Новости из форума Cisco Последние топики из форума Cisco http://forum.sysadmins.su/index.php Tue, 07 Sep 2010 13:16:40 +0000 10 Вопрос по rate-limit http://forum.sysadmins.su/index.php?showtopic=40243711 Цитата

Policing Traffic with CAR

CAR embodies a rate-limiting feature for policing traffic. When policing traffic with CAR, Cisco recommends the following values for the normal and extended burst parameters:

normal burst = configured rate * (1 byte)/(8 bits) * 1.5 seconds

extended burst = 2 * normal burst

вопрос

Цитата

(1 byte)/(8 bits)
это 1/8 или 8/8 ?]]> Tue, 07 Sep 2010 13:16:40 +0000 http://forum.sysadmins.su/index.php?showtopic=40243711 IPTV на 1811 - постоянные обрывы соединения http://forum.sysadmins.su/index.php?showtopic=40243703 Провайдер предоставляет IPTV. Компьютер, подключенный напрямую к провайдеру показывает все нормально, при подключении через роутер картинка останавливается каждые 2 минуты на 10-15 секунд. Значение в 120 секунд нашел только в контексте интерфейсов как "IGMP querier timeout is 120 seconds". Изменение его не влияет на интервал между пропадаеним картинки. Что это может быть?

Кусок конфига, к IPTV относящийся вот:
(инет раздается через PPPoE, IPTV через локалку)
ip multicast-routing
!
interface FastEthernet0
ip address dhcp
ip pim sparse-dense-mode
pppoe enable
pppoe-client dial-pool-number 1
end
!
interface Vlan2
ip address 192.168.0.1 255.255.255.0
ip pim sparse-dense-mode
ip nat inside
ip igmp helper-address (10.х.х.х DHCP DG)
end

ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.0.0.0 255.0.0.0 dhcp
ip route 192.168.0.0 255.255.0.0 dhcp
]]> Tue, 07 Sep 2010 09:15:32 +0000 http://forum.sysadmins.su/index.php?showtopic=40243703 Cisco 7206VXR pppoe + isg ios http://forum.sysadmins.su/index.php?showtopic=40243665
Столкнулся со следующей проблемой - при использовании ISG IOS(c7200p-adventerprisek9-mz.122-33.SRE1.bin)
не получается завести pppoe, при подключении ошибка - TCP/IP протокол сообщает об ошибке 736: удаленный компьютер завершил работу протокола управления.
На циске видно что интерфейс поднимается и тут же падает:

Sep  6 16:06:42: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to up
Sep  6 16:06:42: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up
Sep  6 16:06:42: %LINK-3-UPDOWN: Interface Virtual-Access3, changed state to down
Sep  6 16:06:42: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to down


В случае использования не ISG IOS(c7200-npe-G2-advsecurityk9-mz.124-20.T.bin) pppoe работает.
Ниже часть конфига маршрутизатора.

version 12.2
service timestamps debug datetime localtime
service timestamps log datetime localtime
!
hostname router7206VXR
!
boot-start-marker
boot system flash disk2:c7200p-adventerprisek9-mz.122-33.SRE1.bin
boot-end-marker
!
security passwords min-length 1
!
aaa new-model
!
!
aaa group server radius rad_pppoe
 server-private 212.42.ххх.ххх auth-port 1812 acct-port 1813 key test
!
aaa authentication ppp PPPoE group rad_pppoe
aaa authorization network PPPoE group rad_pppoe 
aaa accounting network PPPoE
 action-type start-stop
 group rad-pppoe
!
!
!
!
!
aaa session-id common
clock timezone KGR 6
ip source-route
ip cef
!
!
!
!
ip domain name router7206VXR.ххх.хх
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
archive
 log config
  hidekeys
username ip0203 privilege 15 password 0 хххххх
!
!
! 
!
!
!
!
bba-group pppoe global
 virtual-template 1
 sessions per-mac limit 1
 sessions per-vlan limit 1000
 sessions auto cleanup
!
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.255
!
interface GigabitEthernet0/1
 ip address 212.42.ххх.ххх 255.255.255.240
 ip flow ingress
 ip flow egress
 media-type rj45
 speed auto
 duplex auto
 negotiation auto
!
interface GigabitEthernet0/3
 no ip address
 media-type rj45
 speed auto
 duplex auto
 negotiation auto
 pppoe enable group global
 no cdp enable
!
interface Virtual-Template1
 ip unnumbered Loopback0
 no ip redirects
 no ip proxy-arp
 no keepalive
 ppp authentication pap chap PPPoE
 ppp authorization PPPoE
 ppp accounting PPPoE
!
!
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 212.42.ххх.ххх
!
ip radius source-interface GigabitEthernet0/1 
logging alarm informational
]]> Mon, 06 Sep 2010 10:19:08 +0000 http://forum.sysadmins.su/index.php?showtopic=40243665 3 провайдера http://forum.sysadmins.su/index.php?showtopic=40243634
FastEthernet0/1 - 90.155.230.46 - провайдер 1, ethernet, его шлюз 90.155.230.254
FastEthernet0/1.2 - 109.207.174.15 - провайдер 2, ethernet, его шлюз 109.207.174.254
Dialer1 - 95.165.144.111 - провайдер 3, pppoe шлюз меняется каждый раз.

Нужно:
1) Сделать NAT на все три провайдера на основании ip-адреса отправителя.
2) Сделать pptp на каждом интерфейсе, так же нужно чтобы с каждого из интерфейсов была возможность подключения на маршрутизатор по ssh.

Первую задачу я постарался решить следующим образом:

interface FastEthernet0/1
ip address 90.155.230.46 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 109.207.174.15 255.255.254.0
ip nat outside
ip virtual-reassembly
no cdp enable

........

interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
no cdp enable

..........

interface BVI1
ip address 172.23.23.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map lan

ip nat inside source route-map bunet interface FastEthernet0/1.2 overload
ip nat inside source route-map bucom interface FastEthernet0/1 overload
ip nat inside source route-map mgts interface Dialer1 overload

!
route-map mgts permit 10
 match interface Dialer1
!
route-map lan permit 10
 match ip address 102
 set interface Dialer1
!
route-map lan permit 20
 match ip address 103
 set ip next-hop 109.207.174.254
!
route-map bunet permit 10
 match ip address 103
 set interface FastEthernet0/1.2
!
route-map bucom permit 10
 match ip address 101
 set interface FastEthernet0/1
!
access-list 101 permit ip host 172.23.23.1 any
access-list 102 permit ip host 172.23.23.2 any
access-list 103 permit ip host 172.23.23.3 any



В итоге - 172.23.23.1 и 172.23.23.2 ходят по нужным маршрутам, все работает нормально.
172.23.23.3 - никуда не ходит.
Интересно было бы узнать в чем проблема, т.к. конфиг содран с аналогичной циски, но только с двумя воткнутыми провайдерами.


По реализации второй задачи нет никаких идей вообще, как я не бился, маршрутизатор все время отвечает с адресом источника 90.155.230.46, при том по любому интерфейсу, соответственно провайдер пакеты с чужим адресом источника не маршрутизирует, сейчас 90.155.230.254 прописан как дефолт гетвей.

ip route 0.0.0.0 0.0.0.0 90.155.230.254

gw#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 90.155.230.254 to network 0.0.0.0

.....

C 90.155.230.0 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 90.155.230.254
]]> Sat, 04 Sep 2010 13:21:07 +0000 http://forum.sysadmins.su/index.php?showtopic=40243634 Cisco блокирует BOOTP-пакеты http://forum.sysadmins.su/index.php?showtopic=40243565
У меня проблемы с работой загрузкой локальных устройств с помощью BOOTP-сервера. BOOTP-сервер и локальные устройства (которые хотят загрузиться с сервера) подключен в один и тот же VLAN на Cisco 4948. Конфигурация интерфейсов следующая:

interface GigabitEthernet1/37
 description BOOTP-SERVER (10.245.24.12)
 switchport access vlan 24
 switchport mode access
end
.....
interface GigabitEthernet1/42
 description DEVICE (10.245.24.203)
 switchport access vlan 24
 switchport mode access
end
...
interface Vlan24
 ip address 10.245.24.1 255.255.255.0
 ip helper-address 10.245.24.12 // BOOTP-server
 ip pim bsr-border
 ip pim sparse-mode
 ip igmp version 3
 ip igmp query-interval 30
end


По непонятной мне причине, когда при ребуте устройство посылает BOOTP-запрос, он не достигает сервера. При этом если то же самое устройство посылает DHCP-запрос, то он прекрасно доходит до того же самого сервера.

Помогите, пожалуйста, дознаться до корня проблемы.

Заранее большое спасибо.]]> Wed, 01 Sep 2010 06:26:12 +0000 http://forum.sysadmins.su/index.php?showtopic=40243565 Multicast in PIX 506E (IP-TV from cisco) http://forum.sysadmins.su/index.php?showtopic=40243558
И так имеем PIX 506E v6.3(5)
ip address outside 78.x.x.x 255.255.255.0
ip address inside 192.168.0.2 255.255.255.0

провайдер вещает IP-TV для ПК есть плейлисты под VLC&IP-TV Player, в них
№ программы 1
udp://@230.33.0.1:1234
№ программы 2
udp://@230.33.0.2:1234
и т.д.
есть необходимость настроить возможность просмотра данного контента в локалке

show config
Spoiler


# multicast interface outside
Spoiler


# multicast interface inside
Spoiler


ТВ нет, кто сможет подать руку помощи?

# sh capture OUTSIDE-IN
0 packet captured
0 packet shown]]> Tue, 31 Aug 2010 18:05:46 +0000 http://forum.sysadmins.su/index.php?showtopic=40243558 Помогите настроить сеть между двумя офисами на Cisco 851 http://forum.sysadmins.su/index.php?showtopic=40243548
Имеется:
2 Cisco 851;
2 статичных IP на одном провайдере.

Нужно сделать между ними шифрованный канал.
Короче говоря нужна локальная сеть между двумя офисами, которая будет защищенной.

В силу отсутствия опыта, практики, знаний. Прошу помощи.

Нашел вот этот пример. Но не знаю подойдет ли мне.
http://www.opennet.ru/openforum/vsluhforumID6/19829.html]]> Tue, 31 Aug 2010 13:16:44 +0000 http://forum.sysadmins.su/index.php?showtopic=40243548 EzVPN проблемы http://forum.sysadmins.su/index.php?showtopic=40243456

Ситуация следующая: есть Cisco 2821 (Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 12.4(15)T3, RELEASE SOFTWARE (fc1)) настроены такие EzVPN соединения:

crypto isakmp client configuration group GROUP1
 key pass1
 pool SDM_POOL_3
 acl 103
 max-users 10
!
crypto isakmp client configuration group GROUP2
 key pass2
 pool SDM_POOL_2
 acl 102
 max-users 10
!
crypto isakmp profile EzCLIENT
   match identity group GROUP1
   match identity group GROUP2
   client authentication list sdm_vpn_xauth_ml_2
   isakmp authorization list sdm_vpn_group_ml_2
   client configuration address respond
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set ESP-3DES-SHA 
 set isakmp-profile EzCLIENT
 reverse-route
!
!
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
ip local pool SDM_POOL_2 192.168.0.220 192.168.0.229
ip local pool SDM_POOL_3 192.168.0.235 192.168.0.245
!
access-list 102 permit ip host 192.168.1.201 any
access-list 102 permit ip host 192.168.1.6 any
access-list 103 permit ip 192.168.0.0 0.0.255.255 any
access-list 103 permit ip 10.0.0.0 0.0.0.255 any



Соединение проходит нормально. Однако, если подключается клиент из 1 группы (GROUP1), то происходит нечто для меня странное - он то может, то не может войти в сеть. Видно, что клиент подключился, получил IP, на самом компьютере клиента таблица роутинга изменилась в нужном направлении, пингов нет. Или не все компьютеры пингуются.
Если клиент из второй группы (GROUP2), то он вообще ничего не может, даже на разрешенные IP зайти. Однако, если его заставить получать IP из пула SDM_POOL_3, то картина такая же - он получает доступ к нужным IP, но и то не всегда к обоим...

Сумбурно, но лучше пока объяснить не могу. Голова пухнет, понять не могу, по какой причине такое странное поведение. Единственное, что приходит в голову - классы сетей. Но, с другой стороны, клиенту выдается маска /23 и как тут могут классы повлиять...

ACL 103 несколько странноват? В сети много удаленных офисов, подключенных через DMVPN, так вот задумка, чтобы клиент мог попасть в них во все через подключение EzVPN.

Думал было, что это глюки Windows Vista, но нет, на XP та же фигня.

Куда копать?]]> Fri, 27 Aug 2010 12:46:16 +0000 http://forum.sysadmins.su/index.php?showtopic=40243456 Cisco пускает по VPN с любым паролем. http://forum.sysadmins.su/index.php?showtopic=40243411
На Cisco7200 настроен ppp VPN, с авторизацией через Radius, но почему-то соединение устанавливается по абсолютно любым логином.

!
!
aaa group server radius server.ru
 server-private 10.100.100.100 auth-port 1812 acct-port 1813 key secrettt
 ip vrf forwarding INSIDE
!
aaa authentication login default group server.ru local
aaa authentication ppp default group server.ru local
aaa authorization exec default group server.ru local
aaa authorization network default group server.ru local
aaa accounting delay-start
aaa accounting exec default start-stop group server.ru
aaa accounting network default start-stop group server.ru
aaa accounting system default start-stop group server.ru

multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 100
!
!

username admin secret 5 ******.


При этом, когда заходишь на само устройство, авторизация проходит нормально.]]> Thu, 26 Aug 2010 10:26:21 +0000 http://forum.sysadmins.su/index.php?showtopic=40243411 Cisco Router W851 http://forum.sysadmins.su/index.php?showtopic=40243388 В чем может быть проблема ??? CMOS - умер??? но маршрутизатору только 2 года???

Спасибо.]]> Wed, 25 Aug 2010 20:19:45 +0000 http://forum.sysadmins.su/index.php?showtopic=40243388