Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
ra1n



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть ОЧЕНЬ большая проблема. В Цисках не разбираюсь. На днях впервые подключился телнетом, клево
Стоит задача поднять VPN канал. Можете скинуть ссылки на статьи и книги для начинающих. Желательно более менее по теме, про VPN, ipsec и всё такое...
Есть даже типовой конфиг, но блин, ничего ж не знаю

Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 14:20 20-09-2010
zubastiy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra1n
 

Цитата:
Есть ОЧЕНЬ большая проблема. В Цисках не разбираюсь. На днях впервые подключился телнетом, клево  
Стоит задача поднять VPN канал. Можете скинуть ссылки на статьи и книги для начинающих. Желательно более менее по теме, про VPN, ipsec и всё такое...  
Есть даже типовой конфиг, но блин, ничего ж не знаю  

 
 
открывайте ICND1 и читаете - это курс молодого бойца.
потом ICND2 - и снова читаете - это уже про "и все такое"
 
другого, увы, посоветовать сложно.

Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 15:04 20-09-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra1n
Цитата:
Можете скинуть ссылки на статьи и книги для начинающих.  
Очень много статей по циске на opennet.ru В качестве популярной книжки могу посоветовать Cisco IOS in a Nutshell

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 15:13 20-09-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra1n
если сами кошек не знаете, значит нужен знакомый, который умеет их дрессировать =)))

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 16:38 20-09-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra1n
По мимо данных вам советов, не поленитесь зайти на cisco.com и в строке поиска ввести интересующую вас фразу, в результате вы получите множество примеров по реализации поставленной перед вами задачи.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 19:55 20-09-2010
ra1n



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вроде немного разобрался. Но такая заморочка... Может быть такое, что моя циска не поддерживает isakmp?
 
Добавлено:
Как зайти в режим конфигурации cisco 36** ?

Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 10:14 21-09-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ra1n Ты удивишься, но циска - это не только железка, но и операционка. И в отличие от винды, подход не "все включено", а то, что заказано при покупке. Состав функций от самых минималистских до самых навороченных. Плюс узкоспециализированные. В сочетании с железом (С8хх, С17хх, С18хх, С26хх, С28хх, С35хх, С36хх, С37хх, С38хх, ...) это создает огромное количество возможных конфигураций.
Кстати, ты даже не написал, что за циска у тебя.
Для  isakmp, кроме правильной оси, важна аппаратная поддержка
Есть ли она, проверить просто командой
sh hard
В выводе команды должна быть строчка
....................
1 Virtual Private Network (VPN) Module  
......................
 
 
Добавлено:

Цитата:
Как зайти в режим конфигурации cisco 36** ?

Где купить чернила для пятого класса?
В любой циске в режим конфигурации заходят командой
Configure  terminal
Читай книжки, потом будешь спрашивать, когда в голове устаканится!

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:08 21-09-2010
ra1n



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хыхы, пароднте) Вроде немного устаканилось. Поднял туннель, жду когда на другом конце настроят всё как надо.

Всего записей: 328 | Зарегистр. 22-12-2006 | Отправлено: 12:33 21-09-2010
Bock



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Господа, скрэшилась вечером 4948. Скажите, кому можно кинуть крэшдамп, чтобы узнать, в чём причина была?
 
C4948#  sh ver
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 12.2(52)SG, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 12-May-09 14:57 by prod_rel_team
Image text-base: 0x10000000, data-base: 0x1209A248
 
System returned to ROM by abort at PC 0x0
System restarted at 21:29:58 EEST Tue Sep 21 2010
System image file is "bootflash:cat4500-entservicesk9-mz.122-52.SG.bin"
 
Гугление на эту тему пока что приводит только к:
CSCsi17158  
 
Symptoms: Devices running Cisco IOS may reload with the error message "System returned to ROM by abort at PC 0x0" when processing SSHv2 sessions. A switch crashes. We have a script running that will continuously ssh-v2 into the 3560 then close the session normally. If the vty line that is being used by SSHv2 sessions to the device is cleared while the SSH session is being processed, the next time an ssh into the device is done, the device will crash.  
 
Conditions: This problem is platform independent, but it has been seen on Cisco Catalyst 3560, Cisco Catalyst 3750 and Cisco Catalyst 4948 series switches. The issue is specific to SSH version 2, and its seen only when the box is under brute force attack. This crash is not seen under normal conditions.  
 
(но у нас ssh не используется).
И:
If many ARP entries (47k) exist and you clear the ARP table, the system reloads and the switch crashes with the message:  
ROM by abort at PC 0x0
 
 
Workaround: None.  
 
Downgrade to Cisco IOS Release 12.2(50)SG3 if needed.
 

Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 23:49 21-09-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bock
Цитата:
но у нас ssh не используется
Не используется или задизейблен? Это две большие разницы. Просто многие умники пытаются брутфорсить ssh подключение, сам неоднлкратно в логах такие попытки видел.

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 00:05 22-09-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bock

Цитата:
Господа, скрэшилась вечером 4948. Скажите, кому можно кинуть крэшдамп, чтобы узнать, в чём причина была?

Core dumps как правило отправляются в Cisco инженерам поддержки, которые и занимаются анализом причин краха, так же было бы не плохо развернуть в сети syslog-сервер на который будет протоколироваться журнал событий оборудования в том числе и информация из-за которой могло возникнуть падение системы. В любом случае отправить "корку" в Cisco вам не помешает, чтобы получить детальный отчет о причинах падения вашего оборудования.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 00:32 22-09-2010
Bock



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary, сеть сильно изолирована, на vty висит лист и  
#sh crypto key mypubkey rsa  
 
пусто.
 
ginger, сислог есть, но анализ его ничего не дал - там ничего такого от коммутатора не приходило.

Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 10:04 22-09-2010
ginger



Рыжик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bock

Цитата:
сислог есть, но анализ его ничего не дал - там ничего такого от коммутатора не приходило.

Как вариант попробуйте проанализировать и воссоздать происходящее в злополучный день, время, час, при этом не помешало бы подключиться через консоль к коммутатору, установив соответствующий вывод журнала на нее, проанализировать нагрузку и расход памяти, так же не помешает удостовериться соответствует ли используемый вами IOS требованиям вашего железа, собственно это то, что вы в силах сделать самостоятельно, но как я уже говорила, точную информацию вам предоставит сама Cisco.

----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя...

Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 21:40 22-09-2010
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Может кто реализовывал такую функцию подскажите
Есть циска 857 у неё есть DHCP пул 192.168.0.1/24 клиенты всевозможные (Win Lin) есть идея разрешить по умолчанию выход в инет только линуксовым клиентам у которых TTL = 64 Каким образом (ACL либо ещё как) фильтрануть всех у кого ТТL > 64 не пускать в инет?

Всего записей: 73 | Зарегистр. 22-09-2005 | Отправлено: 08:46 23-09-2010
Bock



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ginger, у нас стоит в связке 6 4948, все между собой связаны etherchannel, кольцо такое большое, сходимость которого очень маленькая (за счёт выставления приоритетов спаннин-три). остальные 5 штук не перезагружались, аптаймы остались (год и 7 недель). ios везде одинаковый. Не думайте, что ничего не анализируется, снималась информация mrtg & cacti. Так к тому времени, как всё произошло, трафика не было. Я бы наоборот не удивился, что он может быть сложился, если бы загрузка была, так ей даже и не пахло.
 
Ладно, логи отправлены в циско, будем ждать.

Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 09:45 23-09-2010
ESX091

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AMuHb
было дело.
1. желательно определить на основе чего будете сортировать пакеты (длина пакета, определенные опции)
у XP, например, есть такая опция 60 в dhcp discover.
2. после этого решаете какой механизм будет использоваться для разделения пакетов, (fpm, acl, class-map..)
3. теперь пакет можно выделить из толпы и перенаправить на другой dhcp/пул.

Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 13:54 23-09-2010
AMuHb

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Как я понял ловить запрос на получение адреса (как промониторить опцию 60?)
в зависимости от этого давать нужный ИП и уже его рубить, но получается если задать ИП руками из пула которому можно в инет то пофигу какая ОС.

Всего записей: 73 | Зарегистр. 22-09-2005 | Отправлено: 14:21 23-09-2010
resetsa

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос к знатокам.
в общем есть cisco857 (Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T13, RELEASE SOFTWARE (fc3)) хочется настроить отдачу статистики по netflow.
на циско.ком пишють, что можно использовать для этих целей flexible netflow.
доступ в инет имею через pppoe, соответсвенно примению настройки netflow на dialer1.
т.е на di1
 ip flow monitor MON_VI1 input
 
но sh flow interface показывает
Interface Dialer1
  FNF:  monitor:         MON_VI
        direction:       Input
        traffic(ip):     on
вроде де бы vi1 должен клонироваться с di1, но..
 
Собственно и сам вопрос, можно ли каким образом применить netflow monitor на vi1?
конфиг
flow exporter TO_COMP
 description EXPORT TO HOME COMP
 destination 192.168.1.2
 source Vlan1
 transport udp 9996
 
flow monitor MON_VI
 description MONITOR FOR INPUT VI INTERFACE
 record netflow ipv4 original-input
 exporter TO_COMP
 statistics packet protocol
 
interface Dialer1
 description INTERNET
 bandwidth 18000
 ip address negotiated
 ip access-group DENY_ALL in
 ip mtu 1492
 ip inspect FW out
 ip flow monitor MON_VI input
 ip nat outside
 ip virtual-reassembly max-reassemblies 512
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 no cdp enable
 ppp chap hostname ХХХХХХХХХХХХ
 ppp chap password ХХХХХХХХХХХ
 ppp pap sent-username ХХХХХХХХХХХ password 7 ХХХХХХХХХХХХХ
 
сильно не пинайте, если что не так написал

Всего записей: 195 | Зарегистр. 11-01-2007 | Отправлено: 23:36 23-09-2010
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Настроен цифровой модемный пул (CISCO2811 + HWIC-1CE1T1-PRI + PVDM2-12DM)
 
Необходимо принудительно разрывать звонок через 20 минут
Нашел пару команд: "dialer idle-timeout" и "ppp timeout idle", но они мне не подходят, т.к. привязаны к бездействию линии. Мне же необходимо рвать соединение вне зависимости есть там трафик или нет.
 
Есть ли команда для такого случая? Если да, то какая?
 
кусок конфигурации

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 19:57 29-09-2010 | Исправлено: rakis, 19:58 29-09-2010
zukker2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги, прошу у вас помощи. Имеется Cisco c3750. Иногда, не понятно почему "подвисают" списки доступа и все пользователи становятся отрезаны от этого вилана. Лечиться только удалением и созданием заново это списка.  Причем я заметил, что когда они висят, правила не добавляются и не удаляются.

Всего записей: 6 | Зарегистр. 20-08-2009 | Отправлено: 13:57 30-09-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru