Всем привет!
Возникла проблема следующего плана.
У нас холдинг, в нем 4 конторы. У всех свои ИТ отделы, а когда то все было одно
Ну так вот.
Сотрудник моей компании едет в учебный класс другой компании и там подключается к гостевому wifi у которго доступ в локалку закрыт, а открыт только инет. У них 3 оператора связи, которые предоставляют им выход в инет, один из которых соединяет наши площадки оптикой.
И так. Юзер подключившись к wifi пытается получить доступ к нашему порталу, которому сделан доступ из внешней сети интернет.
В ответ он получает
Вобщем доступа к порталу НЕТ.
В процессе мониторинга понял, что запрос встает на ASA площадки 2.
Трасировка с этого ноута
C:\Users\>tracert portal.domen.ru
Трассировка маршрута к portal.domen.ru
с максимальным числом прыжков 30:
1 1 ms 1 ms 1 ms 10.128.129.1
2 4 ms 6 ms 3 ms 10.0.1.89
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * ^C
C:\Users\>tracert mail.ru
Трассировка маршрута к mail.ru
с максимальным числом прыжков 30:
1 1 ms 2 ms 3 ms 10.128.129.1
2 38 ms 2 ms 3 ms 10.0.1.89
3 4 ms 1 ms 1 ms 10.0.1.22
4 8 ms 13 ms 4 ms 99.99.158.41
5 8 ms 7 ms 6 ms 62.141.78.61
6 7 ms 7 ms 7 ms cat15.Moscow.gldn.net
7 7 ms 7 ms 7 ms cat15.Moscow.gldn.net
8 9 ms 6 ms 8 ms ^C
На циске 3750 площадки 1 есть маршрут S 99.99.187.208/28 via 172.16.3.2 это маршрут который соединяет наши площадки оптикой.
На циске 3750 площадки 2 есть маршрут E2 99.99.187.208/28 via 10.0.0.41 это маршрут на мою ASA. Вот что в ней надо добавить, чтобы белый ip портала занатился и прыгнул на сервак. Если из дома я подключаюсь, доступ к порталу получаю без проблем. Т.е. прыгаю на ASA, на ней есть правила
access-list outside_access_in line 54 extended permit tcp any host 99.99.187.217 eq www (hitcnt=11466) 0xe3fc7755
access-list outside_access_in line 55 extended permit tcp any host 99.99.187.217 eq https (hitcnt=19884) 0x96d24eed
потом внешний ип натируется и прыгает на внутренний адрес самого сервера.
Вот может из за того, что аса не перенаправляет на сервер где происходит nat затык и происходит?
Схему подключения нарисовал, чтобы наглядней выглядело.
Буду рад помощи.
Заранее спасибо!
↧
Маршрут на ASA5510
↧
У кого есть живьем 2504WLC - нужна фотка этикетки с БП
Коллеги, нужна помощь: у кого есть живьем контроллер 2504WLC - не могли бы вы сфотографировать этикетку с блока питания и бросить мне в почту (gen-max@yandex.ru) или выложить куда-нибудь - очень нужно.
Заранее благодарю!
↧
↧
Проблема с acl
задачка. есть 3825. на ней поднят BVI с реалками. на БВИ интерфейсе есть нат и аксес лист ин.
выглядит это так:
interface BVI7
description [inet-bridge]
mtu 16351
ip address xxx.xxx.xxx.155 255.255.255.224 secondary
ip address xxx.xxx.xxx.156 255.255.255.224 secondary
ip address xxx.xxx.xxx.157 255.255.255.224 secondary
ip address xxx.xxx.xxx.130 255.255.255.224
ip access-group inside in
ip access-group outside out
ip nat outside
ip virtual-reassembly in
ip virtual-reassembly out
end
сам аксес лист inside :
ip access-list extended inside
evaluate tmplist
permit esp any host xxx.xxx.xxx.130 log
permit udp any host xxx.xxx.xxx.130 log
permit tcp any host xxx.xxx.xxx.130 log
deny ip any host xxx.xxx.xxx.130 log
permit tcp any host xxx.xxx.xxx.153 eq domain log
permit udp any host xxx.xxx.xxx.153 eq domain log
permit tcp any host xxx.xxx.xxx.153 established log
deny ip any host xxx.xxx.xxx.153 log
permit tcp any host xxx.xxx.xxx.154 eq smtp log
permit tcp any host xxx.xxx.xxx.154 eq www log
permit tcp any host xxx.xxx.xxx.154 eq pop3 log
permit tcp any host xxx.xxx.xxx.154 eq 143 log
permit tcp any host xxx.xxx.xxx.154 eq 443 log
permit tcp any host xxx.xxx.xxx.154 eq 465 log
permit tcp any host xxx.xxx.xxx.154 eq 993 log
permit tcp any host xxx.xxx.xxx.154 eq 995 log
permit tcp any host xxx.xxx.xxx.154 established log
deny ip any host xxx.xxx.xxx.154 log
permit tcp any host xxx.xxx.xxx.155 eq 22 log
permit tcp any host xxx.xxx.xxx.155 eq 5222 log
permit tcp any host xxx.xxx.xxx.155 eq 5223 log
permit udp any host xxx.xxx.xxx.155 eq 5269 log
permit tcp any host xxx.xxx.xxx.155 eq 5269 log
permit tcp any host xxx.xxx.xxx.155 established log
deny ip any host xxx.xxx.xxx.155 log
permit tcp any host xxx.xxx.xxx.156 eq www log
permit tcp any host xxx.xxx.xxx.156 eq 443 log
permit tcp any host xxx.xxx.xxx.156 established log
deny ip any host xxx.xxx.xxx.156 log
permit tcp any host xxx.xxx.xxx.158 eq www log
permit tcp any host xxx.xxx.xxx.158 eq 443 log
permit tcp any host xxx.xxx.xxx.158 eq 9101 log
permit udp any host xxx.xxx.xxx.158 eq 9101 log
permit tcp any host xxx.xxx.xxx.158 eq 9102 log
permit udp any host xxx.xxx.xxx.158 eq 9102 log
permit tcp any host xxx.xxx.xxx.158 eq 9103 log
permit udp any host xxx.xxx.xxx.158 eq 9103 log
permit tcp any host xxx.xxx.xxx.158 established log
deny ip any host xxx.xxx.xxx.158 log
есть сервак xxx.xxx.xxx.153 и сервак xxx.xxx.xxx.156.
сервак xxx.xxx.xxx.156 работает за натом по правилу:
ip nat inside source static yyy.yyy.yyy.156 xxx.xxx.xxx.156
суть вопроса: изза чего 153ий сервак пропускает на себе 22ой порт (который судя по правилу должен быть закрыт), а 156ой - не пропускает (при приблизительно таком же правиле).
возможно я где-то что-то о аксес листах недочитал. но логика вещей подсказывает, что все должно блокироваться корректно.
↧
Настройка PfR + NAT + 2 ISP
Доброго времени суток!
Волею судеб у меня под опекой оказалось подключения к двум провайдерам и маршрутизатор cisco. При наличии такой умной штуки грех не настроить подключение к ним одновременно с балансировкой согласно статьи http://www.anticisco.ru/blogs/2011/05/%D0%B2%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B2-cisco-oerpfr/. Но возникли ряд вопросов, которые уважаемое сообщество, надеюсь, разрешит.
1. Какие верно указывать значения параметра ';max-xmit-utilization absolute'; в настройках внешних интерфейсов бордера, если один провайдер выдает 5 Мбит/с, другой - 10 Мбит/с?
2. В статье устанавливалась политика мастера ';resolve utilization priority 1 variance 1';, но у меня в resolve нет параметра ';utilization';. Это нормально?
3. Почему-то в распечатке конфигурации отсутствует ранее введенная команда ';mode route control';
4. Как правильно проверить, что цель достигнута и всё работает? Отключать внешние линки?
5. Возможны ли проблемы при пробросе внутреннего порта через NAT?
Наверняка я что-то сделал неправильно. Надеюсь поможете советом.
Железка: Cisco CISCO2921/K9 Прошивка: Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M3, RELEASE SOFTWARE (fc2)
Конфигурация:
key chain PfR_key2
key 1
key-string PfR_key2
!
pfr master
policy-rules PfR_key2_MAP
max-range-utilization percent 10
!
border 10.255.1.1 key-chain PfR_key2
interface Vlan101 external
max-xmit-utilization absolute 4096
interface Vlan102 external
max-xmit-utilization absolute 8192
interface GigabitEthernet0/1.1 internal
!
learn
periodic-interval 1
monitor-period 2
expire after time 15
aggregation-type prefix-length 32
backoff 180 360
mode select-exit best
periodic 180
resolve loss priority 1 variance 1
resolve delay priority 2 variance 5
!
pfr border
local Loopback100
master 10.255.1.1 key-chain PfR_key2
interface Loopback100
ip address 10.255.1.1 255.255.255.255
!
interface GigabitEthernet0/1.1
description INSIDE-NET-255$ETH-LAN$
encapsulation dot1Q 255 native
ip address 10.0.255.1 255.255.255.240
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/2
ip address 192.168.5.1 255.255.255.0
ip access-group RRR in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1/0
switchport access vlan 101
no ip address
!
interface GigabitEthernet0/1/1
switchport access vlan 102
no ip address
!
interface Vlan101
description ISP-1
ip address 71.X.Y.22 255.255.255.252
ip nat outside
ip virtual-reassembly in
!
interface Vlan102
description ISP-2
ip address 217.Y.Z.131 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
ip nat inside source route-map RM-ISP-1 interface Vlan101 overload oer
ip nat inside source route-map RM-ISP-2 interface Vlan102 overload oer
ip route 0.0.0.0 0.0.0.0 71.X.Y.21
ip route 0.0.0.0 0.0.0.0 217.Y.Z.1
ip route 10.0.0.0 255.255.0.0 10.0.255.2
ip route 172.16.0.0 255.255.0.0 10.0.255.2
!
ip access-list extended ACL-NAT
permit ip 192.168.5.0 0.0.0.255 any
permit ip 10.0.255.0 0.0.0.15 any
permit ip 10.0.0.0 0.0.255.255 any
permit ip 172.16.0.0 0.0.255.255 any
!
ip sla auto discovery
!
route-map RM-ISP-2 permit 10
match ip address ACL-NAT
match interface Vlan102
!
route-map RM-ISP-1 permit 10
match ip address ACL-NAT
match interface Vlan101
!
pfr-map PfR_key2_MAP 200
↧
Проблема с Catalyst 6500
Ребят доброго времени суток, чет внезапно перезапустилась, и теперь выдает такое помогите оживить пожалуйста.
End of Crashinfo Collection ==========================================
File bootdisk:crashinfo_20141014-020920 Device Error :No such device
=== Flushing messages (02:09:20 UTC Tue Oct 14 2014) ===
Buffered messages:
Queued messages:
00:00:06: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging output.
00:00:06: %SYS-3-LOGGER_FLUSHED: System was paused for 00:00:00 to ensure console debugging output.
00:00:06: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging output.
00:00:06: %SYS-3-LOGGER_FLUSHED: System was paused for 00:00:00 to ensure console debugging output.
00:00:06: %OIR-6-CONSOLE: Changing console ownership to switch processor
*** System received a Software forced crash ***
signal= 0x17, code= 0x24, context= 0x43140964
PC = 0x411d2128, SP = 0x41d0ade8, RA = 0x408db8f0
Cause Reg = 0x00001020, Status Reg = 0x34008002
↧
↧
WLCM не регистрирует точку
Здравствуйте!
Приобрели новый cisco c3850 со встроенным WI-FI контроллером, имеются Cisco AP c2600. Располагаются в разных подсетях. Использую опцию 43 для обнаружения контроллера.
Точка контроллер обнаруживает, но тот в свою очередь регистрировать её не хочет. Решить проблему не получается. Бубин уже сломался.
*Mar 1 00:01:01.115: %DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.1.235.101, mask 255.255.255.240, hostname AP18e7.28bd.4fc0
Translating ';CISCO-CAPWAP-CONTROLLER.corp.kaus.ru';...domain server (10.1.226.169)
*Mar 1 00:01:11.051: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.1.232.142 obtained through DHCP
*Mar 1 00:01:11.051: %CAPWAP-3-ERRORLOG: Did not get log server settings from DHCP.
Not in Bound state.
*Mar 1 00:02:06.551: %CAPWAP-3-DHCP_RENEW: Could not discover WLC using DHCP IP. Renewing DHCP IP.
*Mar 1 00:02:11.567: %CAPWAP-3-ERRORLOG: Invalid event 38 & state 2 combination.
Прошу помощи в решении данной проблемы.
↧
Падает cisco 3925
Добрый день.
Подскажите пожалуйста по ошибке.
На циске настроены 4 vlan.
по 2 в каждого провайдера.
вланы соответсвенно vlan20 без тега , vlan97 с тегом- тут всё хорошо.
второй провайдер влан 841 и влан1371 с тегом, как только я вставляю линк в порт с вланом 1371..пинги пропадают везде..и до циски не достучаться, как только отключают все проходит.
sh logg
000751: *Oct 13 18:19:52: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1371, changed state to up
000752: *Oct 13 18:19:52: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x433F720 reading 0x0
000753: *Oct 13 18:19:52: %ALIGN-3-TRACE: -Traceback= 0x433F700 0x433F6E0 0x433F620 0x61983E0 0x61983C0 0x619C0A0 0x61996C0
000754: *Oct 13 18:19:53: %ALIGN-3-TRACE: -Traceback= 0x433F700 0x433F6E0 0x433F6C0 0x61983E0 0x61983C0 0x619C0A0 0x61996C0
000755: *Oct 13 18:19:57: %ALIGN-3-TRACE: -Traceback= 0x433F700 0x433F6E0 0x433F6C0 0x433F620 0x61983E0 0x61983C0 0x619C0A0
000756: *Oct 13 18:19:58: %ALIGN-3-TRACE: -Traceback= 0x433F700 0x433F6E0 0x433F6C0 0x433F620 0x61983E0 0x61983C0 0x619C0A0
При этом если провайдер даёт влан 1001 или к примеру 555..все работает.
sh ver
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9_NPE-M), Version 15.4(1)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Wed 12-Feb-14 06:33 by prod_rel_team
ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)
ns-gw1 uptime is 1 day, 21 hours, 42 minutes
System returned to ROM by power-on
System image file is ';flash0:c3900-universalk9_npe-mz.SPA.154-1.T1.bin';
Last reload type: Normal Reload
Last reload reason: power-on
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco CISCO3925-CHASSIS (revision 1.0) with C3900-SPE100/K9 with 997376K/51200K bytes of memory.
Processor board ID FCZ18237043
11 Gigabit Ethernet interfaces
1 terminal line
DRAM configuration is 72 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
250880K bytes of ATA System CompactFlash 0 (Read/Write)
License Info:
License UDI:
-------------------------------------------------
Device# PID SN
-------------------------------------------------
*1 C3900-SPE100/K9 FOC1811893V
Technology Package License Information for Module:'c3900'
------------------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security securityk9_npe Permanent securityk9_npe
uc None None None
data None None None
NtwkEss None None None
CollabPro None None None
Configuration register is 0x2102
↧
CUCM - поиск и удаление неиспользуемых девайсов
Ребята, как в КУКМе v.7 найти девайсы, которые не регистрировались, например, больше 6 месяцев. Надо чистить место под лицензии ;(
↧
Redirect трафика http
Здравствуйте, уважаемые.
Тема, как я и сам смутно догадываюсь, крайне банальная... но всё же не получается пока побороть. Исторически так сложилась, что ';схема сети'; выглядит так:
1. Имеется маршрутизатор Cisco 1921;
2. К порту маршрутизатора Gi0/1 подключен провайдер, который выдает внешний адрес по DHCP (адрес не меняется);
3. К порту маршрутизатора Gi0/0 подключена локальная сеть, этому интерфейсу назначено два адреса;
4. В локальной сети имеется web-сервер;
5. На этом web-сервере ';крутится'; корпоративный ресурс (пусть будет url.domain.com), а A-запись в DNS для url.domain.com указывает на внешний адрес маршрутизатора (из п. 2).
Для доступа к web-серверу из интернета настроен проброс - тут проблем никаких нет. Если же подключаться из локальной сети по ';внешнему'; URL url.domain.com - браузер выдает ошибку ';Connection refused';. Web-сервер на самой Cisco отключен.
Т. е. клиент пытается получить url.domain.com. У DNS'а получает внешний адрес маршрутизатора и пытается к нему подключиться. Но так как web-сервер на Cisco выключен (no ip http server) - получает указанную ошибку. Казалось бы (мне по крайней мере) всё, что надо сделать, - это создать route-map и перенаправить трафик на свой web-сервер. Но в процессе реализации столкнулся с такой проблемой: трафик, адресованный не Cisco ';заворачивается'; правильно; но если обращение идет к адресу самой Cisco - route-map не отрабатывает.
Конфиг был примерно такой:
1.1.1.1 - внешний адрес маршрутизатора;
192.168.20.20 - адрес web-сервера
access-list 101 permit tcp any host 1.1.1.1 eq www
route-map www_redirect permit 10
match ip address 101
set ip next-hop 192.168.20.20
interface GigabitEthernet0/0
ip policy route-map test_redirect
Основная цель: сделать так, чтобы из локальной сети можно было подключаться url.domain.com (т. е. по внешнему адресу).
Прошу помочь советом. Спасибо.
↧
↧
Dynamic vlan assignment на Cisco SG-200-08
Всем привет. Аутентификацию 802.1x на Cisco SG-200-08 у меня настроить получилось, но вот атрибут Tunnel-Private-Group-ID посылаемый AAA-сервером она то ли не понимает, то ли игнорит в силу какой-то неправильной настройки. Может кто знает как сделать?
↧
jitter на cisco 6506 (VSS) при ping c компа
Коллеги приветствую всех.
Столкнулся со следующей проблемой
Пингую с ноутбука с IP 172.17.90.10/24 подключенного напрямую к 6506 адрес шлюза IP 172.17.90.1/24 на коммутаторе 6506 (VSS) в пределах одной сети 172.17.90.0/24.
Коллеги что может являться причинной данного jitter (лог привожу ниже)? Причем джиттер скачет от 1 мс до 200 мс.
IOS на коммутаторах следующий s2t54-ipbasek9_npe-mz.SPA.151-1.SY.bin.
Нужно ли обновлять IOS на 15.1.2 на коммутаторе для устранения плавающего джиттера?
На обоих коммутаторах установлены два супервизора VS-SUP2T-10G 5 ports Supervisor Engine 2T 10GE w/ CTS Rev. 1.5?
Процессы на коммутаторе следующие
c6506#show processes cpu sorted
CPU utilization for five seconds: 9%/0%; one minute: 15%; five minutes: 14%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
186 10755684 27432966 392 2.23% 3.96% 3.93% 0 slcp process
598 2540388 416980 6092 1.83% 0.97% 0.94% 0 Lif stats hw rea
597 1612192 180413 8936 1.03% 0.67% 0.64% 0 SEA write CF pro
139 2295172 35719071 64 0.79% 0.91% 0.83% 0 DiagCard2/-1
668 819640 2648836 309 0.63% 0.47% 0.36% 0 Spanning Tree
9 1008504 114066 8841 0.63% 0.43% 0.36% 0 Check heaps
55 2470580 33593623 73 0.55% 0.90% 0.88% 0 DiagCard1/-1
640 369632 769138 480 0.31% 0.18% 0.16% 0 QOS Stats Gather
615 181276 3554999 50 0.23% 0.05% 0.06% 0 DiagSatCtrl Proc
722 260612 202151 1289 0.23% 0.12% 0.12% 0 Hardware API bac
36 1159196 24866409 46 0.15% 0.44% 0.42% 0 IPC Seat Manager
699 81508 194571 418 0.07% 0.03% 0.00% 0 XDR receive
694 35284 5267431 6 0.07% 0.01% 0.00% 0 SCP async: LCP#1
365 8520 1740060 4 0.07% 0.00% 0.00% 0 Heartbeat
719 39232 636731 61 0.07% 0.01% 0.00% 0 CEF: IPv4 proces
15 0 2 0 0.00% 0.00% 0.00% 0 DDR Timers
16 0 2 0 0.00% 0.00% 0.00% 0 Dialer event
18 0 11 0 0.00% 0.00% 0.00% 0 ifIndex Receive
17 1508 318 4742 0.00% 0.00% 0.00% 0 RF Slave Main Th
20 27316 282849 96 0.00% 0.00% 0.00% 0 EnvMon
19 0 2 0 0.00% 0.00% 0.00% 0 Serial Backgroun
22 184 26881 6 0.00% 0.00% 0.00% 0 Compute SRP rate
23 0 1 0 0.00% 0.00% 0.00% 0 CEF MIB API
21 0 1 0 0.00% 0.00% 0.00% 0 Crash writer
25 1132 281887 4 0.00% 0.00% 0.00% 0 ARP Background
26 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT
27 0 1 0 0.00% 0.00% 0.00% 0 Policy Manager
14 0 1 0 0.00% 0.00% 0.00% 0 Inode Table Dest
29 0 1 0 0.00% 0.00% 0.00% 0 IFS Agent Manage
30 0 24 0 0.00% 0.00% 0.00% 0 IPC Apps Task
31 12 4482 2 0.00% 0.00% 0.00% 0 IPC Dynamic Cach
Выкладываю лог
C:\>ping 172.17.90.1 -l1300 -n1000 -t
Обмен пакетами с 172.17.90.1 по с 0 байтами данных:
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=23мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=25мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=47мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=13мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=8мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=200мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=17мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=13мс TTL=255
Ответ от 172.17.90.1: число байт=0 время=4мс TTL=255
Ответ от 172.17.90.1: число байт=0 время<1мс TTL=255
Статистика Ping для 172.17.90.1:
Пакетов: отправлено = 45, получено = 45, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 200 мсек, Среднее = 2 мсек
↧
Reflexive ACL
Коллеги, у меня какой-то странный вопрос. Никак что-то не получается загуглить инфу про Reflexive ACL на Cisco роутерах. Интересует, влияение фичи на производительность особенно на Cat6500. То есть сколько записей там может быть, с какой скоростью могут появляться, как при этом загружены мозги, можно ли как-то ограничить размер листа?..
↧
ASA,SX20 - FAIL?
Народ я вступаре! На ВКС SX20 начали проходить вызовы с интернета(обычный SIP прозвон).
При этом я на АSА-шек все закрыл.
Так вот не смотря на правила deny - ASA-шка успешно пропускает пакеты и на ВКС приходит вызов.
Куда копать?
П.С.
Пакет трасерт говорит что все закрыто по моделированию. Однако лог показвает:
6 Oct 15 2014 13:56:10 607001 37.220.27.138 5082 х.х.х.х(мой адрес) Pre-allocate SIP SIGNALLING UDP secondary channel for outside:37.220.27.138/5082 to WAN_DMZ_Media:х.х.х.х(мой адрес) from 4xx message
↧
↧
Непонятная сортировка интерфейсов в Catalyst6509
Уважаемые, подскажите кто знает, что надо сделать с циской (Catalyst6509 Version 12.2(33)SXI2a), чтоб она выдавала интерфейсы не по порядку, а ХЗ как...
Вот например вывод обычной команды sh ip int bri -
Interface IP-Address OK? Method Status Protocol
Vlan116 10.YY.ХХХ.73 YES manual up up
Vlan117 10.YY.ХХХ.65 YES manual up up
Vlan120 10.YY.ХХХ.97 YES manual up up
Vlan447 10.YY.ХХХ.109 YES manual up up
Vlan481 10.YY.ХХХ.89 YES manual up up
Vlan482 10.YY.ХХХ.93 YES manual up up
Vlan484 10.YY.ХХХ.105 YES manual up up
GigabitEthernet7/1 unassigned YES unset up up
GigabitEthernet7/4 10.YY.ХХХ.9 YES manual administratively down down
GigabitEthernet7/22 unassigned YES unset up up
GigabitEthernet7/23 unassigned YES unset down down
GigabitEthernet7/24 unassigned YES unset down down
GigabitEthernet7/25 unassigned YES unset up up
GigabitEthernet7/26 unassigned YES unset down down
GigabitEthernet7/27 unassigned YES unset up up
GigabitEthernet7/28 unassigned YES unset up up
GigabitEthernet7/35 unassigned YES unset down down
GigabitEthernet7/36 unassigned YES unset down down
GigabitEthernet7/37 unassigned YES unset down down
GigabitEthernet7/47 unassigned YES unset up up
GigabitEthernet8/1 unassigned YES unset up up
GigabitEthernet8/4 unassigned YES manual down down
GigabitEthernet8/17 unassigned YES TFTP down down
GigabitEthernet8/22 10.YY.ХХХ.61 YES manual administratively down down
GigabitEthernet8/23 unassigned YES unset down down
GigabitEthernet8/24 unassigned YES unset down down
GigabitEthernet8/25 unassigned YES unset up up
GigabitEthernet8/35 unassigned YES unset up up
GigabitEthernet8/36 unassigned YES unset up up
Vlan1 unassigned YES NVRAM administratively down down
Vlan110 10.YY.ХХХ.1 YES NVRAM up up
Vlan111 10.YY.ХХХ.33 YES manual administratively down down
Vlan112 unassigned YES NVRAM up up
Vlan115 10.YY.ХХХ.25 YES NVRAM up up
Vlan479 10.YY.ХХХ.33 YES NVRAM up up
Vlan492 10.YY.ХХХ.17 YES NVRAM up up
Vlan493 10.YY.ХХХ.13 YES NVRAM up up
Vlan495 10.YY.ХХХ.21 YES NVRAM up up
Vlan535 10.YY.ХХХ.29 YES NVRAM up up
Vlan553 unassigned YES manual administratively down down
Vlan569 10.YY.ХХХ.29 YES NVRAM up up
Vlan570 10.YY.ХХХ.25 YES NVRAM up up
Vlan596 10.YY.ХХХ.10 YES NVRAM up up
GigabitEthernet3/0/1 unassigned YES unset up up
GigabitEthernet3/0/2 unassigned YES unset up up
GigabitEthernet3/1/1 unassigned YES unset up up
GigabitEthernet3/1/2 unassigned YES unset up up
GigabitEthernet5/1 unassigned YES NVRAM administratively down down
GigabitEthernet5/2 unassigned YES NVRAM administratively down down
GigabitEthernet6/1 unassigned YES NVRAM administratively down down
GigabitEthernet6/2 unassigned YES NVRAM administratively down down
GigabitEthernet7/2 unassigned YES unset up up
GigabitEthernet7/3 unassigned YES unset down down
GigabitEthernet7/5 unassigned YES unset up up
GigabitEthernet7/6 unassigned YES unset up up
GigabitEthernet7/7 unassigned YES unset up up
GigabitEthernet7/8 unassigned YES unset down down
GigabitEthernet7/9 unassigned YES unset down down
Вот вывод части sh run -
interface GigabitEthernet8/20
switchport
switchport access vlan 572
!
interface GigabitEthernet8/21
description ERSPAN_Dest_Port
no ip address
shutdown
!
interface GigabitEthernet8/26
no ip address
shutdown
!
interface GigabitEthernet8/27
no ip address
shutdown
Как видно между 8/21 и 8/26 - дыра. Интерфейсы где-то в другом место конфига потерялись...
Что это, как такого можно добиться, а главное как сделать чтоб интерфейсы шли как во всех нормальных цисках? (по алфавиту и номерам)
↧
anyconnect на ASA при аутентификации на AD
Привет,
просветите меня, пожалуйста.
ASA 9.1 c AnyConnect Essentials
Сейчас webvpn настроено так, что все пользователя домена могут подсоединиться.
Есть необходимость сделать так:
Имеется две группы в AD: ADGroup1 и ADGroup2. К пользователям из этих групп применяются разные ACL после подключения к vpn.
Планирую сделать две политики group-policy и соответственно, две tunnel-group.
Настроил ldap-attribute-map для сопоставления group-policy на ASA и группе в AD.
ldap attribute-map CISCOMAP
map-name memberOf Group-Policy
map-value memberOf ';CN=Group1, DC=domain,DC=local'; ADGroup1
map-value memberOf ';CN=Group2, DC=domain,DC=local'; ADGroup2
Group-Policy пробовал менять на ietf-radius-class
Применил эту карту к aaa-server:
aaa-server DC1 (inside) host 192.168.1.2
server-port 389
ldap-base-dn DC=domain,DC=local
ldap-scope subtree
ldap-login-password *****
ldap-login-dn CN=ldap_user,DC=domain,DC=local
server-type microsoft
ldap-attribute-map CISCOMAP
Дальше делаю group-policy
group-policy ADGroup1 internal
group-policy ADGroup1 attributes
dns-server value 192.168.1.2
vpn-tunnel-protocol ssl-client ssl-clientless
split-tunnel-policy tunnelspecified
split-tunnel-network-list value splitlist1
default-domain value domain.local
Дальше делаю group-policy для запрещения:
group-policy GP-DenyVPN internal
group-policy GP-DenyVPN attributes
vpn-simultaneous-logins 0
Дальше делаю tunnel-group:
tunnel-group ADGroup1 type remote-access
tunnel-group ADGroup1 type general-attributes
address-pool POOLVPN1
authentication-server-group DC1
authorization-server-group DC1
default-group-policy GP-DenyVPN
В такой настройке, по моей логики, пользователи из Group1 в AD должны подключиться к VPN. Но нет, никто не может подключиться. При этом debug ldap 255 молчит.
Где я ошибаюсь? Верен ли алгоритм, которого я придерживаюсь?
Спасибо.
↧
pix515e l2tp-ipsec remote-access
Ткните носом в косяк, первый раз настраиваю pix и не вижу ошибку.
Старался по мануалам с cisco.com как мог.
Задача минимум - увидеть inside интерфейс после соединения стандартым клиентом Windows7.
Соединение устанавливается, пинги до inside не идут.
pixy# sh route
C 172.31.2.0 255.255.255.0 is directly connected, mgmt
C 172.30.1.0 255.255.255.0 is directly connected, inside
S 192.168.81.1 255.255.255.255 via 10.10.10.2, outside
C 10.10.10.0 255.255.255.0 is directly connected, outside
Спасибо.
PIX Version 8.0(4)
!
hostname pixy
domain-name test.ru
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 172.30.1.1 255.255.255.0
!
interface Ethernet2
nameif mgmt
security-level 7
ip address 172.31.2.214 255.255.255.0
!
ftp mode passive
clock timezone MSK 4
dns server-group DefaultDNS
domain-name test.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
pager lines 24
logging enable
logging timestamp
mtu outside 1500
mtu inside 1500
mtu mgmt 1500
ip local pool POOL1 192.168.81.1-192.168.81.10
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-613.bin
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 172.31.2.0 255.255.255.0 mgmt
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set KIE_TRANSFORM-SET esp-3des esp-sha-hmac
crypto ipsec transform-set KIE_TRANSFORM-SET mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
crypto dynamic-map KIE_DYNAMIC-MAP 10000 set transform-set KIE_TRANSFORM-SET
crypto dynamic-map KIE_DYNAMIC-MAP 10000 set security-association lifetime seconds 28800
crypto dynamic-map KIE_DYNAMIC-MAP 10000 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 set security-association lifetime seconds 28800
crypto map outside_map 65535 set security-association lifetime kilobytes 4608000
crypto map KIE_MAP 10000 ipsec-isakmp dynamic KIE_DYNAMIC-MAP
crypto map KIE_MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 5
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 172.31.2.0 255.255.255.0 mgmt
telnet timeout 1440
ssh 172.31.2.0 255.255.255.0 mgmt
ssh timeout 5
ssh version 2
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 172.31.2.130 source mgmt prefer
group-policy KIE_GP_L2TP-IPSEC internal
group-policy KIE_GP_L2TP-IPSEC attributes
vpn-tunnel-protocol l2tp-ipsec
username testvpn password iEb36u6PsRetBr3YMLdYbA== nt-encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool POOL1
default-group-policy KIE_GP_L2TP-IPSEC
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key presharedkey
isakmp keepalive threshold 10 retry 2
tunnel-group DefaultRAGroup ppp-attributes
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
: end
↧
Cisco 7301
Периодически подвисает, подозрение на память, купил PC2100 DDR-266MHz ECC Unbuffered 200-Pin So-Dimm не родную а от простого PC но она ее вообще отказывается видеть, т.е. я так понимаю маршрутизатору надо скормить что-то другое, подскажите точные параметры какая память там используется и реально ли впихнуть в нее простую память с PC?
↧
↧
Две подсети в одном VPN?
что и где надо прописать что бы новое устройство ходила по маршруту как на картинке?
http://i63.fastpic.ru/big/2014/1017/ac/8db7b9de94672f27bfc69672077468ac.jpg
↧
Вопрос про древний свитч
Здравствуйте,
есть старый добрый свитч WS-C2980G-A. Знает кто-нибудь есть ли возможность на нем настраивать ограничение скорости на порту?
Не могу найти в тырнете(( и гугль молчит
Знать бы еще умеет ли он такое вообще!?
Заранее спасибо!
↧
Cisco 2901 и IPSec.
Добрый день.
Столкнулся с задачей защитить соединение между двумя маршрутиризаторами: 2901 и 881.
Однако, обнаружил, что на моем CISCO2901/K9 отсутствует возможность выполнить ';crypto isakmp policy ...';. Есть только key и pki.
Стоит Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.4(3)M, RELEASE SOFTWARE (fc1) (c2900-universalk9-mz.SPA.154-3.M.bin).
Изначально ставил c2900-universalk9_npe-mz.SPA.154-3.M.bin.
Также в разделе ';Technology Package License Information for Module:'c2900''; параметр security имеет статус ';None';.
Правильно ли я понимаю, что мне надо докупить лицензию? Если да, то подскажите, какую? Спасибо.
↧