|
|
Cisco Systems - Network community
|
|
|
| Помогите с фильтрами плиз |
[01 Jul 2009|01:30pm] |
По моему разумению, сетка 77.241.32.0/24 через фильтр test-tkt должна пролетать еще с большим удовольствием, ибо дырка шире :-) а на практике вот что имеем:
router#sh run | i test-tkt
ip prefix-list test-tkt seq 5 permit 77.241.32.0/20
ip prefix-list test-tkt2 seq 5 permit 77.241.32.0/24
router#sh ip bg pr test-tkt
router#sh ip bg pr test-tkt2
BGP table version is 2427647, local router ID is 111.111.111.111
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 77.241.32.0/24 194.85.177.82 2 2000 0 38951 i
* 194.85.177.82 2 1000 0 38951 i
* 195.239.232.9 700 0 3216 38951 i
* 195.5.138.193 400 0 6850 3267 9002 38951 i
* 93.153.191.81 600 0 20632 38951 i
router#
Аналогичные результаты и для фильтров /23,/22,/21. Ниче не понимаю...
|
|
| Cisco IronPort C160 |
[26 Jun 2009|04:32pm] |
Приветствую всех
А кто-нибудь использует такую железку?
интересуют впечатления, а так же примерная стоимость самой железяки и подписки на обновления.
спасибо
|
|
| AIR-AP1100: dhcp в определенный vlan |
[17 Jun 2009|11:38am] |
всем привет,
подскажите как реализовать следующее:
имеется точка доступа AP1100 с 2-мя ssid в разных vlan (id 1 и 2) подключенная в каталист 2960. Требуется запустить dhcp сервер на точке таким образом, чтобы он вещал только в 2-ом влане (диапазон адресов 172.18.0.0/24).
( конфиг точки и дебаг )
куда копать подскажите? спасибо.
crosspost в ![[info]](http://l-stat.livejournal.com/img/community.gif) ru_cisco
|
|
| Сatalystы и mstp |
[15 Jun 2009|10:56am] |
Приветствую.
Есть следующая проблема непонятного характера. Существует разветвленная сеть на HP Procurve и нескольких каталистах. Была попытка поднять МСТП, при этом как ни странно каждый свич считал себя рутом, независимо от выставленных приоритетов. На всякий случай МСТП было убрано везде, кроме двух каталистов, просто связанных оптикой. Однако ситуация не изменилась - оба каталиста считают себя рутами.. (
( Подробно с конфигами )
|
|
| Frame Relay & EIGRP |
[29 May 2009|10:53am] |
Всем привет.
Есть point-to-point топология: два рутера, подключенные через FR-Switch (тоже рутер). На обоих рутерах поднят EIGRP.
Допустим, на одном рутере R1: 10.1.1.1/30, DLCI: 102; на другом R2: 10.1.1.2/30, DLCI: 201. Маппинг на свитче настроен.
( Далее )
|
|
| Netflow и BVI |
[28 May 2009|11:48pm] |
|
В общем есть два прова с пулами по 16 адресов, оба прова входят в Zyxel ZyWall 1050 на котором балансируются, но зюхель не умеет отдавать нетфлоу. Есть 2811 с 4 fe на борту. Можно ли отдать нетфлоу с мостов ? И если нельзя то каким образом пропустить через роутер 2 линка и снять с них нетфлоу с последующей отдачей по одному из вланов зикселю ?
|
|
| Redundancy |
[23 May 2009|05:37pm] |
Коллеги, схема:
Inet Inet
| |
R1 R2
| |
| 3 2 |
S1====S2
| 1 |
| |
Host Server
Нужно обеспечить выход с хоста на сервер в приоритетном порядке по каналам 1-2-3. Если упал канал 1, то идем по 2, если упали 1 и два, то идём по 3. Между S1 и S2 очевидно Etherchannel, вопрос, как пробросить через интернет, когда между S1 и S2 упали каналы. Можно R1 в Etherchannel запихнуть, а там forward на R2 и на R2 inside source static? Или тут есть более очевидное и правильное решение?
|
|
| MS PPTP server за PAT'ом. |
[19 May 2009|01:17pm] |
Картинка такая
MS_PPTP_server -> c1841 -> i-net -> Client
На кошке на внутреннем и внешнем интерфейсах сказано
permit gre any any log
так же сказано
ip nat inside source static tcp 192.168.1.202 1723 aa.bb.cc.dd 1723 extendable
PAT настроен так
ip nat inside source route-map ISP1 interface FastEthernet0/0 overload
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
permit ip 172.16.128.0 0.0.63.255 any
permit ip 172.16.192.0 0.0.63.255 any
route-map ISP1 permit 10
match ip address NAT
match interface FastEthernet0/0
На входе gre в acl'ках вижу, а обратно - фиг.
May 19 13:19:19 192.168.1.1 993: 1d00h: %SEC-6-IPACCESSLOGRP: list ISP1_in permitted gre 78.155.xxx.31 -> 80.249.xxx.194, 12 packets
Где смотреть?
Да, вот это http://www.cisco.com/en/US/tech/tk827/tk369/technologies_configuration_example09186a00800949c0.shtml читал.
|
|
| cat 4924 crash |
[18 May 2009|01:53pm] |
Кто то встречал такую ошибку?
%C4K_SWITCHINGENGINEMAN-3-PPECELLDUPDETECTED: Free cell duplicate(s) detected [hex]. System will be reset
|
|
| ASR1002 + PPPoE + Radius |
[23 Apr 2009|04:27pm] |
Собственно есть:
Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-ADVENTERPRISEK9-M), Version 12.2(33)XNC, RELEASE SOFTWARE (fc2)
при попытке соединения юзверю выдает ошибку 691 - недопустимые имя пользователя и пароль. Хотя:
BRAS_1002_Left#test aaa group radius user password legacy
Attempting authentication test to server-group radius using radius
User was successfully authenticated.
А в логах вот что:
( ... )
Конфиг, соответственно такой:
( ... )
Кстати, радиус (кроме стандартных параметров - IP, DNS...) передает следующее:
Cisco-AVPair += "ip:sub-qos-policy-out=asr128k_out"
И что с этим делать? Может кто сталкивался и объяснит, где эти детские грабли? Кстати, сама Cisco говорит, что вроде как на ASR пока можно регулировать только out но не in. Странно, может кто что скажет?
|
|
| ip inspect FTP |
[23 Apr 2009|04:39pm] |
|
Приветствую!
После апгрейда ИОСа с версии 12.4.(19) на 2.4(24)T перестал работать FTP, остальное вроде работает (web на левые порты, SMTP, DNS, ICQ). Пользователи ходят через NAT, на внешнем интерфейсе висят ip-inspect.
В 101 acl должны «открываться дырки» для трафика из инета (ip inspect) 21 открывает, а 20 вроде НЕТ!
Логин - ok, каталог не читает --> ftp-data (20) не проходит!
В чем может быть проблема ? До апгрейда всё работало, может в версиях «Т» чего-то ещё нужно ? Если убрать 101 ACL всё работает!
Apr 23 12:51:13: %SEC-6-IPACCESSLOGP: list 101 denied tcp x.x.x.x(20) -> a.a.a.a (5002), 1 packet interface FastEthernet0/0.1 description ВНЕШНИЙ ИНТЕРНЕТ ip address a.a.a.a ip access-group 101 in ip nat outside ip inspect fw out
ip inspect name fw ftp timeout (убрать, поставить) - не помагает.
Некоторые ftp начинают работать если добавить access-list 101 permit tcp any eq ftp-data any
данная проблема проявляется ТОЛЬКО на версиях "Т" , с любыми версиями C2800NM-ADVIPSERVICESK9-M БЕЗ "Т" всё работает...а мне нужен именно Т (ssl vpn)
ADVIPSERVICESK9-M 12.4.(19) 12.4.(13) 12.4.(23) - РАБОТАЕТ
ADVIPSERVICESK9-M 2.4(24)T 12.4.(20)T - НЕ РАБОТАЕТ
|
|
| Как на Catalyst 2950 прибить на клиентском порту PADO-пакеты... |
[22 Apr 2009|02:07pm] |
Доброго времени суток, дамы и господа!
Имеется сетка, свич - Catalyst 2950.
В свич включены клиенты, которые авторизуются через PPPoE.
Для определенности, в 3-й порт включен хитрый клиент, который поднимает у себя левый PPPoE-сервис и ворует чужие пароли. А настоящий PPPoE-сервер находится где-то за 24-м портом свича (т.е. 24-м портом свич включен куда-то - несколько разнородных свичей, к чему подключен правильный сервер).
Вот есть такой вопрос - как средствами свичей CISCO запретить клиенту прикидываться сервером? Иначе говоря, в данном случае, запретить с порта fa0/3 PADO-пакеты (протокол 0x8863, код - 0x07).
x-posted cisco_ru и ru_cisco
|
|
| navigation |
| [ |
viewing |
| |
most recent entries |
] |
| [ |
go |
| |
earlier |
] |
|
|
|
|
![[Post to Twitter]](http://www.aidmax.ru/wp-content/plugins/tweet-this/icons/tt-twitter.png){kind=icon}