The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Создать новую тему
- Свернуть нити
Пометить прочитанным
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |  
Форум Маршрутизаторы CISCO и др. оборудование. [ Раздел для поиска IOS ]  
не добавляется правило nat, !*! bratislav, (Маршрутизация) 27-Июл-17, 19:42  [ | | | ] [линейный вид] [смотреть все]
Добрый день!
Когда в консоли ввожу правила, то сохраняется только одно, как сделать чтоб эти правила сохранились оба ? спасибо!

т.е. что было:
ip nat inside source list localpc interface GigabitEthernet0/0.200 overload
ip nat inside source list localpc interface GigabitEthernet0/0.100 overload


Ответить | Сообщить модератору
pptp клиент за cisco ASA ios 8.2, !*! snooooop, (ACL, фильтрация и ограничение трафика) 10-Окт-18, 06:52  [ | | | ] [линейный вид] [смотреть все]
все доброго дня!
не могу уже который день победить одну заразу.
не подключается клиент за ASA к pptp серверу эквайринга, удалённый сервер работает, проверяли из других сетей, там все нормально..но там и другие fw стоят.
везде, во всех доках конфиг выглядит как
Код:    

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# inspect pptp

у меня чёт не работает...
вот моё "кунгфу"

class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect http
  inspect ip-options
  inspect pptp
service-policy global_policy global

скажите куда смотреть??
со стороны fw, весь трафик с клиента открыл, со стороны сервера - то же открывал = не помогает.....

Ответить | Сообщить модератору
Маршрутизация RIP на Mikrotik, !*! nops, (Диагностика и решение проблем) 06-Окт-18, 22:38  [ | | | ] [линейный вид] [смотреть все]
Доброго времени коллеги.
Снова обращаюсь за советом.
Имею в штате несколько микротиков, объединенных по GRE over IPSEC. адреса на каждый интерфейс назначаю из 30-й подсети, чтобы адреса не пресекались.
Настраиваю RIP. Тут все просто, добавляю подсети, одна это подсеть, которая смотрит в сторону туннелей, вторая в сторону локалки. Вот пример
[nops@MikroTik] > /routing rip network print
Flags: X - disabled
#   NETWORK
0   192.168.90.0/24
1   10.10.10.0/24
Где 10.10.10.0/24 это локальная подсеть, а 192.168.90.0/24 это подсеть для GRE


[nops@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   10.10.10.1/24      10.10.10.0      RBN-Bridge
1   ;;; Adress-INSIS_1
     79.172.45.30/27    79.172.45.0     ether1-INSIS
2   192.168.90.1/30    192.168.90.0    GRE_to_Prom
3   192.168.90.5/30    192.168.90.4    GRE_to_2706
4   192.168.90.9/30    192.168.90.8    GRE_to_UOZ
5   192.168.90.25/30   192.168.90.24   GRE_to_Koms

Так у меня были подключены и работали 3 маршрутизатора через туннели: GRE_to_Prom, GRE_to_2706 и GRE_to_Koms.
Вот:
[nops@MikroTik] > /routing rip route print
Flags: C - connect, S - static, R - rip, O - ospf, B - bgp
#   DST-ADDRESS        GATEWAY         FROM                METRIC TIMEOUT
0 R 10.10.10.0/24                                               1
1 R 10.110.100.0/24                    192.168.90.2             2 2m47s
2 R 10.110.101.0/24                    192.168.90.6             2 2m30s
3 R 10.110.102.0/24                    192.168.90.10            2 2m59s
4 R 192.168.90.0/30                                             1
5 R 192.168.90.4/30                                             1
6 R 192.168.90.8/30                                             1
7 R 192.168.90.12/30                   192.168.90.2             2 2m47s
8 R 192.168.90.16/30                   192.168.90.2             2 2m47s
9 R 192.168.90.20/30                   192.168.90.10            2 2m59s
10 R 192.168.90.24/30                                            1
11 R 192.168.183.0/24                   192.168.90.26            2 2m34s

Я добавил еще один туннель GRE_to_UOZ, подключил 3 туннеля, с каждой из железок, прописал все аналогично, то есть сети:
[nops@MikroTik] > /routing rip network print
Flags: X - disabled
#   NETWORK
0   10.110.102.0/24
1   192.168.90.0/24
[nops@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   10.110.102.1/24    10.110.102.0    bridge
1   94.230.130.45/24   94.230.130.0    ether1
2   192.168.90.10/30   192.168.90.8    GRE_to_Server
3   192.168.90.18/30   192.168.90.16   GRE_to_Prom
4   192.168.90.22/30   192.168.90.20   GRE_to_2706

То есть, схема как и везде на роутерах, на других. выделеные 30-е подсети для каждого туннеля, указание подсеете в настройках RIP и все взлетает... Но не на этой железке.
Как видно на удаленных роутера маршруты получаем и они прописываются:
3 R 10.110.102.0/24                    192.168.90.10            2 2m59s
А вот на самом роутере, ни один маршрут не получается и не прописывается.
Сдается мне, ч где-то что-то забыл, но не могу понять где и что. Пока прописал маршруты руками, но мне нужна динамика.

Прошу подсказать, где я что забыл, при настройке RIP.


В общем, другими словами. Прописываю на 4-м роутере все необходимые настройки, для анонса и получения маршрутов, то есть подсети снаружи и внутри, но маршруты не получаю.

Ответить | Сообщить модератору
  • А почему рип, он же рип По делу, трафик от соседа летит Что в логах , !*! Del (?), 05:58 , 08-Окт-18 (1)
    А почему рип, он же рип? По делу, трафик от соседа летит? Что в логах?
    сообщить модератору +/ответить
  • gt оверквотинг удален Разобрался господа,Всем спасибо за участие Причина крыла, !*! nops (ok), 13:28 , 08-Окт-18 (7)
    >[оверквотинг удален]
    >            
    > 2 2m59s
    > А вот на самом роутере, ни один маршрут не получается и не
    > прописывается.
    > Сдается мне, ч где-то что-то забыл, но не могу понять где и
    > что. Пока прописал маршруты руками, но мне нужна динамика.
    > Прошу подсказать, где я что забыл, при настройке RIP.
    > В общем, другими словами. Прописываю на 4-м роутере все необходимые настройки, для
    > анонса и получения маршрутов, то есть подсети снаружи и внутри, но
    > маршруты не получаю.

    Разобрался господа,
    Всем спасибо за участие.
    Причина крылась вот в этом правиле файрвола:
    11 X  ;;; defconf: drop all not coming from LAN
          chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

    сообщить модератору +/ответить
Mikrotik и GRE тунели, !*! nops, (Диагностика и решение проблем) 03-Окт-18, 09:01  [ | | | ] [линейный вид] [смотреть все]
Доброго дня коллеги.
Я малость зашел в тупик и посему интересуюсь у вас.
Имеется 2 микротика, на обоих белые IP.
Соединяю их между собой GRE-тунелем с шифрованием.
Удаленный:
name="GRE_to_2706" mtu=auto actual-mtu=1406 local-address=1.1.1.1
      remote-address=2.2.2.2 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Локальный:
name="GRE_to_servers" mtu=auto actual-mtu=1406 local-address=2.2.2.2
      remote-address=1.1.1.1 keepalive=10s,10 dscp=inherit
      clamp-tcp-mss=yes dont-fragment=no ipsec-secret="Secret"
      allow-fast-path=no

Маршруты настроены RIP

Прошу без холивара на тему "А зачем?!", "А почему?", просто проблема наблюдается только на одном туннеле, который описал выше, на других проблем не наблюдается.

Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.
Проблема нарисовалась резко, вчера. То есть в понедельник все было ок, а во вторник хуяк и кончилось. Работ никаких на железе не производилось, только был добавлен IP-адрес в address-list и все.

Подскажите, куда можно копнуть, чтобы понять, что ему надо...

P.S.
Трассировка проходит без проблем:
$ traceroute 10.10.10.9
traceroute to 10.10.10.9 (10.10.10.9), 64 hops max, 52 byte packets
1  10.110.101.1 (10.110.101.1)  0.707 ms  0.313 ms  0.251 ms
2  192.168.90.5 (192.168.90.5)  2.580 ms  4.667 ms  2.385 ms
3  10.10.10.9 (10.10.10.9)  3.280 ms  2.921 ms  2.883 ms

Удаленная подсеть 10.10.10.0/24
Локальная сеть 10.110.101.0/24

При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной подсети юзают инет и у них все работает.

Скан портов все отображает:
$ nmap 10.10.10.9
Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-03 11:26 YEKT
Nmap scan report for 10.10.10.9
Host is up (0.010s latency).
Not shown: 990 closed ports
PORT      STATE    SERVICE
135/tcp   open     msrpc
139/tcp   open     netbios-ssn
445/tcp   open     microsoft-ds
2179/tcp  open     vmrdp
3071/tcp  open     csd-mgmt-port
3389/tcp  filtered ms-wbt-server
49152/tcp open     unknown
49153/tcp open     unknown
49154/tcp open     unknown
49155/tcp open     unknown

Nmap done: 1 IP address (1 host up) scanned in 9.46 seconds

но почему-то рубит порт 3389, забегая вперед, брандмауэр отключен

[nops@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; AcessAll
      chain=input action=accept log=no log-prefix=""
1    ;;; AcessAll
      chain=output action=accept log=no log-prefix=""
2    ;;; Input for RBN
      chain=forward action=accept src-address-list=RBN_Local dst-address-list=RBN_Local log=no log-prefix=""
3    ;;; Input for RBN
      chain=input action=accept src-address-list=RBN log=no log-prefix=""
4    ;;; Output for RBN
      chain=output action=accept dst-address-list=RBN log=no log-prefix=""
5    chain=forward action=accept src-address-list=RBN dst-address-list=RBN log=no log-prefix=""
6    ;;; Allow PPTP
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
7    ;;; Allow L2TP
      chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
8    ;;; Accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""
9    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23,22 log=no log-prefix=""
10 X  chain=input action=drop protocol=tcp in-interface=ether2-TTK dst-port=23,22 log=no log-prefix=""
11    chain=input action=drop protocol=udp in-interface=ether1-INSIS in-interface-list=all dst-port=53 log=no log-prefix=""
12 X  chain=input action=drop protocol=udp in-interface=ether2-TTK in-interface-list=all dst-port=53 log=no log-prefix=""
13 X  chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix=""
14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no log-prefix=""
16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix=""
18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no log-prefix=""

Ответить | Сообщить модератору
  • Вы сильно путаетесь в показаниях этопротиворечит этому Либо ВЕСЬ трафик режется , !*! ыы (?), 12:38 , 03-Окт-18 (1)
    Вы сильно путаетесь в показаниях.

    это
    > Проблема заключается в том, что пинги проходят, а вот остальной трафик нет.

    противоречит этому:

    > При этом, в удаленной подсети поднять прокси сервер, через который пользователи локальной
    > подсети юзают инет и у них все работает.

    Либо ВЕСЬ трафик режется кроме пингов, либо режется только один порт.

    Что такое 192.168.90.5  из трасерта?

    Выполните в локальной сети обращение к 3389 порту удаленной сети и посмотрите на шлюзах был ли пакет туда и обратный.

    Гдето на каком-то участке он потеряется...там и проблема

    сообщить модератору +/ответить
  • gt оверквотинг удален Господа Всем спасибо за участие Ваши комментарии помог, !*! nops (ok), 07:18 , 04-Окт-18 (7)
    >[оверквотинг удален]
    > log=no log-prefix=""
    > 14 X  chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix=""
    > 15 X  chain=block-ddos action=return dst-limit=60,60,src-and-dst-addresses/10s log=no
    > log-prefix=""
    > 16 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
    > log=no log-prefix=""
    > 17 X  chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
    > log=no log-prefix=""
    > 18    chain=input action=drop protocol=tcp in-interface=ether1-INSIS dst-port=23 log=no
    > log-prefix=""

    Господа. Всем спасибо за участие. Ваши комментарии помогли мне найти причину такого поведения роутера.
    Причиной было правило, про добавление которого  я забыл. Директору срочно нужно было организовать РДП-доступ до его компа в офисе, а я на телефоне только и особо не настроишь ничего. было принято решение, сделать правило прообраза порта 3389 на его комп, но учитывая что делалось все в второпях, будучи за рулем да еще и с телефона, в правиле не был прописан входящий интерфейс и даже адрес источника. Следовательно, все запросы, приходящие на все интерфейсы на 3389 порт, были завернуты на комп директора, который выключен.

    Всем еще раз спасибо.

    сообщить модератору +/ответить
Что может ограничивать скорость в маршрутизаторе?, !*! motok, (Диагностика и решение проблем) 03-Окт-18, 10:12  [ | | | ] [линейный вид] [смотреть все]
Есть в двух офисах абсолютно одинаковые cisco 881 pci-k9. С аналогичными конфигами. Поднят нат  и ipsec vpn.
В обоих офисах провайдер подает 100 мбит\с. Проблема в том,что на на одной циске скорость внутренним пользователям показана правильно (около 90 мбит\с), а в другом ровно 50. Как будто стоит ограничение ровно на 50 мбит\с. Если подключаться в обход циске, все ок - 100 мбит\с. Проблема где то в циске. Есть правила rate-limit на определенные access-group. Но мой аипи там не присутствует. Да же если отключить правила, все равно скорость остается 50.
Ответить | Сообщить модератору
CME 12 + CIPC вопрос по созданию поиска в списке xml, !*! cr1m2, (VoIP) 26-Сен-18, 15:11  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, кто-нибудь прикручивал php-скрипты для поиска в теоефоной книге xml?
Хочется сделать поиск по книге в cisco ip communicator
Ответить | Сообщить модератору
Cisco trunk, !*! Ilya, (Cisco Catalyst коммутаторы) 25-Сен-18, 08:34  [ | | | ] [линейный вид] [смотреть все]
Два свича 9300 и 2960L-24TC соединены между собой по оптике через SFP.

На 25 порту(SFP) 2960L:

interface GigabitEthernet0/25
switchport trunk allowed vlan 1,2,250
switchport mode trunk

Через некоторое время у 2960L  виснет дефолтный Vlan1 и IP который висит на Vlan1 не доступен.

Через консоль 2960L не доступна тоже.

Хотя компы и т.д., которые подключены к ней во Vlan1 работают нормально.

В чем может быть причина?

Ответить | Сообщить модератору
  • Memory leak, либо просто память закончилась Например забита сообщениями logging , !*! eek (ok), 08:38 , 25-Сен-18 (1)
    Memory leak, либо просто память закончилась.

    Например забита сообщениями logging для которых админ не ограничил объем хранения.

    сообщить модератору +/ответить
  • sh vtp status - на обоих что показывает , !*! ogiss (?), 09:45 , 25-Сен-18 (4)
    sh vtp status - на обоих что показывает ?

    сообщить модератору +/ответить
  • Схема https c radikal ru c43 1809 5a 7a650f71a673 png, !*! Ilya (??), 09:58 , 25-Сен-18 (7)
  • На 2960 sh inv sh ver, !*! Andrey (??), 14:15 , 26-Сен-18 (10)
    > Два свича 9300 и 2960L-24TC соединены между собой по оптике через SFP.
    > На 25 порту(SFP) 2960L:
    > interface GigabitEthernet0/25
    >  switchport trunk allowed vlan 1,2,250
    >  switchport mode trunk
    > Через некоторое время у 2960L  виснет дефолтный Vlan1 и IP который
    > висит на Vlan1 не доступен.
    > Через консоль 2960L не доступна тоже.
    > Хотя компы и т.д., которые подключены к ней во Vlan1 работают нормально.
    > В чем может быть причина?

    На 2960:
    sh inv
    sh ver

    сообщить модератору +/ответить


Ищу cme 12.0 gui, !*! cr1m2, (VoIP) 25-Сен-18, 12:39  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, поделитесь у кого есть gui для cucme 12.0
Ответить | Сообщить модератору
при попытке загрузить объем >100Gb теряется доступ в интернет, !*! Васечкин, (Разное) 21-Сен-18, 22:35  [ | | | ] [линейный вид] [смотреть все]
Добрый день

дано: доступ в интернет через гадюшник с кульхацкерами, mitm и даже просто дураками-экспериментаторами с микротиками.
проблема: при попытке загрузить большой объем >100Gb непринципиально, например, тем же apt-mirror или какой-нибудь android source, очевидно, происходит зависание этих самых микротиков у кульхацкеров. Иногда помогает перезагрузка моего роутера linksys(все текущие обновления и патчи стоят), чаще не помогает, но если вытащить провод и вставить через пять минут помогает безупречно. На кабель грешить не приходится, коннектор переобжат. Сетевики прова разводят руками на их оборудовании ограничений нет, но регистрируется много бэдов, предположительно, из-за атак типа fake source routing. На том же самом моем роутере поднял второй WAN на G4-живет без проблем, но он влетает в копеечку.      
вопрос: какие есть варианты решения проблемы, кроме поиска и наказания неадекватов? Что за проблема может такая быть у кульхацкеров, что решается только пятиминутным нарушением физического контакта с моей стороны? Может ли быть это ограничение на размер кэша/дампа?

Ответить | Сообщить модератору
  • горелый порт, пачкорд обжатый специалистом ,перебитый пачкорд, криво настроенн, !*! ыы (?), 23:07 , 21-Сен-18 (1)
    > регистрируется много бэдов,
    > помогает перезагрузка моего роутера

    горелый порт, пачкорд обжатый "специалистом",перебитый пачкорд,  криво настроенное устройство.

    >предположительно, из-за

    бреда

    сообщить модератору +/ответить
  • gt оверквотинг удален Какая-то словесная каша Непонятно что вкладывается в сл, !*! Andrey (??), 20:39 , 22-Сен-18 (4)
    >[оверквотинг удален]
    > обновления и патчи стоят), чаще не помогает, но если вытащить провод
    > и вставить через пять минут помогает безупречно. На кабель грешить не
    > приходится, коннектор переобжат. Сетевики прова разводят руками на их оборудовании ограничений
    > нет, но регистрируется много бэдов, предположительно, из-за атак типа fake source
    > routing. На том же самом моем роутере поднял второй WAN на
    > G4-живет без проблем, но он влетает в копеечку.
    > вопрос: какие есть варианты решения проблемы, кроме поиска и наказания неадекватов? Что
    > за проблема может такая быть у кульхацкеров, что решается только пятиминутным
    > нарушением физического контакта с моей стороны? Может ли быть это ограничение
    > на размер кэша/дампа?

    Какая-то словесная каша. Непонятно что вкладывается в слова: "неадекваты", "кульхацкеры", "сетевеки провайдера". Это одни и те-же лица? Если разные, то как между вами и оператором могжет быть кто-то еще?
    На linksys ошибки на сетевом интерфейсе регистрируются?
    Если качать большой объем, но ограничить скорость или больщой объем маленьких файлов, канал падает?

    сообщить модератору +/ответить
Как настроить WAN, если провайдер выдает динамический IP, !*! uncle_grin, (Маршрутизация) 15-Сен-18, 10:04  [ | | | ] [линейный вид] [смотреть все]
Собственно ситуация:
Провайдер, допустим севастопольский Севстар, выдает динамический адрес. При этом он периодически меняет адрес шлюза! Каждый раз руками прописывать шлюх надоело. Что делать? Что прописать?
Маршрутизатор 1841

interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 100.65.240.1
!

Подскажите, пожалуйста, я в тупик попал :(

Ответить | Сообщить модератору


Своя сеть клиентов для Cisco AIR-AP1042N-R-K9 в автономном режи, !*! OlegR, (Маршрутизация) 17-Сен-18, 16:57  [ | | | ] [линейный вид] [смотреть все]
Добрый день.

Сабж подключена проводом к коммутатору Cisco Linksys SPS224G4.
Работает в автономном режиме и раздает wifi клиентам с выходом в Инет.
Естественно, все ее клиенты получают адреса в той же сетке от внешнего роутера.

Возможно ли организовать на сабже свою раздачу адресов в своей локальной сетке (что бы у клиентов этой точки не было выхода в основную сеть), но с выходом в Инет и БЕЗ дополнительных настроек как коммутатора, к которому подключена сабж, так и внешнего роутера?
Дело в том, что роутер и коммутатор управляются извне и связываться с ними очень проблематично.

Спасибо.

На всякий случай, эта AP двухдиапазонная и поддерживает:
- Access Point
- Access Point(Fallback to Radio Shutdown)
- Access Point (Fallback to Repeater)
- Repeater
- Root Bridge
- Non-Root Bridge
- Root Bridge with Wireless Clients
- Non-Root Bridge with Wireless Clients
- Workgroup Bridge
- Universal Workgroup Bridge
- Scanner

Сейчас, как уже написал выше, AP прошита автономной прошивкой c1140-k9w7-tar.124-25d.JA1
Есть возможность прошить более новой прошивкой c1140-k9w7-tar.153-3.JD14

Ответить | Сообщить модератору
Site-to-Site IPsec VPN - Zone Based Firewall, !*! zerocool, (Cisco маршрутизаторы) 16-Сен-18, 08:49  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток!
Уважаемые спецы помогите решить мою задачу
Главный офис:
Роутер CISCO ISR 4331/K9
Внутренний подсеть 10.0.120.0/24
Удаленный офис:
Роутер CISCO 891/K9
Внутренний подсеть 10.92.32.0/24
Настроил Site-to-Site VPN, сам VPN пашет, пакеты бегают, но, когда с филиального офиса пытаюсь открыть через web-браузер страничку (tcp\80) страничка не загружается. Что-то не правильность в настройках ZBF т.к если с интерфейсов главного роутера (ISR4331) снимаю членство zone-member все работает. Для теста в филиальном офисе поднял web-сервер, там все работает. В главном офисе ZBF, на филиальном роутере CBAC.
Прилагается конфиги двух роутеров.
Заранее спасибо!

Main Office Router config:
--------------------------
Building configuration...
!
Current configuration : 14897 bytes
!
! No configuration change since last restart
!
version 15.5
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no platform punt-keepalive disable-kernel-core
!
hostname MAIN-ROUTER
!
boot-start-marker
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
aaa new-model
!
aaa authentication login default local
!
aaa session-id common
clock timezone KGT 6 0
no ip source-route
!
no ip bootp server
ip name-server 8.8.8.8

ip domain name domain.ru
!
subscriber templating
!
multilink bundle-name authenticated
!
license udi pid ISR4331/K9
!
spanning-tree extend system-id
!
redundancy
mode none
!
vlan internal allocation policy ascending
no cdp run
!
class-map type inspect match-any Outside-self_Services
match access-group name OSPF-2-self_ACL
match access-group name VPN-2-self_ACL
match access-group name MGMT-2-self_ACL
class-map type inspect match-any self-Outside_Services
match access-group name OSPF-From-self_ACL
match access-group name VPN-From-self_ACL
match access-group name MGMT-From-self_ACL
class-map type inspect match-any self-Services
match protocol ntp
class-map type inspect match-any Outside-Inside_Services
match access-group name MGMT-2-Inside_ACL
match access-group name VPN-Tunnels-Traffics_ACL
class-map type inspect match-any Users-Services
match protocol http
match protocol https
match protocol dns
match protocol icmp
match protocol ssh
match protocol smtp
match protocol echo
match protocol ntp
match protocol snmp
match protocol imap
match protocol imaps
match protocol imap3
class-map type inspect match-any Inside-self_Services
match access-group name Inside-2-self_ACL
class-map type inspect match-any self-Inside_Services
match access-group name self-2-Inside_ACL
class-map type inspect match-any Inside-Outside_Services
match class-map Users-Services
match access-group name RDP-In-2-Out_ACL
!
policy-map type inspect Outside-self_Policy
class type inspect Outside-self_Services
  pass
class type inspect self-Services
  inspect
class class-default
  drop
policy-map type inspect Inside-Outside_Policy
class type inspect Inside-Outside_Services
  inspect
class class-default
policy-map type inspect self-Outside_Policy
class type inspect self-Outside_Services
  pass
class type inspect self-Services
  inspect
class class-default
  drop
policy-map type inspect self-Inside_Policy
class type inspect self-Inside_Services
  inspect
class class-default
  drop
policy-map type inspect Inside-self_Policy
class type inspect Inside-self_Services
  inspect
class class-default
  drop
policy-map type inspect Outside-Inside_Policy
class type inspect Outside-Inside_Services
  inspect
class class-default
  drop
!
zone security Outside
zone security Inside
zone-pair security Inside-Outside source Inside destination Outside
service-policy type inspect Inside-Outside_Policy
zone-pair security Inside-self source Inside destination self
service-policy type inspect Inside-self_Policy
zone-pair security Outside-Inside source Outside destination Inside
service-policy type inspect Outside-Inside_Policy
zone-pair security Outside-self source Outside destination self
service-policy type inspect Outside-self_Policy
zone-pair security self-Inside source self destination Inside
service-policy type inspect self-Inside_Policy
zone-pair security self-Outside source self destination Outside
service-policy type inspect self-Outside_Policy
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp key Ksdmskd8238@n$2oij&1n!d$hd@8dj33jSnd&2jd address 2.2.2.2
!
crypto ipsec transform-set set1 esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto map CMAP 1 ipsec-isakmp
description =Tunnel to Adilet-Sot=
set peer 2.2.2.2
set transform-set set1
set pfs group2
match address VPN-TRAFFIC-BRANCH-OFFICE_ACL
!
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 1.1.1.1 255.255.255.224
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
zone-member security Outside
negotiation auto
no cdp enable
crypto map CMAP
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description =INSIDE=
ip address 10.0.120.1 255.255.255.0
ip nat inside
zone-member security Inside
negotiation auto
!
interface GigabitEthernet0/0/2
no ip address
shutdown
negotiation auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list NAT_ACL interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
no ip http server
no ip http secure-server
ip tftp source-interface GigabitEthernet0
ip dns server
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
ip access-list standard VTY_ACL
permit 10.0.120.7
deny   any
!
ip access-list extended Inside-2-self_ACL
permit ip any any
ip access-list extended MGMT-2-Inside_ACL
permit tcp any host 10.0.120.5 eq 3389
ip access-list extended MGMT-2-self_ACL
permit tcp any host 1.1.1.1 eq 22
ip access-list extended MGMT-From-self_ACL
permit tcp host 1.1.1.1 eq 22 any
ip access-list extended NAT_ACL
deny   ip 10.0.120.0 0.0.0.255 10.92.32.0 0.0.0.255
permit ip 10.0.120.0 0.0.0.255 any
ip access-list extended OSPF-2-self_ACL
permit ospf any host 1.1.1.1
ip access-list extended OSPF-From-self_ACL
permit ospf host 1.1.1.1 any
ip access-list extended Outside-2-self_ACL
permit tcp any any eq 22
permit ospf any any
permit eigrp any any
permit tcp any any eq 3389
ip access-list extended RDP-In-2-Out_ACL
permit tcp host 10.0.120.7 any
ip access-list extended VPN-2-self_ACL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
ip access-list extended VPN-From-self_ACL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
ip access-list extended VPN-TRAFFIC-BRANCH-OFFICE_ACL
permit ip 10.0.120.0 0.0.0.255 10.92.32.0 0.0.0.255
ip access-list extended VPN-Tunnels-Traffics_ACL
permit ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
ip access-list extended self-2-Inside_ACL
permit ip any any
!
logging origin-id ip
logging facility local6
logging host 10.0.120.9
!
snmp-server community Shd#629Sh%7h@73SbS2sh$3 RO SNMP_ACL
snmp-server location MAIL-OFFICE
snmp-server contact ZEROCOOL
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class VTY_ACL in vrf-also
exec-timeout 120 0
privilege level 15
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class VTY_ACL in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!
ntp server 176.126.165.80 source GigabitEthernet0/0/0
ntp server 80.241.0.72 source GigabitEthernet0/0/0
!
end

----------------------------------------------------------
Branch Office Router config:
----------------------------------------------------------
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname BRANCH-OFFICE
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
aaa new-model
!
aaa authentication login default local
aaa authentication ppp default local
no ip source-route
!
no ip bootp server
ip domain name domain.ru
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
vpdn enable
!
license udi pid C891F-K9
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key Ksdmskd8238@n$2oij&1n!d$hd@8dj33jSnd&2jd address 1.1.1.1
!
crypto ipsec transform-set set1 esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto map CMAP 1 ipsec-isakmp
description =Tunnel to Main OFFICE=
set peer 1.1.1.1
set transform-set set1
set pfs group2
match address VPN-TRAFFIC-MAIN-OFFICE_ACL
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
shutdown
!
interface GigabitEthernet3
no ip address
shutdown
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
shutdown
!
interface GigabitEthernet6
no ip address
shutdown
!
interface GigabitEthernet7
no ip address
shutdown
!
interface GigabitEthernet8
description =OUTSIDE=
ip address 2.2.2.2 255.255.255.224
ip access-group OUT_2_IN_ACL in
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
crypto map CMAP
!
interface Vlan1
ip address 10.92.32.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Async3
no ip address
encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list NAT_ACL interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.3
!
ip access-list standard VTY_ACL
permit 10.92.32.7
deny   any
!
ip access-list extended NAT_ACL
deny   ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
permit ip 10.92.32.0 0.0.0.255 any
ip access-list extended OUT_2_IN_ACL
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any traceroute
permit esp any any
permit ahp any any
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
ip access-list extended VPN-TRAFFIC-MAIN-OFFICE_ACL
permit ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class VTY_ACL in vrf-also
exec-timeout 120 0
privilege level 15
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class VTY_ACL in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 85.114.26.194
ntp server 198.55.111.50 minpoll 10
!
end

Ответить | Сообщить модератору
Перераспределение статических маршрутов в OSPF, !*! WhaTISSexY, (Маршрутизация) 06-Сен-18, 14:42  [ | | | ] [линейный вид] [смотреть все]
Добрый день.
Имеется схема организации каналов связи с удаленным объектом с использованием трех каналов с трех разных маршрутизаторов (R2, R3, R4) через серийные интерфейсы. Маршруты до подсети удаленного объекта прописаны статикой на каждом из трех роутеров с разными метриками. Маршрутизация в пределах офиса организована с использованием протокола OSPF. Конфигурация транзитных роутеров ниже:

=== R2 ===
interface Loopback0
ip address 172.25.3.2 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.2 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.1 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.2
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.2 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0
==========

=== R3 ===
interface Loopback0
ip address 172.25.3.3 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.3 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.5 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.3
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.3 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0 200
==========

=== R4 ===
interface Loopback0
ip address 172.25.3.4 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.4 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.9 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.4
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.4 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0 250
==========

Проблема в том, что если в работе только два канала (с R2 и R3), то при обрыве канала по R2 передача данных переключается на канал через R3, при восстановлении канала с R2 - переключается на канал на R2. То есть метрика статических маршрутов вроде бы отрабатывает.

Если же в работе все три канала, то при обрыве канала на R2 переключение выполняется произвольно (либо на R3, либо на R4), что при переключении на R4 приводит к асинхронной передаче, т.к. на стороне объекта резервирование каналов настроено другим образом и отрабатывает согласно приоритетам R2-R3-R4.

Суть вопроса - играют ли роли метрики статических маршрутов при перераспределении в OSPF?
Пробовал в настройках OSPF на R3 и R4 задавать метрики для перераспределенных статических подсетей:

!
router ospf 1
router-id 172.25.3.3
redistribute static subnets metric 50
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.3 0.0.0.0 area 1
!

результат тот же, при обрыве канала на R2 роутеры R3 и R4 не могут между собой договориться, при этом в дебаге OSPF отображается заданные мной при редистрибуции метрики для каждого из роутеров.
Использование route-map для задания метрик приводит к аналогичному результату.
Можно ли заставить работать указанную схему с тремя каналами?

Ответить | Сообщить модератору
  • gt оверквотинг удален Думаю можно, metric-type 1 укажите OSPF-у, что бы он учи, !*! fantom (??), 15:28 , 07-Сен-18 (1) +1
    >[оверквотинг удален]
    >  router-id 172.25.3.3
    >  redistribute static subnets metric 50
    >  network 172.19.97.0 0.0.0.15 area 1
    >  network 172.25.3.3 0.0.0.0 area 1
    > !
    > результат тот же, при обрыве канала на R2 роутеры R3 и R4
    > не могут между собой договориться, при этом в дебаге OSPF отображается
    > заданные мной при редистрибуции метрики для каждого из роутеров.
    > Использование route-map для задания метрик приводит к аналогичному результату.
    > Можно ли заставить работать указанную схему с тремя каналами?

    Думаю можно,
    metric-type 1 укажите OSPF-у, что бы он учитывал не только метрику редистрибуции, но  и цену "доставки".
    Ну и правильно и расписать бэндвиз, чтоб таблицы у рутеров "сошлись"

    сообщить модератору +1 +/ответить
cisco cme 12.0 sip не проигрывает music on hold, !*! cr1m2, (VoIP) 28-Авг-18, 10:15  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте на роутере 2951 поднят СМЕ 12.0
ПОльзователи регистрируются по sip, звонят друг другу и во внешку через sip trunk. Но вот при постановке на удержание тишина у всех, настройки такие (стандартные)
telephony-service

moh enable-g711 "flash0:music-on-hold.au"
multicast moh 239.23.4.10 port 2000

файл лежит на флешке flash0

  326  -rw-      496521   Nov 8 2016 16:57:24 +04:00  music-on-hold.au

Ответить | Сообщить модератору


ISR 4451, !*! lumino, (Cisco маршрутизаторы) 08-Сен-18, 02:21  [ | | | ] [линейный вид] [смотреть все]
Добрый день. Просьба сразу ногами не пинать.
Есть сеть разбитая на vlan. Настроенные свичи под это.

На замену пришла -ISR 4451.
По хорошему надо было только добавить sub-interface

Влан добавить не могу. Команд нет.
При добавлении sub-interface он создается. Но дальше толку нет.

#sh ver
Cisco IOS XE Software, Version 16.05.01b
Cisco IOS Software [Everest], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9_NPE-M), Version 16.5.1b, RELEASE SOFTWARE (fc1)

System image file is "bootflash:isr4400-universalk9_npe.16.05.01b.SPA.bin"


#sh vtp status
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 :
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled

Feature VLAN:
--------------
VTP Operating Mode                : Server
Maximum VLANs supported locally   : 64
Number of existing VLANs          : 5
Configuration Revision            : 0


GigabitEthernet0/0/1.5 172.16.0.111    YES manual up                    up      
Gi0/0/1.60             unassigned      YES unset  up                    up      
Gi0/0/1.63             172.17.63.254   YES manual up                    up      
Gi0/0/1.64             172.17.64.254   YES manual up                    up      
Gi0/0/1.66             172.17.66.254   YES manual up                    up      
Gi0/0/1.106            172.17.106.254  YES manual up                    up

#sh run interface gigabitEthernet 0/0/1.106
Building configuration...

Current configuration : 184 bytes
!
interface GigabitEthernet0/0/1.106
encapsulation dot1Q 106
ip address 172.17.106.254 255.255.255.0


Может подскажет кто?

Ответить | Сообщить модератору
  • Виланы могут быть только для свичевой платы Собственные интерфейсы - routed sho, !*! ShyLion (ok), 07:01 , 10-Сен-18 (1)
    > На замену пришла -ISR 4451.
    > Влан добавить не могу. Команд нет.

    Виланы могут быть только для свичевой платы. Собственные интерфейсы - routed.

    show inventory

    сообщить модератору +/ответить
iSCSI на 2960x реально?, !*! www_tank, (Cisco Catalyst коммутаторы) 10-Сен-18, 11:24  [ | | | ] [линейный вид] [смотреть все]
Не могу найти в инете сведений, что этот коммутатор WS-C2960X-24TD-L вообще поддерживает iSCSI.
Беру примеры настройки iscsi и не нахожу ни одной из этих команд у себя на коммутаторе ( ios C2960X-UNIVERSALK9-M), Version 15.2(2)E6)

Если все же оно поддерживается, посоветуйте какие оптические модули купить? СХД HPE MSA 1040 2Prt 10G iSCSI DC SFF Strg (E7W04A)

Ответить | Сообщить модератору
  • iSCSI работает поверх IP Коммутатор до уровня iSCSI не поднимается Максисимум п, !*! Аноним (2), 13:12 , 10-Сен-18 (2)
    > Не могу найти в инете сведений, что этот коммутатор WS-C2960X-24TD-L вообще поддерживает
    > iSCSI.
    > Беру примеры настройки iscsi и не нахожу ни одной из этих команд
    > у себя на коммутаторе ( ios C2960X-UNIVERSALK9-M), Version 15.2(2)E6)
    > Если все же оно поддерживается, посоветуйте какие оптические модули купить? СХД HPE
    > MSA 1040 2Prt 10G iSCSI DC SFF Strg (E7W04A)

    iSCSI работает поверх IP. Коммутатор до уровня iSCSI не поднимается.
    Максисимум поддержка Jumbo Frame для меньшего оверхеда.

    сообщить модератору +/ответить
  • А про поддержку Одноклассников, Вконтакте, SIP, WarCraft и Battlefield в спеках , !*! ShyLion (ok), 14:21 , 10-Сен-18 (3)
    > Не могу найти в инете сведений, что этот коммутатор WS-C2960X-24TD-L вообще поддерживает
    > iSCSI.
    > Беру примеры настройки iscsi и не нахожу ни одной из этих команд
    > у себя на коммутаторе ( ios C2960X-UNIVERSALK9-M), Version 15.2(2)E6)
    > Если все же оно поддерживается, посоветуйте какие оптические модули купить? СХД HPE
    > MSA 1040 2Prt 10G iSCSI DC SFF Strg (E7W04A)

    А про поддержку Одноклассников, Вконтакте, SIP, WarCraft и Battlefield в спеках коммутаторов должны писать? :)
    iSCSI это SCSI поверх IP, ему фиолетово что там за коммутатор. Ну общем смысле, понятно. Конечно для максимальной производительности ищут коммутаторы с поддержкой JumboFrame, с низкой задержкой и т.п.

    сообщить модератору +/ответить
ASA доступ в интернет через VPN, !*! DenP, (VPN, VLAN, туннель) 06-Сен-18, 14:52  [ | | | ] [линейный вид] [смотреть все]
Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.

ip local pool vpn_pool 10.47.1.10-10.47.1.20 mask 255.255.255.224

dns server-group DefaultDNS
name-server 109.195.225.1
name-server 109.195.224.1
domain-name workgroup
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network LAN
subnet 192.168.1.0 255.255.255.0
object network ASA
host 192.168.1.1
object network NETWORK_OBJ_10.47.1.0_27
subnet 10.47.1.0 255.255.255.224
object-group network nat1
network-object object ASA
network-object object NETWORK_OBJ_10.47.1.0_27

access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit object-group
access-list outside_access_in extended deny ip any 192.168.1.0 255.255.255.0 log errors
access-list outside_access_in extended deny object-group TCPUDP any 192.168.1.0 255.255.255.0 log errors
access-list home_splitTunnelAcl standard permit any4
!
tcp-map Test
  reserved-bits drop
!

nat (outside,inside) after-auto source static NETWORK_OBJ_10.47.1.0_27 NETWORK_OBJ_10.47.1.0_27 no-proxy-arp
nat (inside,outside) after-auto source dynamic nat1 interface dns
access-group outside_access_in in interface outside

crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpool policy


group-policy home internal
group-policy home attributes
dns-server value 192.168.1.2
vpn-tunnel-protocol ikev1 ikev2
split-tunnel-policy tunnelspecified
split-tunnel-network-list value home_splitTunnelAcl
default-domain value workgroup
split-tunnel-all-dns disable
tunnel-group home type remote-access
tunnel-group home general-attributes
address-pool vpn_pool
default-group-policy home
tunnel-group home ipsec-attributes
ikev1 pre-shared-key Ki2013Pr
tunnel-group-map default-group home
!

Ответить | Сообщить модератору
  • Спасибо,разобрался Надо добавить правило НАТ А вот куда копать по поводу того ч, !*! DenP (ok), 15:39 , 06-Сен-18 (1)
    Спасибо,разобрался) Надо добавить правило НАТ.А вот куда копать по поводу того что не резолвятся dns имена компов?
    сообщить модератору +/ответить
Маршрутизатор не грузится с первого раза, !*! Макс, (Диагностика и решение проблем) 04-Сен-18, 09:53  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте.
Есть старенькая cisco 1760, долгое время все работало корректно, некоторое время появилась следующая проблема - после сброса питания загружается с первого только до rommon. Если в rommon написать reset загрузится и будет работать корректно до очередного отключения электричества. Проблема решаема?
Ответить | Сообщить модератору
Большое количество input errors на интерфейсе, !*! cr1m2, (Маршрутизация) 25-Июл-18, 09:58  [ | | | ] [линейный вид] [смотреть все]
Выявил место проблемы по графикам observium: на внутреннем интерфейсе роутера начинают копиться input errors прямо пропорционально трафику через него, если начинают качать/отдавать под 60Мбит/с, то на внутреннем интерфейсе, идущего к пользователям лавинообразно растут input errors, делал debug ip error detail, не вижу ошибок на консоли. Если трафик 60-80Мбит/с, то применять SPAN тяжело, будет куча мусора. Может еще какие-то дебаги помогут?


В сети обычно говорят, что input errors чаще всего связаны с физическими проблемами в проводе, порту eth. Но я думаю это не тот случай.

Ответить | Сообщить модератору
  • Должны быть где-то типы ошибок Runt CRC Collision giant , !*! fantom (??), 11:05 , 25-Июл-18 (1)
    > Выявил место проблемы по графикам observium: на внутреннем интерфейсе роутера начинают
    > копиться input errors прямо пропорционально трафику через него, если начинают качать/отдавать
    > под 60Мбит/с, то на внутреннем интерфейсе, идущего к пользователям лавинообразно растут
    > input errors, делал debug ip error detail, не вижу ошибок на
    > консоли. Если трафик 60-80Мбит/с, то применять SPAN тяжело, будет куча мусора.
    > Может еще какие-то дебаги помогут?
    > В сети обычно говорят, что input errors чаще всего связаны с физическими
    > проблемами в проводе, порту eth. Но я думаю это не тот
    > случай.

    Должны быть где-то типы ошибок:
    Runt? CRC? Collision? giant?

    сообщить модератору +/ответить
  • Поиграйтесь с MTU он же jumbe frame , !*! Vladimir (??), 15:37 , 06-Сен-18 (4)
    > Выявил место проблемы по графикам observium: на внутреннем интерфейсе роутера начинают
    > копиться input errors прямо пропорционально трафику через него, если начинают качать/отдавать
    > под 60Мбит/с, то на внутреннем интерфейсе, идущего к пользователям лавинообразно растут
    > input errors, делал debug ip error detail, не вижу ошибок на
    > консоли. Если трафик 60-80Мбит/с, то применять SPAN тяжело, будет куча мусора.
    > Может еще какие-то дебаги помогут?
    > В сети обычно говорят, что input errors чаще всего связаны с физическими
    > проблемами в проводе, порту eth. Но я думаю это не тот
    > случай.

    Поиграйтесь с MTU (он же jumbe frame)//////

    сообщить модератору +/ответить
  • sh buffers , !*! Andrey (??), 21:36 , 06-Сен-18 (8)
    > Выявил место проблемы по графикам observium: на внутреннем интерфейсе роутера начинают
    > копиться input errors прямо пропорционально трафику через него, если начинают качать/отдавать
    > под 60Мбит/с, то на внутреннем интерфейсе, идущего к пользователям лавинообразно растут
    > input errors, делал debug ip error detail, не вижу ошибок на
    > консоли. Если трафик 60-80Мбит/с, то применять SPAN тяжело, будет куча мусора.
    > Может еще какие-то дебаги помогут?
    > В сети обычно говорят, что input errors чаще всего связаны с физическими
    > проблемами в проводе, порту eth. Но я думаю это не тот
    > случай.

    sh buffers

    сообщить модератору +/ответить
Правила ACL для изолированной подсети, !*! Net09, (ACL, фильтрация и ограничение трафика) 30-Авг-18, 12:55  [ | | | ] [линейный вид] [смотреть все]
Добрый день!

Стоит задача изолировать влан (46), но при этом разрешить доступ на хосты данной подсети с сетей: 192.168.40.0/24 (влан 40) и 192.168.43.0/24 (влан 43).

Создаю ACL правила:
ip access-list extended education
permit ip 192.168.46.0 0.0.0.255 192.168.46.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 192.168.46.0 0.0.0.255
permit ip 192.168.43.0 0.0.0.255 192.168.46.0 0.0.0.255
deny ip any any

Вешаю на интерфейс:
interface Vlan46
ip address 192.168.46.1 255.255.255.0
ip access-group education in
ip access-group education out

Проверяю:
Core6509#ping 192.168.46.1 source 192.168.43.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.46.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.43.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Core6509#ping 192.168.46.1 source 192.168.44.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.46.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.44.1
U.U.U
Success rate is 0 percent (0/5)

Вроде работает, но стоит отправить пинги с компьютера, у которого IP адрес 192.168.44.20:
C:\Users\net09>ping 192.168.46.1

Обмен пакетами с 192.168.46.1 по с 32 байтами данных:
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.46.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Пакеты проходят.

Получается с коммутатора пакеты не проходят, а с компьютера проходят.
Прошу помочь и подсказать, может что то не дописал? Возможно есть другие решения данной задачи?

Core6509#sh ip access-lists education
Extended IP access list education
10 permit ip 192.168.46.0 0.0.0.255 192.168.46.0 0.0.0.255 (5 matches)
20 permit ip 192.168.40.0 0.0.0.255 192.168.46.0 0.0.0.255
30 permit ip 192.168.43.0 0.0.0.255 192.168.46.0 0.0.0.255 (10 matches)
50 deny ip any any (28 matches)

Заранее спасибо.

Ответить | Сообщить модератору
  • gt оверквотинг удален А не пробовали пинговать хосты за маршрутизатором Routi, !*! Аноним (2), 16:06 , 30-Авг-18 (1)
    >[оверквотинг удален]
    > Получается с коммутатора пакеты не проходят, а с компьютера проходят.
    > Прошу помочь и подсказать, может что то не дописал? Возможно есть другие
    > решения данной задачи?
    > Core6509#sh ip access-lists education
    > Extended IP access list education
    > 10 permit ip 192.168.46.0 0.0.0.255 192.168.46.0 0.0.0.255 (5 matches)
    > 20 permit ip 192.168.40.0 0.0.0.255 192.168.46.0 0.0.0.255
    > 30 permit ip 192.168.43.0 0.0.0.255 192.168.46.0 0.0.0.255 (10 matches)
    > 50 deny ip any any (28 matches)
    > Заранее спасибо.

    А не пробовали пинговать хосты за маршрутизатором? Routing срабатывает до проверки ACL на выходе из интерфейса. А попав на control-plane с адресатом этому control-plane оно и будет им обработано. В ACL оно не попадет никак.
    Поищите в интернете "порядок обработки пакетов на Cisco", откиньте ненужные ipsec/encrypt/decrypt/nat и останется ваша схема чистой маршрутизации с input/output ACL.

    Да и вешать один и тот-же ACL на вход и выход на одном интерфесе - это отвратительное решение.

    сообщить модератору +/ответить
  • Да так и будет Почему уже выше написали Для полной изоляции лучше использовать , !*! NoName (?), 17:40 , 31-Авг-18 (2)
    Да так и будет. Почему уже выше написали.
    Для полной изоляции лучше использовать vrf.

    сообщить модератору +/ответить
Выбор маршрутизатора Cisco для ADSL, !*! RitaIs, (Dialup, сервер доступа) 24-Авг-18, 13:24  [ | | | ] [линейный вид] [смотреть все]
Добрый день,

Подскажите, какую модельку от Циско можно приобрести для домашнего интернета по технологии телефон/ADSL.
Вот к примеру Cisco 1801 там есть порт v.92 - он подойдет? Хотелось бы компактную модель с малым энергопотреблением, сеть примерно такая - маршрутизатор-свич-автономныеAP все одного производителя.

Ответить | Сообщить модератору
маршрутизатору сделать еще один интерфейс из порта коммутатора, !*! www_tank, (Маршрутизация) 20-Авг-18, 16:58  [ | | | ] [линейный вид] [смотреть все]
Маршрутизатор (C3825-ADVIPSERVICESK9-M), Version 15.1(4)M12a
Два интерфейса gi0/0 и gi0/1 заняты транками на другое оборудование, их лучше не трогать.
Есть еще 4 порта на модуле  HWIC-4ESW , они L2.

Как из них сделать порт маршрутизатора?
создать VLAN, дать ему ip, порту назначить этот vlan? прокатит так?

Ответить | Сообщить модератору
Cat 3750 Stack, !*! Dmitry, (Cisco Catalyst коммутаторы) 03-Авг-18, 14:50  [ | | | ] [линейный вид] [смотреть все]
Добрый день!

Хочу собрать Stack из 2-х коммутаторов Cisco Catalyst 3750
1-й ws-c3750x-24p (версия IOS - C3750E-universalk9npe-m 15.0(2) SE, лицензия IPBASE)
2-й ws-c3750v2-48ps (версия IOS - C3750-ipbasek9-m 15.0(2) SE4)

У 1-го поставил приоритет 15 , у второго 10.

Соединяю их CAB-STACK и наблюдаю следующую ситуацию, оба коммутатора при загрузке пытаются стать Master, но при этом, после загрузке ws-c3750x-24p не поднимает порты. Удаленно доступен только ws-c3750v2-48ps, но в конфигах нет нигде данных от ws-c3750x-24p.

У кого есть опыт объедения таких коммутаторв в Stack? В чем может быть проблема?

В понедельник буду пробовать еще раз объединить и буду смотреть каждый из коммутаторов консольником.

p.s. Однородные коммутаторы объединял в Stack много раз.

Ответить | Сообщить модератору
  • gt оверквотинг удален У вас на железках разные версии IOS 15 0 2 SE и 15 0 2 , !*! Andrey (??), 16:06 , 03-Авг-18 (1)
    >[оверквотинг удален]
    > У 1-го поставил приоритет 15 , у второго 10.
    > Соединяю их CAB-STACK и наблюдаю следующую ситуацию, оба коммутатора при загрузке пытаются
    > стать Master, но при этом, после загрузке ws-c3750x-24p не поднимает порты.
    > Удаленно доступен только ws-c3750v2-48ps, но в конфигах нет нигде данных от
    > ws-c3750x-24p.
    > У кого есть опыт объедения таких коммутаторв в Stack? В чем может
    > быть проблема?
    > В понедельник буду пробовать еще раз объединить и буду смотреть каждый из
    > коммутаторов консольником.
    > p.s. Однородные коммутаторы объединял в Stack много раз.

    У вас на железках разные версии IOS. 15.0(2)SE и 15.0(2)SE4. Миграция IOS с между X и V2 невозможна. Синхронизируйте версии ИОС и пытайтесь взлететь. Только при обновлении (если оно будет), придется разбирать стек и обновлять устройчсва по одному.

    сообщить модератору +/ответить
SNMPv3 Huawei switch's on MRTG, !*! firdavs23mail.ru, (Разное) 16-Авг-18, 08:24  [ | | | ] [линейный вид] [смотреть все]
Подскажите пожалуйста из за чего могут быть такие проблемы при рисовании графиков портов 1-10G в МРТГ?Причем некоторые порты рисует правильно некоторые провально.  В логах ошибок нет SNMPv3. Спасибо
http://transfiles.ru/y0o1g -ссылка на рисунки графиков примеры...
Ответить | Сообщить модератору
MRTG-графики, !*! firdavs23mail.ru, (Разное) 25-Июл-18, 11:52  [ | | | ] [линейный вид] [смотреть все]
Доброго времени суток.. Подскажите пожалуйста из за чего могут быть такие проблемы? В МРТГ и первой и второй версии графики с моментами без причин резко падают и через обновления опять нормально рисуют... В логах ничего нету да и в логах оборудований тоже чисто... Может кто столкнулся с  этим? рисунок по ссылке: https://ru.files.fm/u/23x3vheg#/
Ответить | Сообщить модератору
  • У меня и у многих других работает нормально Учитывая, что второе значение графи, !*! green (??), 23:47 , 25-Июл-18 (1)
    > Доброго времени суток.. Подскажите пожалуйста из за чего могут быть такие проблемы?
    > В МРТГ и первой и второй версии графики с моментами без
    > причин резко падают и через обновления опять нормально рисуют... В логах
    > ничего нету да и в логах оборудований тоже чисто... Может кто
    > столкнулся с  этим?

    У меня и у многих других работает нормально. Учитывая, что второе значение графика у вас рисует нормально, без провалов, делаем вывод, что коллектор значений, в целом, отрабатывает. Могу предложить заменить временно скрипт коллектора, чтобы сбрасывать значения в доп.файл для последующего анализа. Чем собираете данные? Счётчик в фаерволе или snmp? Если второе, то картина немного (самым краешком) напоминает проблему 32/64-счётчиков. посмотрите в ту сторону для возможного решения.

    сообщить модератору +/ответить
  • а может он правильно рисует может там действительно все так падает про-дублируй, !*! vg (??), 21:25 , 26-Июл-18 (2) +1
    > Доброго времени суток.. Подскажите пожалуйста из за чего могут быть такие проблемы?
    > В МРТГ и первой и второй версии графики с моментами без
    > причин резко падают и через обновления опять нормально рисуют... В логах
    > ничего нету да и в логах оборудований тоже чисто... Может кто
    > столкнулся с  этим? рисунок по ссылке: https://ru.files.fm/u/23x3vheg#/

    а может он правильно рисует? может там действительно все так падает?

    про-дублируйте другими средствами, посмотрите что реально происходит

    сообщить модератору +1 +/ответить


CUCME отвечает на запросы регистрации с другого IP, !*! cr1m2, (VoIP) 19-Июл-18, 12:59  [ | | | ] [линейный вид] [смотреть все]
Здравствуйте, в удаленном офисе есть роутер 2951 с настроенным CUCME. Внутренний интерфейс роутера 192.168.32.18, внешний 192.168.35.1.
В том офисе софтфоны регистрируются на внутреннем адресе 192.168.32.18, на роутере настройка:
voice register global
mode cme
source-address 192.168.32.18 port 5060
no outbound-proxy
max-dn 50
max-pool 50
authenticate register
authenticate realm corp.west-ru.com
olsontimezone Europe/Moscow version 2017b
timezone 32
time-format 24
date-format D/M/Y
url directory http://192.168.90.5/VoIP/MicroSipContacts.xml
tftp-path flash:
file text
create profile sync 100537716457457
network-locale RU
user-locale RU load CME-locale-ru_RU-Russian-11.6.11.6.tar
ntp-server 192.168.32.18 mode unicast
conference hardware
auto-register
  no service-enable

Я со своего офиса вижу этот роутер через dmvpn, пытаюсь зарегистрироваться, отправляю REGISTER на 192.168.32.18, а ответы мне приходят от 192.168.35.1. Хотя с моей стороны 32.18 пингуется. В результате регистрация софтфона проходит, но звонки на него не идут, т.к. INVITE приходят с адреса 192.168.35.1. Софтфон на этот адоес просто не отвечает. Уже и маршруты пересмотрел и фильтры. Не поймуЮ почему CME отвечает с внешнего адреса по sip. (именно по sip, по icmp ответы приходят с 32.18, если на него отправлять запрос)

Ответить | Сообщить модератору
cisco 29XX и несколько sip-оператров, !*! cr1m2, (VoIP) 22-Июн-18, 15:08  [ | | | ] [линейный вид] [смотреть все]
Добрый день, в сети много тем про настройку sip-ua для 2х операторов, но вот заметил

есть конструкция

sip-ua
credentials username user1 password 7 passwd1 realm sip1.example.com
authentication username user1 password 7 passwd1 realm sip1.example.com
registrar dns:sip1.example.com expires 3600
sip-server dns:sip1.example.com
!

Если я изменяю registrar на registrar 1, чтобы потом добавить данные для регистрации у второго оператора. То звонки через первого перестают проходить, отбиваются как forbidden, хотя show sip-ua register status показывает что регистрация есть:

--------------------- Registrar-Index  1 ---------------------

Line                             peer       expires(sec) reg survival P-Associ-URI
================================ ========== ============ === ======== ============
3101                             20001      144          no  normal
3196                             20006      144          no  normal
3197                             20004      144          no  normal
user1                       -1         348          yes normal

Вот и вопрос почему так, если по документации registrar 1 - 6 это просто список серверов регистрации. Или потом надо указвать какой конкретно registrar использовать?

Ответить | Сообщить модератору


HSRP в CISCO добавить track, !*! AlexKurilShmal, (Cisco Catalyst коммутаторы) 07-Авг-18, 08:51  [ | | | ] [линейный вид] [смотреть все]
Есть два коммутатора:

################
    первый CORE-1
################
interface Vlan28
description *** 28 ***
ip address 192.168.28.4 255.255.255.0
standby version 2
standby 5 ip 192.168.28.1
standby 5 priority 120
standby 5 preempt
!
interface Vlan29
description *** 29 ***
ip address 192.168.29.4 255.255.255.248
standby version 2
standby 5 ip 192.168.29.1
standby 5 priority 120
standby 5 preempt
!
interface Vlan30
description *** 30 ***
ip address 192.168.30.4 255.255.255.248
standby version 2
standby 5 ip 192.168.30.1
standby 5 priority 120
standby 5 preempt
!
################
    второй CORE-2
################
interface Vlan28
description *** 28 ***
ip address 192.168.28.5 255.255.255.0
standby version 2
standby 5 ip 192.168.28.1
standby 5 priority 90
!
interface Vlan29
description *** 29 ***
ip address 192.168.29.5 255.255.255.0
standby version 2
standby 5 ip 192.168.29.1
standby 5 priority 90
!
interface Vlan30
description *** 30 ***
ip address 192.168.30.5 255.255.255.0
standby version 2
standby 5 ip 192.168.30.1
standby 5 priority 90
!

##############################################
Схема

[ CORE-1 ]<-----[ коммутатор Lv2 VLAN28 ]------>[CORE-2]
[ CORE-1 ]<-----[ коммутатор Lv2 VLAN29 ]------>[CORE-2]
[ CORE-1 ]<-----[ коммутатор Lv2 VLAN30 ]------>[CORE-2]

##############################################

Сейчас все работает. Если CORE-1 отключается по питанию то, все юзверя переключаются на резервный и все прекрасно.

Не знаю как настроить треки, что-бы если хотя-бы один линк отключается из VLAN 28,29,30 снизить priority коммутатора CORE-1 группы 5 и трафик переключать на CORE-2. т.е. при отключении хотя-бы одного линка добиться переключения всего трафика на CORE-2 понижением priority, подскажите идеи?

Ответить | Сообщить модератору
  • gt оверквотинг удален Свяжите Core-1 и Core-2 прямым линком и поднимите OSPF E, !*! Andrey (??), 09:08 , 07-Авг-18 (1)
    >[оверквотинг удален]
    > [ CORE-1 ]<-----[ коммутатор Lv2 VLAN28 ]------>[CORE-2]
    > [ CORE-1 ]<-----[ коммутатор Lv2 VLAN29 ]------>[CORE-2]
    > [ CORE-1 ]<-----[ коммутатор Lv2 VLAN30 ]------>[CORE-2]
    > ##############################################
    > Сейчас все работает. Если CORE-1 отключается по питанию то, все юзверя переключаются
    > на резервный и все прекрасно.
    > Не знаю как настроить треки, что-бы если хотя-бы один линк отключается из
    > VLAN 28,29,30 снизить priority коммутатора CORE-1 группы 5 и трафик переключать
    > на CORE-2. т.е. при отключении хотя-бы одного линка добиться переключения всего
    > трафика на CORE-2 понижением priority, подскажите идеи?

    Свяжите Core-1 и Core-2 прямым линком и поднимите OSPF/EIGRP/BGP.
    Зря что-ли во всех гайдах уровень Core представляет собой Full Mesh.

    сообщить модератору +/ответить
 
Пометить прочитанным Создать тему
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | | |



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру