Приветствую!
Выручайте!
Получил на днях маршрутизатор Cisco 881W-GN-E-K9 (в точной модели мог ошибиться, это первое поколение USB на морде.)
Проблема следующая, не поднимается интерфейс Dot1Raidio0
Точка доступа настроена корректно, конфиг приложу вечером.
При включении интерфейса Dot1Raidio0 появляется ошибка: Interface Dot11Radio0: not starting because stop-on-failure set
При загрузке:
*Mar 1 00:00:04.727: %SOAP_FIPS-2-SELF_TEST_IOS_SUCCESS: IOS crypto FIPS self test passed
*Mar 1 00:00:17.131: %DOT11-2-RESET_RADIO: Restarting Radio interface Dot11Radio0 due to nop failed
*Mar 1 00:00:17.135: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state to up
*Mar 1 00:00:17.675: %SYS-5-CONFIG_I: Configured from memory by console
*Mar 1 00:00:17.679: %SYS-5-RESTART: System restarted --
Cisco IOS Software, AP801 Software (AP801-K9W7-M), Version 12.4(25d)JA1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2011 by Cisco Systems, Inc.
Compiled Thu 11-Aug-11 02:29 by prod_rel_team
*Mar 1 00:00:17.679: %SNMP-5-COLDSTART: SNMP agent on host DAIT-HOME-AP is undergoing a cold start
*Mar 1 01:32:34.027: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Mar 1 01:32:34.027: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0, changed state to up
*Mar 1 01:32:34.027: %LINEPROTO-5-UPDOWN: Line protocol on Interface BVI1, changed state to up
*Mar 1 01:32:34.355: mvl_radio_coredump: Last reset code: 37; hostmem ptr 035DF3A0
*Mar 1 01:32:34.359: Writing radio coredump to 'flash:/r0.rcore'
*Mar 1 01:32:44.119: %DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 172.16.10.7, mask 255.255.255.0, hostname DAIT-HOME-AP
*Mar 1 01:32:46.371: Interface Dot11Radio0: not starting because stop-on-failure set
Пробовал перезаливать IOS:
ap801-k9w7-tar.152-4.JA1
ap801-k9w7-tar.124-25d.JA1
Но результат один и тот же.
Не хочется верить что проблема в аппаратной части.
Подскажите, как можно оживить wifi модуль!
Спасибо заранее!
↧
Помогите оживить WiFi модуль в 881W.
↧
DMVPN trouble
Все доброго дня.
Есть 4 спока, цепляются к хабу+один резервный хаб. Full-mesh сеть + OSPF +IPsec
1 спок:
Обменивается на прямую с 2,3,4 споками и двумя хабами.Все ок.
2 спок:
Обменивается на прямую с 1,3,4 споками и двумя хабами.Все ок.
3 спок:
Обменивается на прямую с 1,2 споками и двумя хабами. Не обменивается на прямую с 4 споком. Их взаимодействие маршрутизирует основной хаб
4 спок
Обменивается на прямую с 1,2 споками и двумя хабами. Не обменивается на прямую с 3 споком. Их взаимодействие маршрутизирует основной хаб
Отлуп sh dmvpn det на 3 споке говорит что,
Interface: Tunnel1 , IPv4 NHRP Details
Type:Spoke, NHRP Peers:18,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
3 83.92.7.1 172.16.2.1 UP 4w6d S (адрес хаба)
________172.16.2.20 UP 00:02:30 D (адрес 4 спока)
отлуп на споке 4
Interface: Tunnel1 IPv4 NHRP Details
Type:Spoke, NHRP Peers:11,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
3 83.92.7.1 172.16.2.1 UP 06:08:10 S (адрес хаба)
1 82.11.48.3 172.16.2.6 UP 06:24:59 DX (адрес 3 спока)
В общем какой-то не понятный атрибут выставлен, Dynamic, No Socket.
Мб кто-то сталкивался..Нужно чтоб 3 и 4 спок общались напрямую , а не через хаб
↧
↧
Ошибка при подключении anyconnect
Добрый день.
Пытался подключиться по anyconnect, но в итоге получаю ошибку ';vpn client unable to modify the ip forwarding table';. Проверил добавление маршрута ручками через командную строку, все работает. Посмотрел, что не включен расшаривание инет. Даже сделал дебаг с помощью DART, но мало что дало. В логах есть такое
Date : 01/14/2016
Time : 09:12:02
Type : Information
Source : acvpnagent
Description : Host Configuration:
Public address: 192.168.1.3/24
Potential public addresses: 192.168.1.3
Private Address: 192.168.200.168/24
Private IPv6 Address: FE80:0000:0000:0000:8336:8BFC:A595:5276/126 (auto-generated)
Remote Peers: 192.16.1.22 (TCP port 443, UDP port 443, source address 192.168.1.3)
Private Networks: 5 (192.168.0.0/16, 10.10.0.0/16, 10.1.0.0/16, 10.12.0.0/16, 10.0.0.0/21)
Private IPv6 Networks: none
Public Networks: none
Public IPv6 Networks: none
Tunnel Mode: yes
Tunnel all DNS: no
******************************************
Date : 01/14/2016
Time : 09:12:07
Type : Warning
Source : acvpnagent
Description : Function: CNetshCommand::Run
File: .\IPv6\NetshCommand.cpp
Line: 215
Unexpected output from command 'netsh interface ipv6 delete route prefix=';FE80::8336:8BFC:A595:5276/128'; interface=';Cisco AnyConnect Secure Mobility Client Connection'; nexthop=';::0';'
******************************************
Date : 01/14/2016
Time : 09:12:07
Type : Error
Source : acvpnagent
Description : Function: CRouteTableWindowsLegacy::deleteRouteV6
File: .\Routing\RouteTableWindowsLegacy.cpp
Line: 297
Invoked Function: CNetshDeleteRoute::Run
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
******************************************
Date : 01/14/2016
Time : 09:12:07
Type : Error
Source : acvpnagent
Description : Function: CRouteHandlerWindows::cleanupVAStaleRoutesV6
File: .\Routing\RouteHandlerWindows.cpp
Line: 949
Invoked Function: IRouteTable::DeleteRoute
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
******************************************
Date : 01/14/2016
Time : 09:12:08
Type : Warning
Source : acvpnagent
Description : Function: CNetshCommand::Run
File: .\IPv6\NetshCommand.cpp
Line: 215
Unexpected output from command 'netsh interface ipv6 delete route prefix=';FF00::/8'; interface=';Cisco AnyConnect Secure Mobility Client Connection'; nexthop=';::0';'
******************************************
Date : 01/14/2016
Time : 09:12:08
Type : Error
Source : acvpnagent
Description : Function: CRouteTableWindowsLegacy::deleteRouteV6
File: .\Routing\RouteTableWindowsLegacy.cpp
Line: 297
Invoked Function: CNetshDeleteRoute::Run
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
******************************************
Date : 01/14/2016
Time : 09:12:08
Type : Error
Source : acvpnagent
Description : Function: CRouteHandlerWindows::cleanupVAStaleRoutesV6
File: .\Routing\RouteHandlerWindows.cpp
Line: 949
Invoked Function: IRouteTable::DeleteRoute
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
******************************************
Date : 01/14/2016
Time : 09:12:09
Type : Warning
Source : acvpnagent
Description : Function: CNetshCommand::Run
File: .\IPv6\NetshCommand.cpp
Line: 215
Unexpected output from command 'netsh interface ipv6 delete route prefix=';FE80::205:9AFF:FE3C:7A00/128'; interface=';Cisco AnyConnect Secure Mobility Client Connection'; nexthop=';::0';'
******************************************
Date : 01/14/2016
Time : 09:12:09
Type : Error
Source : acvpnagent
Description : Function: CRouteTableWindowsLegacy::deleteRouteV6
File: .\Routing\RouteTableWindowsLegacy.cpp
Line: 297
Invoked Function: CNetshDeleteRoute::Run
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
******************************************
Date : 01/14/2016
Time : 09:12:09
Type : Error
Source : acvpnagent
Description : Function: CRouteHandlerWindows::cleanupVAStaleRoutesV6
File: .\Routing\RouteHandlerWindows.cpp
Line: 949
Invoked Function: IRouteTable::DeleteRoute
Return Code: -31064051 (0xFE26000D)
Description: NETSHCOMMAND_ERROR_PARSE_FAILED
Может кто сталкивался с таким. Еще сейчас подумал, может не выполняется команда netsh, но вот сейчас не могу проверить даже из командной строки, только завтра. Может просто есть еще идеи, чтобы сразу все их проверить
↧
Cisco CDA
Здравствуйте.
Установил в виртуалке CDA, настроил все по инструкции на сайте cisco. Пока не подключаю ASA (в настройках CDA) в Mappings отображается список соответствия IP-имя пользователя. Как только подключаю ASA , список постепенно пропадает. При авторизации пользователя в домене запись появляется, но через неcколько минут пропадает. При этом, пользователь остается залогиненным в системе.
Связка нужна только для логирования посещения пользователями интернет-ресурсов. ASA подключена к Syslog серверу и при наличии соответствия IP-';имя пользователя';, в логе кроме IP указывается имя пользователя.
С чем может быть связано такое поведение CDA? В ';Identity Options'; опция ';Remove User IP When Netbios Probe Fails'; отключена. Конфигурирую через ADSM.
Cisco ASA 5525 9.3.(2), CDA Patch 4, Windows Server 2012R2
↧
OSPF
Всем привет!
Есть облако из DMVPN соседей+OSPF,соседи забиты руками, командой nei .
Есть спок1, который ходит в сеть 10.10.0.0/24 через облако к споку2.
Есть спок3 который по L2 включен к споку 2. Спок 3 общается с спок1 по DMVPN облаку.
Нужно чтоб хосты из сети спока1 ходили в сеть 10.10.0.0/24 через спок3 на спок2. Т.е путь такой спок1-dmvpn-спок3-l2-спок2
Отключать соседство спока1 с споком2 по OSPF - можно, но не практично, все таки хочется - чтоб при падении канала спок1-спок3 ,маршруты изменились на спок1-спок2.
Какие советы можете дать по решению этой задачи.
Представляю это так, в DMVPN тунелях cost 1000. Нужно чтоб спок 3 анонсировал соседу споку1 в DMVPN LSA с cost меньше 1000. Но нельзя чтоб этот анонс анонсировался всем остальным спокам(порядка 30) . Хочу только спок 1 пустить по этому каналу.
↧
↧
Подскажите по bgp
Коллеги, привет.
С пятницей. Есть топология
http://i023.radikal.ru/1604/ce/bb3b26a86f92.png
3800 - бордеры, PC1,2 - ресурсы которые должны быть доступны при падении одного из каналов. Вопрос следующего плана: хочу связать бордеры по ibgp (пунктир). Как сделать? через туннель или гонять трафик через ядро?
Или может есть другие решения?:)
спасибо.
↧
Как поднять dhcp на wi-fi Cisco AIR SAP2602I
Провайдер дает мне динамический серый ip (192.168.50.1) из своей сети и на wi-fi интерфейс автоматом назначается ip из сети провайдера (например 192.168.50.5). Интернет не раздается. Как поднять dhcp на wi-fi, чтобы раздавать ip из другой подсети ? Настроил, но все равно по вайфай раздаются ip из сети провайдера, инет не работает.
Building configuration...
Current configuration : 1937 bytes
!
! Last configuration change at 00:10:04 UTC Mon Mar 1 1993
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
logging rate-limit console 9
enable secret 5 $1$wWbJ$CGAO33RmqII4k.WHNwKjs.
!
no aaa new-model
no ip routing
!
ip dhcp pool wishbone
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 8.8.8.8
lease 10
!
!
dot11 syslog
!
dot11 ssid cisco29
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 014356550F5C545973
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 047802150C2E
!
!
bridge irb
!
!
interface Dot11Radio0
description WiFi
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
ssid cisco29
!
antenna gain 0
stbc
station-role root
beacon privacy guest-mode
infrastructure-client
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
mac-address ec43.f605.a519
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address 192.168.1.215 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.254
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
↧
Что кошернее: ZBF или ACL ?
Коллеги! Что кошернее использовать в качестве, так сказать, защиты: стандартные acl листы, либо ';новомодный'; zone based firewall ?
ACL писать легче, на мой взгляд, ибо нагромождение конструкций ZBF с первого взгляда вызывает небольшую панику, особенно, если зон несколько и правил много.
Что выбрать ?
↧
Проблемы с NAT на 5525-х
Добрый день коллеги.
Прошу помощи, в силу слабоумия, выражающегося в слабом владении навыками укрощения циски 5525-х.
Трансляция в и-нет от всех ходит прекрасно. А вот пробросить 80 порт на вэб-сервер внутри никак не получается.
Возможно это поможет - всю настройку я проводил при помощи ASDM 7.1
Привожу свой конфиг:
: Saved
:
ASA Version 9.1(1)
!
hostname gw
domain-name sm.local
enable password ***y4XqtsN04Ifxi encrypted
passwd ***QnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 195.146.79.182 255.255.255.252
!
interface GigabitEthernet0/1
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/6
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/7
nameif inside
security-level 0
ip address 10.8.0.1 255.255.255.0
!
interface Management0/0
management-only
nameif mng
security-level 100
ip address 192.168.2.1 255.255.255.0
!
boot system disk0:/asa911-smp-k8.bin
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name sm.local
same-security-traffic permit inter-interface
object network krym_srvr
host 10.8.0.101
object service web
service tcp source eq www destination eq www
description web-interface
object service rdp
service tcp source eq 3128 destination eq 3128
description rdp
object network pfsense
host 10.8.0.2
description pfsense-nating
access-list outside_access_in extended permit tcp any 10.8.0.0 255.255.255.0 eq www
access-list inside_access_in extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu mng 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-711-52.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source dynamic pfsense interface
nat (inside,outside) source static krym_srvr interface no-proxy-arp
nat (outside,outside) source static any interface destination static interface krym_srvr service web web net-to-net no-proxy-arp
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 195.146.79.181 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 10.8.0.0 255.255.255.0 inside
http 192.168.2.0 255.255.255.0 mng
http authentication-certificate inside
http authentication-certificate mng
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh 192.168.2.0 255.255.255.0 mng
ssh timeout 5
console timeout 0
management-access mng
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 rc4-md5 rc4-sha1 null-sha1
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
privilege cmd level 3 mode exec command perfmon
privilege cmd level 5 mode exec command dir
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege cmd level 3 mode exec command vpn-sessiondb
privilege cmd level 3 mode exec command packet-tracer
privilege cmd level 5 mode exec command export
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command service-policy
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:060cbcfeee46ad53f7d7cea8157ac6e5
: end
asdm image disk0:/asdm-711-52.bin
no asdm history enable
Помогите уважаемые знатоки.
↧
↧
CSR-1000V и l2-connected subscriber
Коллеги приветствую.
Столкнулся с проблемой на тестовом стенде - пытаюсь реализовать старт абонента по DHCP с навешиванием на него сервисов.
Для этого поднял ISC DHCP сервер + Freeradius ( на одном сервере с ip 172.16.0.11). Opt82 вставляет Dlink DES-3200 с включенным dhcp_local_relay.
Конфиг csr:
!
! Last configuration change at 13:18:36 UTC Mon Apr 18 2016 by cisco
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
platform console virtual
!
hostname ASR-1000-test
!
boot-start-marker
boot-end-marker
!
!
enable password cisco
!
aaa new-model
!
!
aaa group server radius ipoe-radius
server 172.16.0.11 auth-port 1812 acct-port 1813
!
aaa authentication login ISG-AUTH group ipoe-radius
aaa authorization network ISG-AUTH group ipoe-radius
aaa authorization subscriber-service default local group ipoe-radius
aaa accounting update newinfo periodic 30
aaa accounting network ISG-AUTH
action-type start-stop
group ipoe-radius
!
aaa accounting network ipoe-radius
action-type start-stop
group ipoe-radius
!
!
!
!
!
aaa server radius dynamic-author
client 172.16.0.11 server-key testing123
auth-type any
!
aaa session-id common
!
!
!
!
!
!
!
ip domain name test.local
ip dhcp relay information policy keep
no ip dhcp relay information check
ip dhcp relay information trust-all
!
!
!
!
!
!
!
!
!
!
subscriber service multiple-accept
subscriber templating
subscriber authorization enable
service-policy type control ISG-CUSTOMER-POLICY
multilink bundle-name authenticated
!
!
license udi pid CSR1000V sn 9VYTLL9KKJA
!
username cisco privilege 15 password 0 cisco
!
redundancy
mode none
!
!
!
class-map type traffic match-any Internet
match access-group output name Any-Traf
match access-group input name Any-Traf
!
policy-map type service Unlim-Test-1M
class type traffic Internet
police input 1000000 187500 375000
police output 1000000 187500 375000
!
!
policy-map type control CUSTOMERS-POLICY
class type control always event session-start
10 authorize aaa password TEST identifier remote-id plus circuit-id
!
!
!
!
!
!
interface Loopback2
ip address 10.10.8.1 255.255.248.0
!
interface GigabitEthernet1
ip address 172.16.0.10 255.255.255.0
negotiation auto
!
interface GigabitEthernet2
mtu 9216
ip dhcp relay information trusted
no ip address
negotiation auto
!
interface GigabitEthernet2.3999
encapsulation dot1Q 3999
ip address 172.16.255.1 255.255.255.0
!
interface GigabitEthernet2.4000
encapsulation dot1Q 4000 second-dot1q 1-1000
ip unnumbered Loopback2
ip helper-address 172.16.0.11
service-policy type control CUSTOMERS-POLICY
ip subscriber l2-connected
initiator dhcp
!
router ospf 1
redistribute connected subnets
network 172.16.0.0 0.0.0.255 area 0
!
!
virtual-service csr_mgmt
!
ip forward-protocol nd
ip forward-protocol udp bootpc
!
no ip http server
no ip http secure-server
!
ip access-list extended Any-Traf
permit ip any any
!
!
!
!
radius-server attribute 44 include-in-access-req default-vrf
radius-server attribute 44 extend-with-addr
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 31 mac format unformatted
radius-server host 172.16.0.11 auth-port 1812 acct-port 1813 key testing123
radius-server vsa send cisco-nas-port
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
transport input ssh
!
!
end
[/spoiler]В результате на радиус приходит запрос:[spoiler]
Mon Apr 18 13:43:57 2016
Packet-Type = Access-Request
User-Name = ';010b582d414b2d35365f315f35:00040fa00001';
NAS-Port-Type = Virtual
Cisco-NAS-Port = ';0/0/0/1.4000';
NAS-Port = 0
NAS-Port-Id = ';0/0/0/1.4000';
Cisco-AVPair = ';circuit-id-tag=00040fa00001';
Cisco-AVPair = ';remote-id-tag=010b582d414b2d35365f315f35';
Service-Type = Outbound-User
NAS-IP-Address = 172.16.0.10
Acct-Session-Id = ';AC10000A0000030F';
Радиус отвечает:
Mon Apr 18 13:44:34 2016
Packet-Type = Access-Accept
Cisco-Service-Info = ';Unlim-Test-1M';
Acct-Interim-Interval = 300
Но до DHCP-сервера запрос не доходит, а в логах творится следующее:
*Apr 18 13:07:50.837: RADIUS/ENCODE(00000174):Orig. component type = Iedge DHCP SIP
*Apr 18 13:07:50.837: RADIUS(00000174): Config NAS IP: 172.16.0.10
*Apr 18 13:07:50.837: RADIUS(00000174): Config NAS IPv6:::
*Apr 18 13:07:50.837: RADIUS/ENCODE(00000174): acct_session_id: 362
*Apr 18 13:07:50.837: RADIUS(00000174): sending
*Apr 18 13:07:50.837: RADIUS(00000174): Send Access-Request to 172.16.0.11:1812 id 1645/104, len 238
*Apr 18 13:07:50.837: RADIUS: authenticator 45 1B 9E 8E 4C 6B FE AE - E3 2B A0 58 89 2A A6 A6
*Apr 18 13:07:50.837: RADIUS: User-Name [1] 41 ';010b582d414b2d35365f315f35:00040fa00001';
*Apr 18 13:07:50.837: RADIUS: User-Password [2] 18 *
*Apr 18 13:07:50.837: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
*Apr 18 13:07:50.837: RADIUS: Vendor, Cisco [26] 20
*Apr 18 13:07:50.837: RADIUS: cisco-nas-port [2] 14 ';0/0/0/1.4000';
*Apr 18 13:07:50.837: RADIUS: NAS-Port [5] 6 0
*Apr 18 13:07:50.837: RADIUS: NAS-Port-Id [87] 14 ';0/0/0/1.4000';
*Apr 18 13:07:50.837: RADIUS: Vendor, Cisco [26] 35
*Apr 18 13:07:50.837: RADIUS: Cisco AVpair [1] 29 ';circuit-id-tag=00040fa00001';
*Apr 18 13:07:50.837: RADIUS: Vendor, Cisco [26] 48
*Apr 18 13:07:50.837: RADIUS: Cisco AVpair [1] 42 ';remote-id-tag=010b582d414b2d35365f315f35';
*Apr 18 13:07:50.837: RADIUS: Service-Type [6] 6 Outbound [5]
*Apr 18 13:07:50.837: RADIUS: NAS-IP-Address [4] 6 172.16.0.10
*Apr 18 13:07:50.837: RADIUS: Acct-Session-Id [44] 18 ';AC10000A0000016A';
*Apr 18 13:07:50.837: RADIUS(00000174): Sending a IPv4 Radius Packet
*Apr 18 13:07:50.837: RADIUS(00000174): Started 5 sec timeout
*Apr 18 13:07:50.838: RADIUS: Received from id 1645/104 172.16.0.11:1812, Access-Accept, len 47
*Apr 18 13:07:50.838: RADIUS: authenticator 0B 2E DC 59 F4 88 97 74 - 67 CF F8 39 D8 90 0B 9F
*Apr 18 13:07:50.838: RADIUS: Vendor, Cisco [26] 21
*Apr 18 13:07:50.838: RADIUS: ssg-service-info [251] 15 ';Unlim-Test-1M';
*Apr 18 13:07:50.838: RADIUS: Acct-Interim-Interva[85] 6 300
*Apr 18 13:07:50.838: RADIUS(00000174): Received from id 1645/104
*Apr 18 13:07:50.838: IPSUB: Invalid magic 0xFADEDEAF in IP session 0x7F22D725E538
*Apr 18 13:07:50.838: IPSUB-VRFSET: Entered allocate feature info
*Apr 18 13:07:50.838: IPSUB-VRFSET: Allocated sg vrfset info 0x7F22D7A9C108
*Apr 18 13:07:50.838: IPSUB-VRFSET: Freeing the sg vrfset info 0x7F22D7A9C108
*Apr 18 13:07:50.839: Deleting mac 000c.29e1.7c18 from SIP common DB
*Apr 18 13:07:50.839: Deleted mac 000c.29e1.7c18 from SIP common DB
Прошу помощи, т.к. с cisco и ISG до этого дел не имел ( сидим на SE100, а на нем всё как-то сразу взлетело )
↧
Cisco 2911 + Cisco 880 GRE over IPSEC
Добрый день.
Прошу помощи у уважаемых специалистов.
Сначала конфиги:
Cisco880:
version 15.3
!
multilink bundle-name authenticated
vpdn enable
!
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
lifetime 3600
crypto isakmp key keypass address a.b.c.d
!
!
crypto ipsec transform-set SET1 esp-aes esp-sha256-hmac
mode transport
!
crypto ipsec profile PROF1
set transform-set SET1
!
interface Loopback0
no ip address
!
interface Tunnel0
ip unnumbered Dialer2
ip mtu 1400
ip virtual-reassembly in
ip tcp adjust-mss 1360
ip ospf mtu-ignore
tunnel source Dialer2
tunnel destination a.b.c.d
tunnel path-mtu-discovery
tunnel protection ipsec profile PROF1
!
interface FastEthernet4
no ip address
no ip mfib cef input
no ip mfib cef output
duplex auto
speed auto
pppoe enable group 2
pppoe-client dial-pool-number 2
no keepalive
no cdp enable
!
interface Vlan1
ip address 192.168.15.1 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
ip ospf 1 area 0
service-policy input social-net
!
interface Dialer2
ip address negotiated
ip access-group 150 in
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 2
dialer-group 2
ppp authentication chap pap callin
ppp chap hostname uuUUuuuuuu
ppp chap password 7 PPPPPPPPPP
ppp pap sent-username uuuuuuu password 7 ppppppp
ppp ipcp dns request
no cdp enable
!
ip dns server
!
ip nat inside source list NAT interface Dialer2 overload
ip route 0.0.0.0 0.0.0.0 Dialer2
!
ip route 192.168.10.0 255.255.255.0 Tunnel0
!
ip access-list extended NAT
permit ip 192.168.15.0 0.0.0.255 any
deny ip any any
!
dialer-list 2 protocol ip permit
Cisco2911:
version 15.5
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
lifetime 3600
crypto isakmp key keypass address 0.0.0.0
!
!
crypto ipsec transform-set SET1 esp-aes esp-sha256-hmac
mode transport
!
crypto ipsec profile PROF1
set transform-set SET1
!
interface Tunnel0
ip unnumbered GigabitEthernet0/0
ip mtu 1400
ip virtual-reassembly in
ip tcp adjust-mss 1360
ip ospf mtu-ignore
tunnel source GigabitEthernet0/0
tunnel destination e.f.g.h
tunnel path-mtu-discovery
tunnel protection ipsec profile PROF1
!
interface GigabitEthernet0/0
ip address a.b.c.d 255.255.255.252
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no lldp receive
no cdp enable
!
interface GigabitEthernet0/1
ip address 192.168.10.5 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 a.b.c.d
ip route 192.168.15.0 255.255.255.0 Tunnel0
Все необходимые лицензии установлены.
В итоге, поднимается туннель, но пинги не ходят.
При просмотре sh crypto ipsec sa вижу следующее:
Cisco2911:
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr a.b.c.d
protected vrf: (none)
local ident (addr/mask/prot/port): (a.b.c.d/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (e.f.g.h/255.255.255.255/47/0)
current_peer e.f.g.h port 500
PERMIT, flags={origin_is_acl,}
====================================
#pkts encaps: 298, #pkts encrypt: 298, #pkts digest: 298
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
====================================
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: a.b.c.d, remote crypto endpt.: e.f.g.h
plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
current outbound spi: 0xC4BBDC3D(3300645949)
PFS (Y/N): N, DH group: none
inbound esp sas:
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 2379, flow_id: Onboard VPN:379, sibling_flags 80004000, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4317104/1264)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xC4BBDC3D(3300645949)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 2380, flow_id: Onboard VPN:380, sibling_flags 80004000, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4317067/1264)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Cisco880
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 92.39.143.25
protected vrf: (none)
local ident (addr/mask/prot/port): (e.f.g.h/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (a.b.c.d/255.255.255.255/47/0)
current_peer a.b.c.d port 500
PERMIT, flags={origin_is_acl,}
==========================================
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
==========================================
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: e.f.g.h, remote crypto endpt.: a.b.c.d
plaintext mtu 1442, path mtu 1492, ip mtu 1492, ip mtu idb Dialer2
current outbound spi: 0xAC497C97(2890497175)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xC4BBDC3D(3300645949)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 1, flow_id: Onboard VPN:1, sibling_flags 80000000, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4332417/1101)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xAC497C97(2890497175)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 2, flow_id: Onboard VPN:2, sibling_flags 80000000, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4332456/1101)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:Получается, что 2911 шифрует и шлет пакеты но 880-я не получает ничего и ничего не пытается сласть сама.
Если на int tun 0 убрать tun protect ipsec prof PROF1, то всё работает, но без ipsec.
Пдскажите пожалуйста, куда копать?
↧
маяк
Кто слышал про эту х...ю ?
https://yadi.sk/d/HNZzk56gr9GXB
↧
Cisco2901 + Cisco2911 нет маршрутизации по GRE-туннелю
Здравствуйте уважаемые специалисты.
В очередной раз прошу помощи.
Сломал голову. Есть две циски. Между ними поднят голый gre-туннель.
OSPF работает через этот туннель. С2901 пингует хосты в подсети С2911, а наоборот нет.
С С2901 не пингуется конец туннеля (172.16.1.1) на С2911.
Подскажите, куда копать, как полноценно связать подсети?
На С2901 заведено три провайдера и три VLAN (стоит 3 модуля HWIC на 4 порта).
Внешние адреса получаются от прова по DHCP, они белые и статические.
Конфиги:
С2901:
vlan 70,80,90
interface Tunnel0
ip address 172.16.1.2 255.255.255.252
ip ospf mtu-ignore
tunnel source GigabitEthernet0/1
tunnel destination a.a.a.a
!
interface GigabitEthernet0/0
no ip dhcp client request dns-nameserver
ip dhcp client hostname test1.local
ip address dhcp
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no lldp receive
no cdp enable
!
interface GigabitEthernet0/1
no ip dhcp client request dns-nameserver
ip dhcp client hostname test2.local
ip address dhcp
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no lldp receive
no cdp enable
!
interface GigabitEthernet0/3/0
no ip dhcp client request dns-nameserver
ip dhcp client hostname test3.local
ip address dhcp
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no lldp receive
no cdp enable
!
interface GigabitEthernet0/0/0
switchport access vlan 90
no ip address
!
interface GigabitEthernet0/0/1
switchport access vlan 90
no ip address
!
interface GigabitEthernet0/0/2
switchport access vlan 90
no ip address
!
interface GigabitEthernet0/0/3
switchport access vlan 90
no ip address
!
interface GigabitEthernet0/1/0
switchport access vlan 80
no ip address
!
interface GigabitEthernet0/1/1
switchport access vlan 80
no ip address
!
interface GigabitEthernet0/1/2
switchport access vlan 80
no ip address
!
interface GigabitEthernet0/1/3
switchport access vlan 80
no ip address
!
interface GigabitEthernet0/2/0
switchport access vlan 70
no ip address
!
interface GigabitEthernet0/2/1
switchport access vlan 70
no ip address
!
interface GigabitEthernet0/2/2
switchport access vlan 70
no ip address
!
interface GigabitEthernet0/2/3
switchport access vlan 70
no ip address
!
interface Vlan70
ip address 192.168.7.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN70
!
interface Vlan80
ip address 192.168.8.100 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN80
!
interface Vlan90
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip policy route-map VLAN90
!
router ospf 1
router-id 192.168.9.1
network 172.16.0.0 0.0.255.255 area 0
network 192.168.7.0 0.0.0.255 area 0
network 192.168.8.0 0.0.0.255 area 0
network 192.168.9.0 0.0.0.255 area 0
!
ip local policy route-map r1
ip forward-protocol nd
!
ip nat inside source static tcp 192.168.7.13 53393 interface GigabitEthernet0/3/0 53394
ip nat inside source static tcp 192.168.9.55 3389 interface GigabitEthernet0/0 53395
ip nat inside source static tcp 192.168.8.3 3389 interface GigabitEthernet0/1 53393
ip nat inside source list 70 interface GigabitEthernet0/3/0 overload
ip nat inside source static tcp 192.168.9.2 3389 interface GigabitEthernet0/0 53394
ip nat inside source static tcp 192.168.8.4 3389 interface GigabitEthernet0/0 53393
ip nat inside source list 180 interface GigabitEthernet0/1 overload
ip nat inside source list 190 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.8.2 1723 interface GigabitEthernet0/1 1723
ip route 192.168.0.0 255.255.255.0 192.168.8.2
!
route-map VLAN70 permit 25
match ip address 103
set global
!
route-map VLAN70 permit 30
match ip address 70
set ip next-hop b.b.b.b
!
route-map VLAN90 permit 9
match ip address 103
set global
!
route-map VLAN90 permit 10
match ip address 90
set ip next-hop c.c.c.c
!
route-map VLAN80 permit 18
match ip address 84
set ip next-hop c.c.c.c
!
route-map VLAN80 permit 19
match ip address 103
set global
!
route-map VLAN80 permit 20
match ip address 80
set ip next-hop d.d.d.d
!
route-map r1 permit 10
match ip address 100
set ip next-hop b.b.b.b
!
route-map r1 permit 15
match ip address 101
set ip next-hop c.c.c.c
!
route-map r1 permit 20
match ip address 102
set ip next-hop d.d.d.d
!
!
access-list 70 permit 192.168.7.0 0.0.0.255
access-list 80 permit 192.168.8.0 0.0.0.255
access-list 84 permit 192.168.8.4
access-list 90 permit 192.168.9.0 0.0.0.255
access-list 100 permit ip b.b.b.0 0.0.15.255 any
access-list 101 permit ip c.c.c.0 0.0.0.255 any
access-list 102 permit ip d.d.d.0 0.0.7.255 any
access-list 103 permit ip 192.168.0.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 103 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 104 permit ip 172.16.1.0 0.0.0.3 any
access-list 150 deny udp any any eq domain
access-list 150 deny tcp any any eq domain
access-list 150 permit ip any any
access-list 180 permit ip 192.168.8.0 0.0.0.255 any
access-list 180 deny ip any any
access-list 181 permit ip 192.168.9.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 181 permit ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 182 permit ip 192.168.8.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 183 permit ip 192.168.9.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 184 permit ip host 192.168.8.4 192.168.10.0 0.0.0.255
access-list 185 permit ip host 192.168.8.4 192.168.9.0 0.0.0.255
access-list 190 permit ip 192.168.9.0 0.0.0.255 any
access-list 190 deny ip any any
С2911:
interface Tunnel1
ip address 172.16.1.1 255.255.255.252
ip ospf mtu-ignore
tunnel source GigabitEthernet0/0
tunnel destination c.c.c.c
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address a.a.a.a 255.255.255.252
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no lldp transmit
no lldp receive
no cdp enable
!
interface GigabitEthernet0/1
ip address 192.168.10.5 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
router ospf 1
router-id 192.168.10.5
network 172.16.0.0 0.0.255.255 area 0
network 192.168.10.0 0.0.0.255 area 0
ip nat inside source list 101 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 192.168.10.30 3389 interface GigabitEthernet0/0 53393
ip nat inside source static tcp 192.168.10.7 25 interface GigabitEthernet0/0 25
ip nat inside source static tcp 192.168.10.7 993 interface GigabitEthernet0/0 993
ip nat inside source static tcp 192.168.10.7 995 interface GigabitEthernet0/0 995
ip nat inside source static tcp 192.168.10.7 465 interface GigabitEthernet0/0 465
ip nat inside source static tcp 192.168.10.7 443 interface GigabitEthernet0/0 443
ip nat inside source static tcp 192.168.10.14 1723 interface GigabitEthernet0/0 1723
ip nat inside source static tcp 192.168.10.24 3389 interface GigabitEthernet0/0 53394
ip route 0.0.0.0 0.0.0.0 a.a.a.a1
access-list 101 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 150 deny udp any any eq domain
access-list 150 deny tcp any any eq domain
access-list 150 permit ip any any
Заранее спасибо за любую помощь!
↧
↧
имитация задержки
Всем доброго дня!
Появилась нужда протестировать железо в условиях работы канала с задержкой 300мс.
Есть ли функционал на Cisco, который может организовать эту имитацию. Например, 2 сервера подключены к 2 портам циски и пингуют друг друга с 300мс задержкой.
↧
dialplan.xml
Помогите, пожалуйста, с файлом dialplan.xml для данного аппарата. Купил на свою голову б/у, думал там все как у людей через вэб морду.
Настроил регистрацию и прием входящих через tftp, а вот исходящие - проблема...
Спасибо
↧
Как отследить падение виртуального интерфейса?
Когда начинал решать этот вопрос, думал понадобится от силы 1 час, но решение его затянулось на месяц...
Итак, есть CISCO 881 IOS 12.4, к ней по VPN (PPTP и L2TP без шифрования) присоединяются клиенты. Каждый клиент в зависимости от имени и пароля получает закрепленный за ним серый IP адрес.
Вопрос как мне получать оповещения о присоединившимся клиенте и отсоединившимся клиенте, соответственно идинтифицировав его по IP адресу?
Сначала попытался решить так:
1) Пропинговать клиента и получить письмо о статусе линка
track 4 ip sla 4
default-state up
ip sla 4
icmp-echo 192.168.78.4
frequency 14400
ip sla schedule 4 life forever start-time now
event manager applet LINK_IS_DOWN
event track 4 state down
action UP mail server ';xxxxxxxxxxxxxx'; to ';yyyyyyyyyyy'; from ';zzzzzzzzzzzzz'; subject '; LINK_IS_DOWN '; body '; LINK_IS_DOWN'; source-address ww.ww.ww.ww
event manager applet LINK_IS_UP
event track 4 state up
action UP mail server ';xxxxxxxxxxxxxxxx'; to ';yyyyyyyyyyy'; from ';zzzzzzzzzzzzz'; subject '; LINK_IS_UP '; body '; LINK_IS_UP '; source-address ww.ww.ww.ww
К сожалению письма приходили ';через раз'; по непонятной причине письма просто не доходили, смена почтовых серверов успеха не принесла... может ресурсов 881 не хватает? Пришлось отказаться от этого метода.
2) Попробовал поднять логирование, поставил бесплатный KIWI, но в логах только записи типа:
Interface Virtual-Acces 3 up (down) - то есть информация по падению и восстановлению интерфейса есть, а с каким пользователем связан данный интерфейс - непонятно.
3) пробовал поднять kron и пинговать всех пользователей через 10 минут, которые теоретически могут быть подключены, но к сожалению информации о пинге я в KIWI не вижу.... хотя прописал
loggint trap (без аргументов, то есть логировать все)
Теперь перед тем, как установить внешнюю программу - пинговать всех клиентов решил спросить у сообщества, ';Как это по людски слелать ?'; Уж очень не хочется ';разводить огород';....
↧
телефон cisco 7861 конфиг
Добрый день,
Помогите с рабочим конфигом для аппарата cisco 7861 под сип (прошивка sip78xx.10-2-1-12SR1-4), нужен sep.cnf.xml для заливки через tftp или спец, готовый за деньги по удаленке
помочь настроить телефон.
↧
↧
Лицензирование IronPort ESA
Добрый день.
Коллеги, кто имел дело с последним Cisco IronPort ESA, подскажите он будет обрабатывать большее количество почтовых ящиков , чем указано в лицензии?
Например ящиков 10 , а лицензия только на 5 выдана. Будут ли обрабатываться 10 ящиков?
↧
Google Cloud + UNETLAB
Здравствуйте.
Наконец-то загрузил себе унетлаб(Убунту).Комп дохлый,поэтому хочу воспользоваться Гугл Клаудом.
У кого-то есть идеи как связать унетлаб с гугл клаудом?
В линуксе я ноль.Ну так,пару элементарных команд.
http://www.unetlab.com/2015/08/installi ... 2232999898
Это ссылка то,что мне надо,но все равно не выходит((
Заранее спасибо
↧
Поиск каналов связи
Всем привет.
Появилась нужда открыть пару-тройку филиалов в Вьетнаме, Тайланде , Индонезии, быть может еще где-то.
Кора находится в МСК и Латвии. К ней нужно подцеплять эти филиалы ,любыми способами - DMVPN по интернету, или какие-нибудь L2 каналы.
Вопрос такой, я до точек обмена трафиком пинги запускаю, вижу 300-400 , это просто дичь. Есть ли варианты по поиску нормальных каналов связи в этих местах? Хотя 100-150мс.
Мб кто-то сталкивался уже? Кто что посоветует?
Мб как-то пообщаться с операторами и с М9 пустить линк до южной азии.. Где вообще посмотреть это?
↧
