерить не получится.
2. смартнет не поможет. т.к разные feature set. и официально будет нарушено лицензионное соглашение.
 

Цитата:
По идее я должен сделать еще одну policy  
 
crypto isakmp policy 3
 encr des
 authentication pre-share
 
+ профиль ipsec и дополнительный тоннель.  
и поехали.
 
так?

я не знаю, какой dmvpn именно используете, но точно будет работать hub(k8)-spoke(k8).
Есть сомнения, что  при построении динамических туннелей между spoke(k8) и spoke(k9) тоже все будет ок.
 
 ginger
можете мне пояснить, пожалуйста, по поводу совета использовать кучу железа -
есть квака, подключенная к 3 провайдерам (а,b,c). Каждый из них выдает свой пул адресов. на bgp PC имеем адреса (а1,b1,c1).
Какие будут адреса (из какого пула) на оборудовании, которое будет заниматься VPN + на оборудовании, которое будет натировать?
и если VPN+VOICE будет находиться в public сети (до ната, если я правильно понял), то насколько это небезопасно и получается, что пользователи (voice) будут подключаться к внешнему(public ip) ???
 

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 13:10 12-08-2010 | Исправлено: ESX091, 13:17 12-08-2010
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ginger

Цитата:
В случае официальной покупки upgrade ios до k9, то по отношению к cisco, вы не нарушите лицензионного соглашения, однако k9 официально не разрешен в России, следовательно использование k9 будет незаконным.  

именно! потому и не рассматриваем такой вариант.
ESX091

Цитата:
а можно pn озвучить? в жопеле такого зверя c k8 не нашел.  
вообще, если k8 идет под одним feature set, а k9 под другим, то  
1. это не пиксы и асы, лицензию сгенерить не получится.  
 

Лицензию на что?
 

Цитата:
я не знаю, какой dmvpn именно используете, но точно будет работать hub(k8)-spoke(k8).

используем mRGE + NHRP + ipsec aes
 
k8 похоже не умеет (запросил доки у поставщика - молчит пока) и придется делать des  
 
хочется поднять на cisco 1811 hub(k9)-spoke(k8) и hub(k9)-spoke(k9) ))
два тоннеля, тот что до с 870 k9 - aes, тот, что до 870 k8 - des
 
трафик между филиалами не ходит. только до офиса.
 
но думается мне это все костыли. и надо что то другое.
 
кстати по cisco k9 - как сами выкручиваетесь при расширении? старые запасы или заграничные партнеры?
 
 
 
 

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 13:56 12-08-2010 | Исправлено: zubastiy, 13:59 12-08-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zubastiy
 

Цитата:
Лицензию на что?  

на использование k9 =))
 

Цитата:
k8 похоже не умеет (запросил доки у поставщика - молчит пока) и придется делать des  

А что k8 не умеет? или железки k8 нет?
 
если нужно с hub(k8) to spoke, то проблем быть не должно.
 
Договариваемся и с поставщиками, и с клиентами, и с кошками...

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 14:05 12-08-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru