День добрый, есть 1941 на котором настроен PBR для разных сетей... на роутере 3 интерфейса - локалка, локалка2, инет с натом...
PBR настроен так чтобы в интернет уходили пакеты только определенных подсетей, всё остальное уходило в локалку2, где есть другой канал в интернет...
задумал я поднять на этой железке vpn, но понял что сам маршрутизатор пытается ходить в интернеты через локалку2... пробовал добавить IP адреса роутера в route-map но чет похоже я делаю не так, вот конфиг
interface GigabitEthernet0/0.50
encapsulation dot1Q 50
ip address 192.168.10.5 255.255.255.248
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 79.120.6.118 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/1
description SPK5
ip address 192.168.9.254 255.255.254.0
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip policy route-map naks
duplex auto
speed 100
service-policy output qos-policy
ip nat inside source route-map naks interface GigabitEthernet0/0.100 overload
ip route 0.0.0.0 0.0.0.0 192.168.10.3
ip route 172.16.100.0 255.255.255.0 192.168.9.250
ip route 172.30.0.0 255.255.255.240 192.168.9.250
ip route 192.168.0.0 255.255.254.0 192.168.10.1
ip route 192.168.2.0 255.255.255.0 192.168.10.2
ip route 192.168.3.0 255.255.255.0 192.168.10.3
ip route 192.168.4.0 255.255.254.0 192.168.10.4
ip access-list extended nat-traffic
deny ip 172.16.200.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 172.16.100.0 0.0.0.255 any
permit ip 172.16.200.0 0.0.0.255 any
permit ip host 79.120.6.118 any
permit ip host 192.168.9.254 any
permit ip host 192.168.10.5 any
route-map naks permit 10
match ip address nat-traffic
set ip next-hop 79.120.6.117
↧
PBR и дефолтный маршрут для самого роутера
↧
Помогите настроить маршрутизацию
Всем доброе время суток.
Помогите пожалуйста разобраться с маршрутизацией в сети. Примерная схема сети изображена на рисунке, между сетями 192.168.18.0, 192.168.21.0 и 192.168.22.0 маршрутизация настроена. Нужно чтобы из сетей 192.168.18.0/24 и 192.168.22.0/24 был доступен хост 192.168.5.4 и данный хост мог бы подключиться к любым хостам из данных сетей.
Оборудование использую следующее: R0 - Cisco 1841; R1 - linux; FW1 - Cisco PIX 515e; SW1 - Cat.3750.
На заводе есть свой админ, который с cisco не работает, но неплохо знает linux и R1 админит сам. На R1 он прописывает маршруты до сетей 192.168.18.0 и 192.168.22.0 (192.168.18.0/24 у него фактически как connected маршрут, а для сети 192.168.22.0/24 он прописал, что эту сеть видит маршрутизатор R0). На R0 прописываю следующую комманду ';ip route 192.168.5.0 255.255.255.0 192.168.18.198'; и из сети 192.168.18.0/24 хост 192.168.5.4 становится виден. Проблема возникла с сетью 192.168.22.0/24, если на FW1 прописать что то вроде ';route pcnet 192.168.5.0 255.255.255.0 192.168.18.1'; (где pcnet это интерфейс e0), то это ничего не дает. Вобщем не понимаю как из данной сети настроить маршрутизацию. Порылся в конфигах R0 и FW1, нашел, что между сетями завода и центрального офиса в явном виде маршруты не заданы, а как то все через acl регулируется. Если какие нужны листинги из конфигов, говорите, буду выкладывать. Буду благодарен за любую помошь.
P.S. Немного предыстории:
У нас всегда cisco были на аутсорсинге. Но недавно нашу аутсорсинговую компанию поглотил более крупный системный интегратор, все инженеры, с которыми я имел дело поувольнялись, а новые спецы слегка лажанули, у нас новый склад организовывался, и ребята не могли настроить нам роутер в качестве nat (в течении месяца), вместо cisco предложили microtic и их настроенный роутер в самый неподходящий момент перестал работать, нам сделали другой, с тем же результатом, после чего я плюнул на все, погуглил как на cisco роутерах настраивать nat, настроил первый попавшийся 1811 в качестве nat, и все работает до сих пор все как часы (не знаю что это было, возможно ребята просто поленились, и забили на нас, либо у них времени не было для нас, потому что вроде в консалтинге должны быть очень грамотные спец, в том что эти ребята грамотные я не сомневаюсь). Поэтому с данной конторой договор расторгли. Решил попробовать на себя взять обязанности по администрированию сетевого оборудования, пока успел просмотреть только курсы ICND1, ICND2, CCNA sec и книги ';Брандмауэры cisco secure PIX';, ';Организация защиты сетей cisco';. Т.е. имею общее представление об оборудовании в моей сети, как работать с vlan, протоколами маршрутизации, конфигрурирование nat, в теории знаю как ipsec vpn настроить и по мелочи мелкие админские задачи могу делать. Курсы switch и route у меня есть, но их я ещё не успел просмотреть, и данная задача, пока вне моего понимания.
↧
↧
Два айпи на одном интерфейсе Cisco ASA
Имеется Cisco ASA 5512. Есть локальный интерфейс с айпи адресом 192.168.1.1, как повесить ещё один айпи на этот же интерфейс.(другой подсети 192.168.2.1) желательно в cisco asdm но можно и cli
↧
Странная команда dial-peer voice XXX voip system
Добрый день!
Что делает данная команда и для чего она нужна? Внятных разъяснений на cisco.com не нашел. Судя по подкомандам - конфигурирует какие-то параметры по умолчанию. Но вот ни destination pattern ни каких либо еще pattern в ней нет. Зачем она вообще?
↧
CME и конференция
Есть настроенная CME. Необходима организация конференции с 8-ю участниками. Максимум что у меня вышло 2, даже троим не получается подключиться.
associate ccm 1 priority 1
associate profile 1 register Local-Code
associate profile 2 register Local-Conf
switchover method immediate
switchback method immediate
!
dspfarm profile 1 transcode universal
codec g711ulaw
codec g711alaw
codec g729r8
maximum sessions 3
associate application SCCP
!
dspfarm profile 2 conference
codec g711ulaw
codec g711alaw
codec g729r8
maximum sessions 4
associate application SCCP
telephony-service
sdspfarm conference mute-on ON mute-off OFF
sdspfarm units 2
sdspfarm transcode sessions 128
sdspfarm tag 1 Local-Code
sdspfarm tag 2 Local-Conf
no auto-reg-ephone
max-ephones 42
max-dn 100
time-format 24
date-format dd-mm-yy
max-conferences 8 gain -6
Настройки привел выше. Конференция устанавливается с пользователями как внутри так и по межгороду. Соединение с sip провайдером по кодеку g729 В текущих настройках как я понимаю возможно 4 конференции согласно профайлу. В какую сторону копнуть?
PS. Попробовал только с внутренними абонентами, транскодинг показывает что не используется, но вот при подключении второго абонента, первого выкидывает
↧
↧
Как организовать инфраструктуру?
Добрый день. В данный момент существует такая инфраструктура - два отделения и главный офис, только без телефонов IP телефонии (обозначены на карте ';Phone';) и устройств (';Device'; для которых нужна своя подсеть)
Помогите пожалуйста. Прописать адресацию на телефонах и устройствах (каждому отделению нужно выделить подсеть под телефоны и устройства?) и что прописать в маршрутизации и списках доступа на маршрутизаторах R1, R2, R3, ASA, что бы всё маршрутизировалось. Всё телефоны должны маршрутизироватся с АТС. А все устройства ';Device'; должны ходить на маршрутизатор ';DEVICE ROUTER';, причём со стороны ';DEVICE ROUTER'; для нас анонсирована сеть 192.168.0.0/24 (только из этой подсети наши устройства ';Device'; могут попасть на ';DEVICE ROUTER';)
Буду благодарен если кто то опишет по каждому маршрутизатору маршрутизацию и списки доступа которые нужно прописать.
http://i64.fastpic.ru/big/2014/1021/12/e018beb514f9a544a852c93dd0e88e12.jpg
PS админ удали пожалуйста две моих последних темы
↧
Не работает route-map
Всем доброго времени суток.
Суть вот в чем:
Все ниже команды железка кушает и отображает в sh run, за исключением применения на интерфейсе route-map ( вешаю на VLAN - ip policy route-map ISA, enter - команда применяется, но в sh run на Vlanе мапы нет)
В чем может быть пробдема? 35 серия не умеет мапить или прошивку поменять?
ip access-list extended ISA
permit tcp host 10.0.5.67 any eq www
permit tcp host 10.0.5.67 any eq 443
permit tcp host 10.0.5.16 any eq www
permit tcp host 10.0.5.16 any eq 443
!
route-map ISA permit 10
match ip address ISA
set ip next-hop 192.168.106.254
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 52 WS-C3560-48TS 12.2(25)SEE4 C3560-ADVIPSERVICESK
↧
Скачайте пожалуйста AnyConnect
Всем привет! Скачайте пожалуйста AnyConnect!
http://software.cisco.com/download/release.html?mdfid=286281272&flowid=72042&softwareid=282364313&release=3.1.05187&relind=AVAILABLE&rellifecycle=&reltype=latest
anyconnect-linux-3.1.05187-k9.pkg
anyconnect-linux-64-3.1.05187-k9.pkg
anyconnect-macosx-i386-3.1.05187-k9.pkg
anyconnect-win-3.1.05187-k9.pkg
Заранее СПАСИБО!!!
↧
Cisco config via scp to FreeBSD
Добрый день!
Удалось ли кому-нить организовать отправку конфигов с Cisco по scp на FreeBSD?
Проблем при копирования на Linux сервера нет. На FreeBSD(пробовал на 8.4, 10) одна и таже ошибка - 2: Authentication failed .
Где, что можно посмотреть?
↧
↧
Как можно выдрать dmg для asdm на mac os
Добрый день, есть проблема - не могу на вебку зайти на асу. Соответственно не могу установить на маке asdm. http включен, была проблема сначала с ssl - включил нужные шифры. Теперь просто стала сбрасывать соединение сама аса. Имею asdm.bin - как то его можно выскрыть? Ну или у кого есть asdm 661 dmg файл? Спасибо
↧
VPN Cisco 2901 – Microsoft Azure.
Нужно настроить VPN между Cisco 2901 и Microsoft Azure.
Со стороны облака настраивается в три клика «далее», ни состояния подключения, ни настроек, ничего.
Со стороны cisco сделал как написано здесь http://msdn.microsoft.com/en-us/library ... 33802.aspx.
Не работает. В логах ничего (может не там смотрю?)
rt#sh crypto session
Crypto session current status
Interface: GigabitEthernet0/0
Session status: DOWN
Peer: xxx.xxx.xxx.xxx port 500
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 10.130.0.0/255.255.0.0
Active SAs: 0, origin: crypto map
конфиг:
crypto isakmp policy 20
encr aes
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key DC3-DC_test address XXX.XXX.XXX.XXX
!
crypto ipsec transform-set test esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto map ToDC_test 10 ipsec-isakmp
set peer XXX.XXX.XXX.XXX
set security-association lifetime kilobytes 102400000
set transform-set TS_ToDC_test
match address DC_test
!
interface GigabitEthernet0/0
description Link to ISP4
ip address yyy.yyy.yyy.yyy 255.255.255.0
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1350
duplex auto
speed auto
no mop enabled
!
ip access-list extended DC_test
permit ip any 10.130.0.0 0.0.255.255
↧
route-map маршрутизация трафика
Приветствую.
Подскажите пожалуйста такой момент, что-то примеров не нашел.
Существует сеть на роутере 3925 192.168.20.0/24
К нему же подключена локальная сеть 192.168.4.0/22
Собственно адреса на маршрутизаторе 20.1 и 4.221.
Проблема что нет доступа из 4 сети в 20.
Линки сетей подключены физически до роутера.
sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override
Gateway of last resort is 195.208.136.97 to network 0.0.0.0
S* 0.0.0.0/0 [250/0] via 195.208.136.97
S 192.168.0.0/22 [250/0] via 192.168.20.2
C 192.168.4.0/22 is directly connected, Port-channel1.4
192.168.4.0/32 is subnetted, 1 subnets
L 192.168.4.221 is directly connected, Port-channel1.4
192.168.8.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.8.0/24 is directly connected, Port-channel1.8
L 192.168.8.220/32 is directly connected, Port-channel1.8
S 192.168.10.0/24 [250/0] via 192.168.20.3
S 192.168.11.0/24 [250/0] via 192.168.20.3
192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.20.0/29 is directly connected, Vlan20
L 192.168.20.1/32 is directly connected, Vlan20
C 192.168.100.0/22 is directly connected, Port-channel1.100
192.168.100.0/32 is subnetted, 1 subnets
L 192.168.100.220 is directly connected, Port-channel1.100
S 192.168.110.0/24 [250/0] via 192.168.20.3
195.208.136.0/24 is variably subnetted, 2 subnets, 2 masks
C 195.208.136.96/27 is directly connected, Vlan97
L 195.208.136.109/32 is directly connected, Vlan97
и даже с роутера используя
ping 192.168.20.2 sources 192.168.4.221 - не работает.
Появилась мысль использовать роутмапу которая при отправки трафика например с интерфейса локальной сети в сеть 20.0/24 уходили через интерфейс этой сети.
Но примеров не нашел.
Возможно нужно использовать еще нат, но проблема то что не весь трафик надо натить, который уходит с этого интерфейса.
Подскажите куда копать?
↧
BGP и IP SLA
Добрый день. Ситуация следующая. Есть 2 провайдера для выхода в интернет. Маршрутизация с обоими по BGP. Если выходит из строя один (падает канал), то происходит переключение на другого. Но бывают ситуации, когда канал живой, но трафика в нем со стороны провайдера нет (';интернет не работает';), соответственно, приходится руками переключать. Можно ли как-то автоматизировать этот процесс? Чтобы, например, шла проверка доступности какого-нибудь 8.8.8.8 (трек через ip sla сделать), и, если пингов нет, то автоматически переключать на другого провайдера (тоже интересный вопрос, как это сделать и как к ip sla прикрутить?)
Возможно, есть другая какая-то технология?
Буду рад любой помощи.
Заранее благодарю за ответ.
↧
↧
dhsp snooping+arp inspection
Всем добрый день Уважаемые Сетевые специалисты
Хочу попросить Вас присоединиться к решению одной небольшой проблемы.
Задача:
1. Развернуть dhsp snooping—решено!
2. Настроить arp inspection enable src-mac, dst-mac—решено!
3. Настроить таблицу binding на tftp---решено!
Но вот тут есть проблема в компании есть телефоны cisco с питанием не через Poe, а через
внешние блоки питания и в случае потери связи с TFTP, комп который подключен к телефону, не видит обрыва Link и не запрашивает информацию с dhcp,
тут мне предложили настроить ip sla +eem для того, чтобы в момент потери связи с tftp, eem отрабатывал скрипт и отключал arp inspection до восстановления связи с tftp.
Вот тут есть еще ода проблема, eem поддерживают только Router и Switch L3, соответственно на 6504 я это сделаю.
А в компании есть 2960 и как быть с ними?
Я думал настроить tracking, но он похоже не умеет, как EEM создавать action, либо я не разобрался как это сделать!
Можно ли на них настроить?
↧
не могу разобраться с доступами между подсетями...
Подскажите, если возможно, хоть что-нибудь! Не могу нащупать никак решение...
В нашей локальной сети сделано несколько VLANов. В качестве маршрутизатора используется Cisco 4500 Catalyst.
Вот что в таблице маршрутов:
Gateway of last resort is 10.210.104.10 to network 0.0.0.0
10.0.0.0/8 is variably subnetted, 19 subnets, 2 masks
S 10.0.0.0/8 via 10.210.104.100
C 10.210.104.0/24 is directly connected, Vlan104
C 10.210.105.0/24 is directly connected, Vlan105
C 10.210.106.0/24 is directly connected, Vlan106
C 10.210.96.0/24 is directly connected, Vlan96
C 10.210.97.0/24 is directly connected, Vlan97
C 10.210.98.0/24 is directly connected, Vlan98
C 10.210.100.0/24 is directly connected, Vlan100
C 10.210.103.0/24 is directly connected, Vlan103
C 10.210.16.0/24 is directly connected, Vlan16
C 10.210.17.0/24 is directly connected, Vlan17
C 10.210.18.0/24 is directly connected, Vlan18
C 10.210.19.0/24 is directly connected, Vlan19
C 10.210.20.0/24 is directly connected, Vlan20
C 10.210.21.0/24 is directly connected, Vlan21
C 10.210.10.0/24 is directly connected, Vlan99
C 10.210.12.0/24 is directly connected, Vlan12
C 10.0.210.0/24 is directly connected, Vlan210
C 10.210.1.0/24 is directly connected, Vlan1
62.0.0.0/28 is subnetted, 1 subnets
S 62.148.138.48 via 10.210.1.97
S* 0.0.0.0/0 via 10.210.104.10
Значит, что есть маршруты ко всем подсетям?
Однако, ping из подсети 10.210.12.0/24 (vlan 12) в подсеть 10.210.17.0/24 (vlan17) не проходит. А из 10.210.12.0/24 (vlan 12) в подсеть 10.210.100.0/24 (vlan 100) проходит. И из остальных подсетей в 10.210.100.0 проходит.
Получается, что трафик ограничивается, например, access-listами? Но в конфиге, который получаю с помощью show run, есть только один access-list, и он не имеет отношения к данным подсетям (применен на интерфейсе для vlan 105).
Команда show vlan access-map ничего не показывает, т.е. Vlan ACL не создавались.
Что еще можно посмотреть, как может еще быть ограничен трафик?
↧
Не поднимается транк
SW0(config)#interface Gi0/1
SW0(config-if)#switchport mode trunk
SW0(config-if)#^Z
SW0#show interfaces Gi0/1 trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q other 1
Port Vlans allowed on trunk
Gi0/1 none
Port Vlans allowed and active in management domain
Gi0/1 none
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 none
SW0#
речь про аппарат WS-2960-48C-L
Или что то ещё нужно, что бы порт стал транковым?
↧
cisco 1841 список доступа для проброса портов
Добрый день, нашел на форуме тему о пробросе, сделал вроде все правильно, проброс снаружи на внутренний айпи работает, НО не работает access-list, т.е. всех подряд пускает снаружи. Подскажите пожалуйста, что не так? Задача пробросить наружу 80 порт 172.16.1.100, чтобы можно было зайти только с айпи 8.8.8.8:
version 12.4
!
interface FastEthernet0/0
ip address XXX.XXX.XXX.XXX 255.255.255.240
ip nat outside
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 172.16.1.1 255.255.255.0
ip pim dense-mode
ip nat inside
load-interval 30
duplex auto
speed auto
no cdp enable
!
ip local pool vpn 172.16.1.90 172.16.1.110
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.YYY
!
no ip http server
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 172.16.1.100 80 interface FastEthernet0/0 80
!
access-list 1 permit 8.8.8.8
cisco1841#
↧
↧
Переход на зимнее время
Стоит CUCM 8.6.2
Ни где не нашел настроек перехода на зимнее время.
Подскажите где посмотреть ?
↧
rtp
как прокинуть rtp трафик через cme , а не от телефона?
Спасибо.
↧
ip nat nvi
Добрый день Уважаемые сетевые специалисты!
Подскажите? какая веhсия ios asr 1002-f поддерживает ip nat nvi?
↧