Добрый день.
Подскажите, пожалуйста, по настройке конфигурации. Имеются два сервера Exchange 2010 (роли CAS, HUB, MBX), объединены в DAG. Почта работает через TMG. (Роли EDGE не установлено, все опубликовано на роли HUB). Пытаемся настроить Cisco ESA в режиме антиспам-антивирус решения. Не могу сообразить как настроить правило на TMG и что настроить на ESA. Есть у кого-нибудь опыт настройки подобной конфигурации.
Спасибо.
↧
Cisco IronPort ESA
↧
IP ACL на L3-коммутаторах
Сети и адреса вымышленные,
Любое совпадение с реальными адресами - случайность.
)))
Маленькая задачка.
http://i.imgur.com/4F81av2.png
Пишу ACL:
permit 192.168.128.0 0.0.0.255 host 192.168.3.5 eq 3128
Вешаю на 3650 на интерфейсы:
int vlan 128 (in) - match'ей нету.
int vlan 128 (out) - match'ей нету.
int vlan 172 (in) - match'ей нету.
int vlan 172 (out) - match'ей нету.
-1. Почему ?
Делаю ';debug ip tcp packet'; на 3650
Вижу только 192.168.3.5 --> 172.31.0.4 port 22 (Так как на 3650 сижу по ssh.)
3128 от 192.168.128.10 не вижу!
3389 до 192.168.128.10 не вижу!
-2. Как так ?
Схема тестовая. Цель:
Запретить host'ам 192.168.128.0/24 ходить в 192.168.3.0/24 сетку, кроме 192.168.3.5 3128
-3. Куда лучше повесить acl ?
Спасибо.
↧
↧
cisco cme + fax (или не факс :) )
Добрый день!
Есть ccme 2811 4 порта fxo.
fxs портов нет.
Нужно подключить факс, ну или сделать так, чтобы cisco или сама принимала факс (с отправкой на e-mail) - тогда что делать с отправкой ???? Какие есть решения???
Подключены как телефоны sip так и sccp.
В город выход через 9 на fxo, также по ip связь с другим офисом через 7 по sip.
На cisco поднят ivr (внутренние номера 1100,1101,1002) который переключает на секретаря или набранный внутренний номер.
Как настроить прием факсов и отправкой e-mail???
Из этой темы почерпнул, что настраивается через скрипты app_faxmail_onramp.2.0.1.3 или app_fax_detect.2.1.2.3.tcl но как подружить их с ivr???
Буду рад конкретным рабочим конфигам.
При невозможности настройки приема факса циской будет рассматривается возможность покупки шлюза (тогда посоветуйте работающий с ccme простенький 1-2 портовый шлюз)
P.S. не нашел как спрятать в спойлер.
!
!
!
voice rtp send-recv
!
voice service voip
allow-connections sip to sip
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback none
sip
bind control source-interface FastEthernet0/0
bind media source-interface FastEthernet0/0
registrar server
!
!
!
voice class codec 1
codec preference 1 g711ulaw
codec preference 2 g711alaw
codec preference 3 g729r8
!
!
!
!
!
!
!
voice class custom-cptone leavetone
dualtone conference
frequency 900 900
cadence 150 50 150 50
!
voice class custom-cptone jointone
dualtone conference
frequency 1200 1200
cadence 150 50 150 50
!
!
!
!
!
!
!
voice register global
mode cme
source-address 192.168.15.1 port 5060
max-dn 16
max-pool 16
timezone 37
time-format 24
date-format D/M/Y
tftp-path flash:
file text
create profile sync 0515064050210205
!
voice register dn 1
number 1001
!
voice register dn 2
number 1002
!
!
voice register pool 1
id mac XXXX.XXXX.XXXX
number 1 dn 1
dtmf-relay rtp-nte sip-notify
username user1 password user1
codec g711ulaw
!
voice register pool 2
id mac XXXX.XXXX.XXXX
number 1 dn 2
dtmf-relay rtp-nte sip-notify
username user2 password user2
codec g711ulaw
!
!
voice translation-rule 1
rule 1 /^9\(.*\)/ /\1/
!
voice translation-rule 2
rule 1 /^7\(.*\)/ /\1/
!
!
voice translation-profile outCity
translate called 1
!
voice translation-profile outRegion
translate called 2
!
!
voice-card 0
dspfarm
dsp services dspfarm
!
!
application
service ivrr flash:/vxml-ivr/My.vxml
!
!
!
!
voice-port 0/2/0
supervisory disconnect dualtone mid-call
dial-type pulse
echo-cancel coverage 32
cptone RU
timeouts call-disconnect 1
timeouts ringing 20
timeouts wait-release 1
connection plar 1100
description ### Multi
caller-id enable
!
voice-port 0/2/1
supervisory disconnect dualtone mid-call
echo-cancel coverage 32
cptone RU
timeouts call-disconnect 1
timeouts ringing 20
timeouts wait-release 1
connection plar 1101
description ### Multi
caller-id enable
!
voice-port 0/2/2
supervisory disconnect dualtone mid-call
echo-cancel coverage 32
cptone RU
timeouts call-disconnect 1
timeouts ringing 20
timeouts wait-release 1
connection plar 1102
description ### Multi
caller-id enable
!
voice-port 0/2/3
cptone RU
caller-id enable
!
!
!
sccp local FastEthernet0/0
sccp ccm 192.168.15.1 identifier 1 version 7.0
sccp
!
sccp ccm group 1
bind interface FastEthernet0/0
associate ccm 1 priority 1
associate profile 1 register regkey1
keepalive retries 5
!
dspfarm profile 1 transcode
codec g711ulaw
codec g711alaw
codec g729r8
maximum sessions 4
associate application SCCP
!
!
dial-peer voice 5 voip
translation-profile outgoing outRegion
destination-pattern 7.T
voice-class sip dtmf-relay force rtp-nte
session protocol sipv2
session target ipv4:10.24.5.20
dtmf-relay sip-notify rtp-nte
codec g711ulaw
no vad
!
dial-peer voice 6 voip
translation-profile outgoing outRegion
destination-pattern 7.T
voice-class sip dtmf-relay force rtp-nte
session protocol sipv2
session target ipv4:10.24.5.30
dtmf-relay sip-notify rtp-nte
codec g711ulaw
no vad
!
dial-peer voice 100 pots
service ivrr
incoming called-number 1100
port 0/2/0
!
dial-peer voice 101 pots
service ivrr
incoming called-number 1101
port 0/2/1
!
dial-peer voice 102 pots
service ivrr
incoming called-number 1102
port 0/2/2
!
dial-peer voice 200 pots
translation-profile outgoing outCity
destination-pattern 9
port 0/2/0
forward-digits all
!
dial-peer voice 201 pots
translation-profile outgoing outCity
destination-pattern 9
port 0/2/1
forward-digits all
!
dial-peer voice 202 pots
translation-profile outgoing outCity
destination-pattern 9
port 0/2/2
forward-digits all
!
!
sip-ua
registrar ipv4:10.4.5.2 expires 3600
registrar ipv4:10.4.5.3 expires 3600 secondary
!
!
!
ephone-type 504G
device-id 50
device-name SPA504G
num-buttons 4
max-presentation 6
!
!
ephone-type 525G2
device-id 52
device-name SPA525G2
num-buttons 5
max-presentation 10
!
!
telephony-service
max-ephones 16
max-dn 16
ip source-address 192.168.15.1 port 2000
timeouts interdigit 5
cnf-file location flash:
user-locale RU load CME-locale-ru_RU-7.0.1.1.tar
network-locale RU
load 7911 SCCP11.8-5-4S
load 504G spa50x-30x-7-5-1a.bin
load 525G2 spa525g-7-5-1a.bin
time-zone 37
time-format 24
date-format dd-mm-yy
max-conferences 4 gain -6
call-forward pattern .T
moh flash:/music-on-hold.au
web admin system name user secret 5 $1$wJS8$PxTNAICc5IGZykHOUxywn.
dn-webedit
time-webedit
transfer-system full-consult
transfer-pattern .T
create cnf-files version-stamp 7960 Feb 17 2016 14:50:17
!
!
ephone-template 1
conference drop-mode local
softkeys hold Resume Newcall Select Join
softkeys idle Redial Newcall Cfwdall Join Pickup Dnd
softkeys seized Endcall Redial Cfwdall Meetme Pickup Callback
softkeys alerting Endcall Callback
softkeys connected Hold Endcall Park Confrn Trnsfer Select Join ConfList RmLstC Flash
!
!
ephone-dn 1
number 1004
label Petr Petrov
name Petr Petrov
preference 1
!
!
ephone-dn 2
number 1007
label Ivan Testov
description Ivan Testov 1007
name Ivan Testov
preference 1
!
!
ephone 1
keypad-normalize
device-security-mode none
mac-address XXXX.XXXX.XXXX
ephone-template 1
type 7911
button 1:1
!
!
!
ephone 2
keypad-normalize
device-security-mode none
mac-address XXXX.XXXX.XXXX
ephone-template 1
type 7961
button 1:2
!
!
↧
Нужна прошивка с3825
Всем привет! Помогите пожалуйста, очень нужна определённая версия IOS для cisco 3825. На cisco.com без контракта не скачать, гугл результатов не дал.
Нужна c3825-ipvoicek9-mz.150-1.M2.bin или c3825-ipvoicek9-mz.150-1.M9.bin
↧
LAN over L3
Привет.
Возникла необходимость (причем, как всегда супер-срочная) отделить часть внутренней сети. Короче, сервера переезжают в другое расположение, но провайдер при этом пока не может дать L2VPN. Вопрос: имя Cisco 2921, Mikrotik какой-то там, интернет с белыми адресами с двух сторон, я могу каким-то образом организовать bridge между двумя площадками? Мне детальный конфиг не нужен, подскажите просто, в какую сторону смотреть.
Подумал сначала про l2tp + psewdowire, но там получается два интерфейса в одной сети, чего Cisco очень не любит. Может быть, эти интерфейсы можно как-то ';сбриджевать';? Буду признателен за совет.
↧
↧
QoS на интерфейсе
Добрый день!
В офисе используется ip-телефония, под которую резервируется определенная полоса пропускания.
Настроено так как указано ниже.
На выход вроде все работает корректно, в отсутствии голоса данные занимают всю полосу, а вот на вход полисинг повесить нельзя, поэтому режется rate-limit-ом, в связи с чем выше чем в нем указано скорость Data не поднимается и половина полосы иногда простаивает.
Как сделать чтобы на входе также при отсутствии голосового трафика полоса была свободна для данных?
Выход в мир 2 Мбит, половина под телефонию.
Data 10.15.75.0/25
VoIP 10.15.75.128/25
В примере ниже аксесс-листы упростил для лучшего понимания конфига.
class-map match-all Voice
match access-group 110
!
policy-map Out-QoS-child
class Voice
priority 1000
policy-map Out-QoS-parent
class class-default
shape average 2000000
random-detect
service-policy Out-QoS-child
interface FastEthernet0/0
description ##--WAN--##
bandwidth 2000
ip address 10.15.4.45 255.255.255.252
rate-limit input access-group 100 1024000 192000 384000 conform-action transmit exceed-action drop
service-policy output Out-QoS-parent
access-list 100 remark Input Data
access-list 100 permit ip any 10.15.75.0 0.0.0.127
access-list 110 remark Output Voice
access-list 110 permit ip 10.15.75.128 0.0.0.127 any
↧
cisco 4500 односторонняя доступность между vlan
Добрый вечер, коллеги. Возникла задача по обеспечению односторонней доступности в разных VLAN.
Дано: 3 Vlan интерфейса , 6-ой и 7-ой это пользователи , 100-ый ';админский';, везде 24-ая маска, все заведены на cisco 4500.
Оборудование:
access sw : cisco 2960x
distrib sw : cisco 4500
Задача: необходимо сделать так ,чтобы из админского VLAN был доступ ко всем пользовательским , но не было доступа наоборот.
В качестве решения рассматривалось использование рефлексивных ACL, но они на 4500 не поддерживаются(поправьте ,если не прав, но сайт cisco так пишет) или попытаться с помощью NAT'a
Очень хотелось бы услышать решение в пределах данной задачи.
↧
CUCME входящие звонки
Уважаемые, помогите разобраться. SIP транк с провайдером, без авторизации. Исходящие звонки в город, на мобильные, межгород - работают. Входящие - нет. При звонке - частые короткие гудки.
dial-peer voice 1 voip
description TO TOWN
destination-pattern ......
session protocol sipv2
session target sip-server
session transport udp
codec g711alaw
no vad
!
dial-peer voice 2 voip
description INCOMING FROM SIP TRUNK
translation-profile incoming FROM-PROVIDER-123456
session protocol sipv2
incoming called-number 123456
voice-class sip dtmf-relay force rtp-nte
codec g711alaw
no vad
!
dial-peer voice 3 voip
description TO MOBILE
destination-pattern 8..........
session protocol sipv2
session target sip-server
session transport udp
codec g711alaw
no vad
↧
Обновление active/standby ASA
Доброго времени суток
Потребовалось обновить очередную пару железок ASA5555
Действие стандартное до безобразия
1. Гружу новый образ на асу1
2. Подставляю этот образ в system boot
3. Переключаю файловер
4. Гружу новый образ на асу2
5. Перегружаю стендбай
6. Переключаю файловер
7. Перегружаю стендбай
Так вот на пункте 6 с какого то перепугу аса ушла в стояние Cold Standby и я что то ни чего с ней не могу сделать
Подскажите что можно сделать, а то у меня в ночи уже мозг не работает, да и столкнулся я с таким состоянием впервые
↧
↧
генератор .lic и .pak
Высокий,
вы получили генератор .lic и .pak для 3750?
Спасибо
↧
Привязка IP адресов.
Здравствуйте! Всем. Я новичок на сайте и новичок в области маршрутизаторов, убедительная просьба на вопросы которые для профисионалов покажутся не уместными особо не ругаться.
Решил освоить принцип работы маршрутизаторов, есть подопытный Cisco 3560.
В интернете нашел первоначальный конфиг этого оборудования, подключился через CLI, дошёл до привязки Ip адресов к портам Cisco, как не пробовал прописать ни как не получается, делаю все как описано.
Скажу сразу через web интерфейс получается привязать IP.
Но очень хочется освоить настройку через консоль.
Пожалуйста, подскажите, научите, за что заранее благодарен.ж
↧
Как зарулить интернет через IPsec
Форумчане, есть проблема, подскажите можно ли как то решить.
Есть 3 площадки.
С 1 площадки юзеры через цепочку Ipsec цепляются по RDP на хосты внутри 192.168.100.0/24.
Там эти виртуалки выходят через местного провайдера с того же интерфейса, с которого строится IPSec в Интернет.
Есть необходимость выпускать эти машины в интернет через провайдера площадки 2.
На площадке 3 есть возможность сделать PBR и зарулить трафик в туннель, в качестве next-hop я так понимаю надо использовать использовать шлюз ISP на площадке 2.
Но я же не могу написать в качестве destination в crypto map 0.0.0.0 0.0.0.0 Вот на этом шаге у меня ступор, не очень понимаю как правильно написать ACL для crypto map? Как тут написать? На текущий момент просто прописаны с двух стороны подсети с картинки.
Думал о том, чтобы оставить только статический маршрут до площадки 2, чтобы строился туннель, а весь остальной трафик зарулить в туннель статическим маршрутом, но на площадке 3 есть Remote VPN помимо L2L IPsec.
И еще в дальнейшем на 3 площадке планируется замена на ASA, соответственно про PBR придется забыть.
↧
Странности с ping из vrf
Добрый день!
Есть две одинаковые железки с ios xe (isr4300-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin).
Создано по два vrf, один внешний в сторону ISP, второй внутренний LAN.
Странность заключается в том, что с одного из двух роутеров пинг из vrf LAN с консоли не проходит, конфиги абсолютно идентичные.
Конфиг:
vrf definition WAN
address-family ipv4
exit-address-family
!
vrf definition LAN
address-family ipv4
route-replicate from vrf WAN unicast static
exit-address-family
!
interface GigabitEthernet0/1
vrf forwarding WAN
ip address dhcp
ip nat outside
!
interface GigabitEthernet0/2
vrf forwarding LAN
192.168.1.1 255.255.255.0
ip nat inside
!
ip nat inside source list NAT interface GigabitEthernet0/1 vrf LAN overload
ip route vrf WAN 0.0.0.0 0.0.0.0 WAN_GW
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any
Подключаюсь по ssh, с консоли даю команду:
ping vrf WAN 8.8.8.8 - ok
ping vrf LAN 8.8.8.8 - болт
С другого роутера с абсолютно зеркальным конфигом пинг из vrf LAN проходит, фаерволлов нет, в чем может быть дело?
Да, провайдеры на роутерах разные, там, где пинг из vrf LAN не проходит, провайдер использует привязку по мак адресу, но не в этом же дело?
P.S. клиенты из vrf LAN доступ в Интернет имеют и пинг внешних ресурсов работает, но мне не понятно почему не работает пинг из консоли?
↧
↧
AIR-LAP1041N-E-K9 помощь с настройкой
Здравствуйте, имеется данная точка доступа, установлена прошивка Standalone AP(c1140-k9w7-tar.153-3.JB). Входящий канал кабельный модем(docsis). Как настроить сие чудо на раздачу wi-fi, так и не понял(видать тупой), с компа вроде видит созданную точку, подключает, но подключение ограничено, с телефона доходит только до стадии получение ip адреса и все( не умеет DHCP?). Также не понял умеет ли она работать на частоте 5 ГГц ? Заранее спасибо.
Building configuration...
Current configuration : 1535 bytes
!
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Home6
!
!
logging rate-limit console 9
enable secret 5 $1$mnHr$Vlvr4GErDGKwfJYbMUZPa.
!
no aaa new-model
no ip source-route
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid Home6
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 04750A02062F1D1C5A
!
!
dot11 network-map
!
no ipv6 cef
!
!
!
!
bridge irb
!
!
!
interface Dot11Radio0
description Wi-Fi
no ip address
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
encryption mode ciphers aes-ccm tkip
!
ssid Home6
!
max-client 8
antenna gain 128
speed basic-54.0
power client 8
channel 2412
station-role root access-point
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
ip address 10.0.0.10 255.0.0.0
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
mac-address 30f7.0d7c.4b89
ip address dhcp client-id GigabitEthernet0
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
↧
Несколько вопросов по CME.
1. Имеются только телефоны cisco 7821 и 8861, насколько я понял из мануалов, на SIP телефонах не организовать meetme конференции, даже при наличии модуля PVDM ?
2. Опять же из мануалов не понял, как осуществить перехват звонка ?
3. Осуществить перевод звонка на мобильный, к примеру, когда местный не отвечает определенное кол-во времени/звонков ?
Подскажите, пожалуйста. Или ткните в ссылку.
↧
Cisco ASA ошибки на интерфейсе
Добрый день.
Есть на ASA ошибки на интерфейсе. Что-то пытался понять сам, гуглить, но так до меня и не дошло в чем дело.
В статистике интерфейса показыват
360 input errors, 0 CRC, 0 frame, 360 overrun, 0 ignored, 0 abort
Куда копнуть?
ASA подключена в catalyst 3750. Ошибок на порту свича нет.
↧
CUCM проблема с Pickup группами.
Здравствуйте!
Есть CUCM версии 7.1.5.33900-10. При создании обычных Pickup групп проблем нет. Проблемы начинаются когда надо сделать человека членом сразу двух групп. В поле ';Current Associated Call Pickup Groups'; добавляю вторую группу, на телефон добавляю кнопку ';Group Pick UP';. При этом сам механизм перехвата работает, но на телефон не поступает никакого сигнала о том, что во вторую группу поступает звонок. Т.е. человек не видит и не слышит, что есть звонок в группу, но перехватить его может. Почему нет сигналов?
↧
↧
IPv4 и IPv6 через IPSec между ASA и IOS в одном туннеле
Приветствую.
Подскажите как лучше довести IPv6 до дома. Есть площадка с ASA и пулом IPv6, есть дом с 881 в который приходит Билайн, который не хочет отдавать IPv6, который я хочу. Между ASA и 881 поднят IPSec с IPv4. Можно конечно прописать еще один sequence в crypto map под IPv6, но что-то мне кажется некрасивым дополнительный туннель. Можно ли запихнуть IPv6 в тот же туннель?
↧
NAT PBR
Помогит
На маршрутизаторе 1 применил PBR и зарулил отдельных пользователей на маршрутизатор 2 по тунелю IPsec.
На маршрутизаторе 2, есть внешний IP и есть NAT, там нет трансляций.Хочу занатить на 2 роутере пользунов из сети маршрутизатора 1.
Пакеты приходят на маршрутизатор 2, о чем свидетельствует счетчик PBR , но не NAT-ятся.
логи почитал - там
42w4d: NAT: translation failed (A), dropping packet s=192.168.201.2 d=8.8.8.8
42w4d: NAT-SymDB: DB is either not enabled or not initiated.
ХЗ что это такое.
В общем конфиги на роутере 1
interface GigabitEthernet0/0.21(интерфейс в сторону пользователя)
encapsulation dot1Q 21
ip address 192.168.201.254 255.255.255.0
ip helper-address 192.168.205.5
ip flow ingress
ip policy route-map RAZRAB
interface Tunnel201(тунельный интерфейс в сторону 2 роутера)
description M9
ip address 172.16.1.201 255.255.255.252
ip flow ingress
tunnel source 5.133.120.120
tunnel mode ipip
tunnel destination 13.11.120.66
tunnel protection ipsec profile M9
route-map RAZRAB permit 10
match ip address tun201
set ip next-hop 172.16.1.202(айпи тунельного интерфейса второго роутера)
Тут вроде как все ок - пакеты проходят роутер 1 и уходят на роутер 2.
На роутере 2 след конфиг
interface GigabitEthernet0/1
description Интерфейс в сторону провайдера(транк до свича)
no ip address
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
no ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1.1
description Uplink_via_RTK(провайдер)
encapsulation dot1Q 1 native
ip address 13.11.120.91 255.255.255.0 secondary
ip address 13.11.120.66 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
no ip virtual-reassembly in
no cdp enable
Так же конфиг тунельного интерфейса в сторону 1 роутера
interface Tunnel201
description LAZA
ip address 172.16.1.202 255.255.255.252
ip nat inside
ip virtual-reassembly in
ip policy route-map RAZRAB
tunnel source 13.11.120.66
tunnel mode ipip
tunnel destination 5.133.120.120
tunnel protection ipsec profile LAZA
route-map RAZRAB permit 10
match ip address tun201
ip nat inside source list 101 interface GigabitEthernet0/1 overload
ip nat inside source route-map RAZRAB interface GigabitEthernet0/1.1 overload
ip route 0.0.0.0 0.0.0.0 13.11.120.1
ip route 192.168.201.0 255.255.255.0 172.16.1.201
ip access-list extended tun201
permit ip 192.168.201.0 0.0.0.255 any
↧
Meraki
Кто в курсе то случится с точкой Meraki когда закончится её лицензия?
↧