Cisco
 

Есть два Catalyst'а и два модуля WS-X2922-XL-V, так же есть линия оптоволокна длиной порядка 1 км. Вопрос: будуи ли модули работать на таком расстоянии?

Почитайте, здесь исчерпывающая информация по технологиям оптической передачи и типам оптокабелей:
http://es.tspu.edu.ru/vlasov/Ethernet/ch8-2.html

Yustus
Это я читал... Мне надо знать какой мощности стоят в модулях лазеры...

будут.. максимальное расстояние - 2 км

Vich
Спасибо...

cisco 3745 не сохраняет данные
 

имеется сабж, после настройки не сохраняет параметры (сбрасываются и ставиться в первоначальные).
мои действия по сохранению:
write memory
после выключения-включения киски от питания все настройки теряются м приходиться настраивать всё заново. В чём трабла?
вопрос снимается с повестки дня.
кому интересно, дело было в confreg.

Стандарт Cisco на наименование интерфейсов
 

Узнал я, что у Cisco есть некий документ, определяющий их идеологию именования интерфейсов. Типа:
<тип> <слот>/<порт> ( причем между типом и слотом может не быть пробела)
В случае объединения устройст в стек появляется дополнительная цифра: <тип> <устройство>/<слот>/<порт>

Там еще отмечено, что понимается под <слот> (номер платы внутри устройства и т. п.) и др.

Кто-нить знает где можно найти сей документ?

Специального документа пока не нашел (даже не знаю, есть ли он). Наиболее подходящее общее упоминание об этом нашел у Cisco в документах:
1.Cisco Interface Cards Hardware Installation Guide"
2.Cisco Network Modules Hardware Installation Guide

Также есть упоминания об этом в описаннии настроек конкретных устройств, например для 3550 есть пара абзацев в документе:
Catalyst 3550 Multilayer Switch Software Configuration Guide

Может еще что и найду...

cisco 1720 administration
 

заложу через telnet
telnet 192.168.0.254

требует авторизацию - прально!

ввожу имя пользователя и пароль
не пускает!

% authentification failed

имя и пароль пральные, год назад, заходил, все было в норме!
что делать? нужно поменять конфигурацию...

Скидывай! Да и кстате а ты один его админиш или ктото ещё есть ?

что значит скидывай?
больше никто не админит!

кстати, там типа блокировки или неудачные попытка залогиниться учитываются?

Он помоему после пяти раз блокирует телнет-сессию, а пароль там скинуть проще паренной репы, даже конфиг целый останеться...

по моему ты мне дал сброс пароля конфигурации.
а мне надо пароль на вход по телнету!

вот накопал, вдруг кому интересно:



Неизвестен (забыт, утерян) пароль для доступа к маршрутизатору (коммутатору) Cisco. Что делать?
Нужно воспользоваться процедурой, которая называется Password Recover. Суть дела в том, что при консольном доступе (и только при консольном доступе) можно послать маршрутизатору сигнал Break (причем это можно делать в принципе в любой момент времени, но, для надежности, лучше в течение первых 30 с после включения маршрутизатора). При получении этого сигнала с консоли маршрутизатор перейдет в специальный режим работы - rommon, в котором можно изменить значение конфигурационного регистра маршрутизатора так, что он будет при следующем включении или перезагрузке игнорировать свой конфигурационный файл, и, следовательно, не потребует пароля ни при консольном или терминальном доступе, ни при переходе в enable-mode (режим привилегированного пользователя). Поэтому можно, поменяв значение конфигурационного регистра и перезапустив систему, перейти в режим enable, скопировать конфигурационный файл, который в норме выполняется при загрузке, из энергонезависимой памяти (NVRAM) в оперативную память: copy startup-config running config

Затем перейти в режим конфигурирования:

conf t
и изменить неизвестный пароль (который, как правило, хранится в конфигурационном файле startup-config в зашифрованном виде) командой

enable secret [новый пароль]
Затем нужно «вернуть» измененный startup-config на место, т. е. дать команду:

copy running-config startup-config
или

write mem
и вернуть прежнее значение конфигурационного регистра, чтобы маршрутизатор запускался, как и прежде, с учетом конфигурационного файла в NVRAM.

ВНИМАНИЕ: постоянно возникают проблемы с посылкой сигнала Break маршрутизатору. Дело в том, что в разных терминальных программах этот сигнал реализуется по-разному, поэтому нужно выяснить, как этот сигнал «работает» в той терминальной программе, которой вы пользуетесь. В среде Windows 95/98, в программе Hyperteminal, сигнал Break посылается одновременным нажатием клавиш Control и Break/pause.

В этой же программе для Windows NT 4.0 описанная комбинация клавиш не работает и придется обновить этот пакет до версии 4.0 (его можно загрузить с www.hilgraeve.com). После этого комбинация клавиш Control и Breake/Pause становится «рабочей».

Реализация этой процедуры на разных моделях маршрутизаторов несколько отличается.

Для маршрутизаторов серий 1600, 2600, 3600 и 4500 процедура выглядит так.

Подключите терминал или PC с программой эмуляции терминала к консольному порту маршрутизатора. Если пароль на консольный доступ не установлен, наберите show version и запишите значение конфигурационного регистра в самом конце вывода этой команды. Обычно это 0x2102 or 0x102.

Выключите и включите маршрутизатор. Пошлите сигнал Break в течение первых 30 с после включения. Вы должны увидеть приглашение rommon> в командной строке. Если этого не произошло, значит, Вы не послали маршрутизатору сигнал Break. Полезно, кстати, проверить настройки терминального доступа Вашей программы. Они должны быть такими - 9600, 8-«n»-1, no flow control. Наберите confreg. Ответьте ««y»» на вопрос «Do you wish to change configuration[y/n]?» Отвечайте «n» на все остальные вопросы, пока не увидите вопрос «ignore system config info[y/n]?». Ответьте «y». Отвечайте «n» на все оставшиеся вопросы до тех пор, пока не увидите вопрос «change boot characteristics[y/n]?». Ответьте «y». Ответьте «no» на вопрос «Do you wish to change configuration [y/n]?». Напечатайте reset. После перезапуска ответьте «no» на приглашение начать процедуру Setup.

Наберите enable в строке Router>. Вы должны увидеть Router#. Теперь можете посмотреть на конфигурационный файл (команда show startup-config). Если пароль в нем зашифрован, то наберите copy startup-config running-config. Затем наберите conf t и enable secret [новый пароль]. Нажмите sZ. Наберите copy running config startup-config. Наберите config t. Наберите config register 0x2102 (или то значение, которое вы записали). Нажмите sZ. Наберите reload. После перезагрузки должен начать действовать Ваш новый пароль.

Процедура для маршрутизаторов серии 2500, наиболее распространенной в России, и во всем мире.

Подключите терминал или PC с программой эмуляции терминала к консольному порту маршрутизатора. Если пароль на консольный доступ не установлен, наберите show version и запишите значение конфигурационного регистра в самом конце вывода этой команды. Обычно это 0x2102 или 0x102. Выключите и включите маршрутизатор. Пошлите сигнал Break в течение первых 30 с после включения. Вы должны увидеть приглашение rommon> в командной строке.

Наберите o/r 0x142. Наберите i. Маршрутизатор перезапустится. После перезагрузки ответьте «n» на приглашение войти в Setup. Наберите enable в строке Router>. Вы должны увидеть Router#. Теперь можете посмотреть на конфигурационный файл (команда show startup-config). Если пароль в нем зашифрован, то наберите copy startup-config running-config. Затем наберите conf t и enable secret [новый пароль]. Нажмите sZ. Наберите copy running config startup-config. Наберите config t. Наберите config register 0x2102 (или то значение, которое Вы записали). Нажмите sZ. Наберите reload. После перезапуска должен начать действовать Ваш новый пароль.




взято с emanual.ru

rivera
гыыы..... это тоже самое только по русски... Вообще не видел вживую ни одного Cisco'веда который бы читал документашки на русском ;-)
Я обычно привязываю логин и пароль по всем интерфейсам:
int vlan 1
loggin local
etc...
Поэтому чтобы сбросить пароль мне надо полностью сбрасывать конфигурацию....
А просто пароли никто не ставит т.к. это легко сноситься, да и в последнее время уже используються TACASC+ сервера для хранения логинов и паролей...

UnReLeAsEd
ну я не цисковед, я тока начинаю...и наверное далеко не пройду! т.к. в организации всего 1 циска!
ты не против если что я буду связываться с тобой по icq?

rivera
Пиши, в рамках своих знаний помогу...

Cisco Catalyst
 

Добрый день уважаемые!

Кто сталкивался с такой проблемой, помогите пожалуйста!!!
Дело вот в чем, купили этот свич (см.сабж) вот как он выглядит (тут )
или (тут )

Подключился к нему по пач-корду, настроил нужный ip-шник.
Настроил VLAN`ы. Вся процедура настройки происходит через web-интерфейс, подключиться можно только через RJ-45, других разъемов на нем нет.
Так вот, соеденил его кросом с другим свичом, на нем соответственно подправил VLAN.
Все бы хорошо, но свитч пропал, т.е не пингуется и т.п.
В документации к нему, написано, что для перезагрузки необходимо во вкл.режире нажать на кнопочку (задняя панель) удерживая ее выдернуть питание, затем снова включить питание, и только затем отпустить кнопку.
Он перезагрухился у меня.
Далее. Я зашел, но пропинговать его не смог. Установил программу WildPackets EtherPeek NX 2.1.0, она показало, что дала ip-шник свичу, но arp-ответ от него выдавать не хочет.

p.s. сколько раз не пытался перезагрузить свитч, не получалось больше так сделать.

Sidelong Тебе путь в тех поддержку этого девайса http://www.3com.ru/partners/search/ вставь данные про свой город и звони.

разветвители и span-порты
 

помогите пожалста:
опишите принцип работы разветвителей (которые tabs), а еще скажите пожалста, почему port mirroring (span-порт коммутатора) способен контролировать только одно направление полнодуплексного соединения?
заранее спасибо!

Еще бы модель назвали и производителя устройства (у каждого производителя свое название стандартной технологии)

Никогда с таким не сталкивался. Может это ограничение конкретной модели?

дело в том, что нужен общий принцип работы разветителей, как они обеспеченивают steath-режим, их принципиальная разница и с технологией span mirroning, преимущества (насколько я поняла таких много)
просто села писать реферат по IDS Snоrt, стало интересно, как делают, что б машины с IDS "слушали" весь трафик в сетях с коммутаторами... вот...

Я могу помочь только по Cisco
Или укажите адрес или пришлите письмо на kim_aa@mail.ru
Вышлю Главу 12.3 анализатор коммутируемых портов
"Руководство Cisco по конфигурированию коммутаторов Catalyst" Дэвид Хьюкаби, Стив Мак-Квери. Cisco Press - Вильямс 2004.

Вобще если мне память не изменяет, под данным названием проходила не только SPAN, но и резервирование соединений. Сейчас правда технология полностью вытеснена транкингом (port trunking/EtherChannel/Link Agregation).

Я выслал на указанный Вами адрес на @mail.ru всю 12ю главу.
Вас интересует в первую очередь 12.3

Добрый день всем!
Кому интересна эта история, вот ее продолжение:

Отправили этот свитч по гарантии в фирму, через некоторое время приходит к нам другой аналогичный свитч.
Повторяю процедуру настройки свича: пробиваю ему ip-шник, задаю маску, шлюз, пробиваю vlan`ы. все окей. всем довольны.
:) а тут самое интересно :)
на гигабитных портах настраиваю UpLink, цепляю к Up-порту этого свича один конец кабеля другой цепляю в Down-порт другого свича.
втыкаю в любой из 48-портов (для проверки) ноутбук, все замечательно, получаю подсеть пробитую vlan`ом, вижу всю сеть, короче все работает.
т.к. сеть среднего размера, она разбита на подсети. Так вот, подключенный через гигабитник этот свитч видет только из под одной сети, из других - нет.
Что делать уважаемые??? Помогите пожалуйста.

Вы имеете в виду что через гигабитный порт виден только тот VLAN к которому он относится? Так это нормально.
Для "распространения" VLANов на несколько свичей, их uplink порты должны функционировать в магистральном режиме, т.е. пропускать все VLAN.
Увы не знаю как это делается в 3COM (Я работаю с cisco)

2kim-aa
нет, я имею в виду:
через гигабитник, которым он соединен с другой сеткой, виден этот свитч только из 1 определенной подсети.
все что не втыкай в этот свитч, видишь всю сетку (это разные подсети).
и оба порта гигабитных настроены в магистральном режиме, т.е. объединены в нем все vlan`ы пробитые на свиче.

Могу скинуть схему всего этого хозяйства, будет намного понятнее о чем я говорю, только скажите куда, как на этом форму это сделать?!? че-то не доперло до меня это, вижу кнопку вставить рисунок, а где его ложить в нете, хз :(

Прикрепить файл можно если щелкнуть по полю "Расширенный режим /предварительный просмотр".

вот схема http://forum.oszone.net/attachment.p...tid=2361&stc=1 всего хозяйства
есть подсети:
16-я
17-я
18-я
21-я

1) Все офигенно красиво, но непонятно, т. к. не стандартно нарисовано.
Мы же оперируем на 2м уровне, вот и давайте пользоваться только теми обьектами которые видны данному уровню.

Скажем Пач панели они в данном случае фиолетовы. cisco 2601 тоже нафиг.
Если под словом "кластер" 3COM подразумевает обьединение нескольких физических устройств в 1-но логическое, то на схеме их тоже надо обьединить.

Посмотрите http://www.kuen.ru/wallpaper/Cisco/C...Configuration/
"Begin" это содержание и введение там есть стандартные значки.
Да и саму книгу полистайте у Вас же Catalyst-ы есть.

Так же можно полистать главу http://www.kuen.ru/wallpaper/Cisco/C...N%20Switching/
оно Вам в данном случае не нужно, но очень полезно.
Но самое полезное это 2 файлика разрисованных учебных примеров Cisco.


http://www.natahaus.biblioteka.ws/category/net/page/1/
Тащите все книги по Cisco со словом коммутация.

2) Самый главный вопрос 3550 - работают в режиме маршрутизации? Если "да", то хорошо.

3) После того как схему забацаете, прямо на ней и пишите чего хотели, чего сделали, и чего получилось.

Надо настроить Cisco Catalyst 3550. Как?
 

Добрый день,
вопрос очень простой :) - необходимо произвести настройку, а также посмотреть текущие настройки у Cisco Catalyst 3550.
Сия девайсина стоит у нас уже давно, сменилось не одно поколение админов, и вот теперь появилась такая задача.
В нее у нас оптика от провайдера приходит и хотелось бы грамотно раздать инет.
Как это сделать?

Читайте
http://www.kuen.ru/wallpaper/Cisco/C...Configuration/
Да заодно все просмотрите в данной ветке
http://forum.oszone.net/thread-67047.html.
На конкретные вопросы отвечу.
Благо мы сейчас страдаем над схожим вопросом вместе с Sidelong, см.
http://forum.oszone.net/thread-65280.html

Первый же вопрос с ходу - мы не знаем айпшника циски, т.е. телнетом по идее уже никак? а другие варианты?

Кабелем, в "попу" - :spiteful:. Кабель обычно голубого цвета, такой же разьем RJ-45 на оборудовании Cisco (С голубой рамочкой подписью console).
Кабель с одной стороны обычный COM DB-9 "мама" - с другой RJ-45. Такие же кабеля используются в технике SUN, т.е. это стандарт.
Может быть вариант, обыкновенный "прямой" пачкорд RJ45 и отдельно переходник "Розетка RJ45 - мама DB-9".
В вышеуказанной литературе Вас интересует глава 3, Раздел "пароли и их востановление".
(Читайте матчасть - не пожалеете ;)

2kim-aa
это точно :)

В результате мытарств и подключения различных специалистов возникли следующие выводы (могут быть пересмотрены в дальнейшем):
1) 3COM 2250 достаточно примитивно работает с VLAN, в связи счем возникли проблемы согласования его с Cisco Catalyst 3550.
2) Старый 3СOM 4400, напротив, полностью гармонирует с Catalyst 3550 в данном вопросе (но у него и меню явно побогаче).

Не подскажет кто, как можно посмотреть на Cisco соответствие порту Ip адреса, только не через MAC адрес?

Помогите ламеру! Вопрос по Cisco 1811
 

На предприятие хотим купить Cisco 1811.
Возможно ли сделать так, чтобы она заворачивала пакеты (с WAN портов ) с определенными портами (443, 22, 23 и др.) на один разьем встроенного в нее 8 портового свитча, а пакеты с др. портами на др. порт свитча?

Это и 2 уровня вичь может сделать.
Главное это ip mac bindind + acl + Сегментация

несовсем понятно что нужно посмотреть

если речь о коммутаторе то смотря что за коммутатор
если это маршрутизируемый коммутатор типа 3550 серии

то на интерфейсе и так явно указан ip adress или на vlan

Но скорее всего речь о том как посмотреть какие-какой ip адресса пытаются подключиться через определенный порт коммутатора
он может быть один если подключен например один комп а может и больше если на этот порт подключен другой коммутатор или хаб

в момент включения компа сетевые интерфейсы cisco и компа обменяются некорыми данными
а в часности mac адрессами


поэтому без них здесь не обойтись

далее в кеш cisco запишет таблицу arp
она та нам и нужна
sh ip arp
видим соответствие ip адресса мак адресу который ломится на порт

далее
sh mac-address-table
видим соответствие mac адрессов портам (какие mac зарегистрировались на портах)

находим свой мак адресс для нужного нам порта и где смотрели sh ip arp
видим наш искомый айпишник

Задача решена! Удачи

mishail01
Опишите пожалуйста задачу поподробнее. (Лучше с рисуночком)
Какие проблемы Вы пытаетесь решить таким способом?
Почему Вы остановили свой выбор на Cisco?
Весьма вероятно что есть несколько путей решения.
В младшиx моделях Cisco встроенные свичи обычно не управляемы. По сути это просто разветвитель порта 3-го уровня маршрутизатора.

Cisco серии 1800, модель 1841
 

Привет всем!
Не подскажете по сабжу, есть ли в природе адаптеры для подключения оптоволокна к роутору? если да, то какие, и если можно ссылочку.

p.s. Заранее, большое большое спасибо!!!

У этой серии не поддерживаются GBIC, а среди модулей я подобного не обнаружил:
http://shop.muk.com.ua/cisco_price/-0114.html

Попробуй на самой CISCO посмотреть, может что у них и появилось (но я очень сомневаюсь, они уже 2800 далее позиционируют, поэтому им лучше чтобы новое жедезо покупали, чем делать адаптеры для старого).

Какого оптоволокна? SM, MM?
Опять же, если SM - какой стандарт, их как минимум 3.
LH, LX, ZX.

Какой канальный стандарт? Ethernet? Sonet/SDH?

Прямые модули (трансиверы) для данных моделей обычно не применяются, просто ни к чему, т.к. данный маршрутизатор не сможет обработать гигабит, не говоря уже о больших полосах пропускания.

Реально, гигабитные соединения предусмотрены с серии 38xx

Если же SONET/SDH, то с 72xx

Вот тебе перечень трансиверов
http://www.cisnet.ru/catalog/modules/gbic/index.htm

Есть специальный HWIC модуль для серий 28xx/38xx (за исключением модели 2801) с поддержкой SFP
http://www.cisco.com/en/US/products/...d8016be8d.html

Однако если действительно маршрутизатор должен обрабатывать гигабит, то наверное надо брать старшие модели
2821, 2851

Cisco ASA 5510 - config (DMZ, NAT)
 

Здравствуйте всем!
Имеется девайс, на нем хочу сделать ДМЗ.
От прова имеется диапазон адресов (32).
Хочу сделать статический НАТ, т.е. снаружи его достану по его публик адресу, и пакеты которые идут с него тож НАТнутся на публик.
Перед АСА только роутер прова. Проблема - на роутер прова пинги идут, дальше - нини.
Я вот думаю может он мне НАТ из ДМЗ не делает?
Что я сделал неправильно?
Помогите пжалста.
Конфиг:
hostname icpasa
domain-name ххххххх.sk
names

! Interface settings

interface ethernet0/0
nameif outside
security-level 0
ip address xxx.xxx.xxx.254 255.255.255.192

interface ethernet0/1
nameif dmz
vlan 40
security-level 50

interface ethernet0/2
nameif ins
security-level 100
! Dont setup ip address, because of using VLANs

interface ethernet0/2.100
nameif inside
description Inside VLAN
vlan 10
security-level 100
ip address 10.10.2.254 255.255.255.0

interface ethernet0/2.200
nameif vpn
description Inside VPN VLAN
vlan 20
security-level 75
! ip address from freeradius ??

interface ethernet0/2.300
nameif zakaznici
description Externe zakaznici Internetu VLAN
vlan 30
ip address 10.10.5.1 255.255.255.0

! Routing
route outside 0 0 xxx.xxx.xxx.193

! Konfiguracia NAT
static (inside,outside) xxx.xxx.xxx.194 10.10.2.194 netmask 255.255.255.255 tcp 0 300
static (inside,outside) xxx.xxx.xxx.202 10.10.2.202 netmask 255.255.255.255 tcp 0 1000
static (inside,outside) xxx.xxx.xxx.217 10.10.2.217 netmask 255.255.255.255 tcp 0 100
static (inside,outside) xxx.xxx.xxx.195 10.10.2.195 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.196 10.10.1.196 netmask 255.255.255.255 tcp 0 1000
static (dmz,outside) xxx.xxx.xxx.204 10.10.1.204 netmask 255.255.255.255 tcp 0 1000
static (dmz,outside) xxx.xxx.xxx.201 10.10.1.201 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.205 10.10.1.205 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.208 10.10.1.208 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.207 10.10.1.207 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.211 10.10.1.211 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.240 10.10.1.240 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.216 10.10.1.216 netmask 255.255.255.255 tcp 0 100
static (dmz,outside) xxx.xxx.xxx.223 10.10.1.223 netmask 255.255.255.255 tcp 0 100

! Protokols checking
! Divert traffic to CSC

! Default check
class-map inspection_default
match default-inspection-traffic
policy-map asa_global_fw_policy
class inspection_default
inspect dns maximum-length 512
inspect http
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
service-policy asa_global_fw_policy global


object-group network INSIDE_TRUSTED_HOSTS
description
network-object host 10.10.2.194


! Black list
object-group network OUTSIDE_BAD_GUYS
description Zoznam blokovanych IP
network-object 192.168.0.0 255.255.255.0

! ICMP group
object-group icmp-type ICMP_ALLOWED
description Povolene pingi
icmp-object echo
icmp-object echo-reply

! DNS public services
object-group service INSIDE_DNS_PUBLIC udp
description DNS public ports
port-object eq domain

! BASTION host warning
object-group service INSIDE_BASTION tcp
description BASTION ssh pristup
port-object eq 22

! EPI public tcp services
object-group service DMZ_EPI_PUBLIC tcp
description EPI public access
port-object eq www
port-object eq 443

! ADS tcp services
object-group service DMZ_ADS_PUBLIC tcp
description ADS server access
port-object eq 21
port-object eq 80
port-object eq 443

! ADS udp services
object-group service DMZ_ADS_PUBLIC_UDP udp
description ADS server access CS
port-object eq 1200
port-object range 2500 2600
port-object range 27010 27030

! Juven services
object-group service DMZ_JUVEN_TCP tcp
description EPI public access
port-object eq www
port-object eq 21
port-object range 60000 60100
!

! Campaign10 services
object-group service DMZ_CAMP_PUBLIC tcp
description Campaign public access
port-object eq 80

! Campaign10 admin access
object-group service DMZ_CAMP_ADMIN tcp
description Campaign public access
port-object eq 82

! OVSR public access
object-group service DMZ_OVSR_PUBLIC tcp
description OVSR public access
port-object eq 80
port-object eq 21
port-object range 1024 5000

! OVSR admin access
object-group service DMZ_OVSR_ADMIN tcp
description OVSR public access
port-object eq 3389
port-object range 137 139

! Maxo SP public access
object-group service DMZ_ICPSP_ADMIN tcp
description ICPSP public access
port-object eq 80

! DOM4NET public access
object-group service DMZ_DOM4NET_GIBON tcp
description DOM4NET access for GIBON
port-object eq 1352

!!!!!!!!!!!!!
! OUTSIDE INBOUND ACL
!!!!!!!!!!!!!

! Black list blocking
access-list OUTSIDE_IN extended deny ip object-group OUTSIDE_BAD_GUYS any

! IPSec access
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.254 eq 10000

! DNS access list
access-list OUTSIDE_IN extended permit udp any host xxx.xxx.xxx.194 object-group INSIDE_DNS_PUBLIC
access-list OUTSIDE_IN extended permit tcp host 195.146.132.59 host xxx.xxx.xxx.194 eq domain

! EPI access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.196 object-group DMZ_EPI_PUBLIC
access-list OUTSIDE_IN extended permit tcp host ууу.ууу.ууу.46 host xxx.xxx.xxx.196 eq 1344
access-list OUTSIDE_IN extended permit tcp host ууу.ууу.ууу.46 host xxx.xxx.xxx.196 eq 3389
access-list OUTSIDE_IN extended permit udp host ууу.ууу.ууу.46 host xxx.xxx.xxx.196 eq 123

! ADS access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.204 object-group DMZ_ADS_PUBLIC
! access-list OUTSIDE_IN extended permit udp any host xxx.xxx.xxx.204 object-group DMZ_ADS_PUBLIC_UDP

! MAIL access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.201 eq smtp
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.201 eq pop3

! Juven access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.205 object-group DMZ_JUVEN_TCP

! OVSR access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.207 object-group DMZ_OVSR_PUBLIC
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.211 object-group DMZ_OVSR_PUBLIC
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.216 object-group DMZ_OVSR_PUBLIC
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.233 object-group DMZ_OVSR_PUBLIC
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.240 object-group DMZ_OVSR_PUBLIC

! DOM4NET pristup pre replikacie s GIBONu
access-list OUTSIDE_IN extended permit tcp host 62.168.70.27 host xxx.xxx.xxx.195 object-group DMZ_DOM4NET_GIBON

! Campaign access list
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.200 object-group DMZ_CAMP_PUBLIC
access-list OUTSIDE_IN extended permit tcp any host xxx.xxx.xxx.200 object-group DMZ_CAMP_ADMIN

! Povolime pingi
access-list OUTSIDE_IN extended permit icmp any xxx.xxx.xxx.192 255.255.255.192 object-group ICMP_ALLOWED

!!!!!!!
!OUTSIDE OUTBOUND ACL
!!!!!!!

! Zatial povolime vsetko
access-list OUTSIDE_OUT extended permit ip any any

!!!!!!!
!DMZ INBOUND ACL
!!!!!!!

! Komunikacia s vnutornou sietou
access-list DMZ_IN extended permit tcp host 10.10.1.200 host 204.146.80.26 eq 1433
access-list DMZ_IN extended deny ip 10.10.1.0 255.255.255.0 204.146.80.0 255.255.255.0
access-list DMZ_IN extended deny ip 10.10.1.0 255.255.255.0 10.10.2.0 255.255.255.0
! Komunikacia s vonkajsim svetom
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 22
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 80
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 443
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 21
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 25
access-list DMZ_IN extended permit tcp 10.10.1.0 255.255.255.0 any eq 110
access-list DMZ_IN extended permit icmp 10.10.1.0 255.255.255.0 any

!!!!!!!
!DMZ OUTBOUND ACL
!!!!!!!
access-list DMZ_OUT extended permit ip any any
access-list DMZ_OUT extended permit icmp any 10.10.1.0 255.255.255.0 object-group ICMP_ALLOWED

!!!!!!!
!INSIDE INBOUND ACL - pozor, pre nasu siet je to OUTBOUND!!!!
!!!!!!!
access-list INSIDE_IN extended permit ip 10.10.2.0 255.255.255.0 any
access-list INSIDE_IN extended permit icmp any any object-group ICMP_ALLOWED

!!!!!!!
!INSIDE OUTBOUND ACL - pozor, pre nasu siet je to INBOUND!!!!
!!!!!!!
access-list INSIDE_OUT extended permit ip any any

access-group INSIDE_IN in interface inside
access-group INSIDE_OUT out interface inside

access-group DMZ_IN in interface dmz
access-group DMZ_OUT out interface dmz

access-group OUTSIDE_IN in interface outside
access-group OUTSIDE_OUT out interface outside

Высока вероятность что Вы правы. Хотя может быть и с access-list намудрили. В течении дня скажу точнее.

Добавте строчку

interface ethernet0/0
nameif outside
security-level 0
ip address xxx.xxx.xxx.254 255.255.255.192
ip nat outside

Во-вторых.
Уже достаточно давно оборудование Cisco позволяет управлять через https, дабы облегчить жизнь для новичков.
Т. к. 5510 построена на базе PIX, то эта возможность должна быть обязательно - ищите.

Cisco
 

вообщем у меня такая проблема, на cisco 1811 настроено 2 интернет канала, между ними настроена балансировка нагрузки, так вот когда это балансировка работает, т.е. включена, переброс портов с внешних интерфессов на внутрение сервера, работает как то глючно, половине интернета она доступна половине нет. я понимаю что у меня не совсем правильно настроен конфиг, если у кого настроена это на циске и всё работает замечательно не могли бы вы прислать мне свой конфиг, а я сравню со своим и постараюсь обнарузить проблему. заранее спасибо.

1) Ознакомтесь http://forum.oszone.net/announcement-55-74.html
2) Думаю в случае PORT MAPPING'а + балансировки - так и должно быть, т. е. эти технологии плохо совместимы (я например с трудом это представляю), т.к. у Вас возникает ситуация что запрос приходит на один IP, а отвечать пытается другой. Естественно фаерволами это воспринимается как атака.

Доброго времени суток всем!!!

Ситуация следующая. Есть локальная сеть из 5 компьютеров (сервера нет, если я правильно понял человека, который меня озадачил). Компьютеры между собой связаны через сетевой хаб. Хаб подключен к маршрутизатору CISCO (модель мне к сожалению неизвестна, но смогу ее озвучить дня через 3 - 4). Требуется ограничить доступ к интернет страницам (ко всем, кроме одной).

Знаю что это делается при наличии сервера достаточно просто (установкой и настройкой фаервола). Вопрос: можно ли устанавливать программное обеспечение на маршрутизаторы или нет (со слов человечка на маршрутизаторе есть выход на монитор, разъемы для клавиатуры и мыши, теоретически это компьютер, поэтому сразу подумал о фаерволе, но все равно решил посоветоваться по этому поводу). Если нет, то как можно настроить это ограничение на доступ к страницам интернета.

В форуме уже видел сообщения о том что можно зайти в (на) маршрутизатор через експлорер командой telnet. Буду пробовать этот вариант. Если можно обойтись только этим вариантом (и подскажете где чего сделать) буду очень благодарен.

Жду советов и пожеланий по этому вопросу.

Заранее спасибо.

P.S. Если потребуется рисунок сети (компьютеры и провода подключений) смогу предоставить его только дня через 3 - 4.

Здравствуйте!
Вопрос очень просnой как сохранить arp таблицу на сервер в текстовик??? (сохраняет с cisco 3550)

Dope
Вы же можете ее просмотреть командами show в telnet или ssh?
Если Да, то Вам осталось только взять telnet клиента который пишет логи сессиии и выдрать нужный Вам кусок из лог-файла.

2 kim-aa
Логично но что делать если в таблице содержиться порядка 4000-5000 записей ? получаеться всех их просматреть надо что бы они в логах остались ....
А мне бы хотелось автоматизировать данный процесс, срипт сохранил а люди потом пользовались...

ARP можно забрать по SNMP (если оборудованеи поддерживает, 3750 - по крайней мере поддерживает).

Скриптами мы правда не озабочены, а прост смотрим в графике если чего надо (whatsUp Gold)

Virus1981 - что-то ты злое написал! А вобще во многих аппаратных маршрутизаторах есть фаерволы, конфигурируешь его для доступа на 1-IP и всё.

Приветствую
У меня задача такая обеспечить работу бухгалтерской сети с защитой информации от внешних угроз, что бы была резервная линия постоянного выхода в интернет, цена готового решения должна быть до 2500$.
Партнер прорабатывает вот какое решение, в принципе готов все сделать на Cisco, помогите с решением.
1 Вариант(Cisco):
Коммутатор: Cisco WS-C2960-24TT-L Catalyst 2960 24 10/100 + 2 1000BT LAN Base Image
Маршрутизатор: Cisco 1811/K9 Dual Ethernet Security Router with V.92 Modem Backup
Межсеетвой экран: Cisco ASA5505-50-BUN-K9 ASA 5505 Appliance with SW, 50 Users, 8 ports, 3DES/AES
Насколько в этом варианте нужен межсетевой экран поскольку в маршрутизаторе вроде бы есть какой то встроеный файрволл.

2 Вариант(D-link):
Коммутатор: D-Link Des-3526 или Des-1226G
Межсеетвой экран D-Link DFL-1500 (Встроенный маршрутизатор)
Если кто то пользовался DLF-1500 как выполнен симбиоз 2 устройств нет ли конфликтов, насколько удобно управление, стоит ли покупать раздельные устройства или лучше использовать такой вариант.

Т.к я первый раз встречаюсь с таким оборудованием то хотел бы услышать ваши рекомендации тех кто работал с подобным оборудованием или обеспечивал работоспособной подобных сетей.

Nowal
- Какова необходимая пропускная способность устройства?
- Если только для Интернет'а, то межсетевой экран вам совсем не сдался, тем паче почти все межсетевые экраны cisco построены на базе тех же маршрутизаторов.
- В 2500 вместе с экраном Вы не уложитесь http://www.cisnet.ru/catalog/cisco/routers/
1000 - коммутатор
1800 - маршрутизатор с прошивкой включающей Фаервол.

На 5505 денег просто не останется (судя по этому http://www.tmn.ru/03_oborud/cisco/cisco317.htm вам нужно как минимум еще 1500)

Кстати, маршрутизатор только для Internet - это жирно. Если у Вас не будет ни протоколов маршрутизации ни каналов кроме как ethernet, то маршрутизатор Cisco Вам особо не нужен - вы просто не используете и 80% его возможностей.

Nowal Проще собрать примитивный системный блок, установить LINUX и на нем поднять все требуемые задачи. Стоимость такого счастья уместится баксов в 500

Ment69 Я конечно понимаю что дешево. Линукс я вообще ни разу не ставил и не настраивал и сколько времени у меня уйдет на настройку и установку даже представить сложно. И насколько отличается уровень безопасности информации при аппаратной защите (сетевой экран) и при софтварной. Главный приоритет это защита от внешних угроз. Поэтому что лучше сделать?

kim-aa Тоесть маршрутизатор вообще смысла не имеет ставить? А если брать маршрутизатор с прошивкой включающей фаервол насколько он там удачно реализован?

Nowal Я не великий специалист в CISCO но по моему её программное обеспечение и составляет UNIX подобная ось.

Nowal
Что вы собрались защищать от внешних угроз? Если у вас есть ресурсы (сервера, службы) которые вы собираетесь выставлять наружу, то это одно.
Если же у вас просто куча пользователей будет тупо лазат ьв интернет это другое.
От закачки троянов фаерволы не помогают.

Приведите пример, с Вашей точки зрения, удачно реализованного фаервола и тогда я смогу ответить.
Кому-то и XP-шный фаервол счастье. а кого-то и firewall-1 не устраивает.
Какие функции по Вашему должен реализовать фаервол?

Вот вам, почитайте http://www.cisco.com/global/RU/news/releases/0716.shtml , как раз на одной странице описываетсяи ASA и IOS

Ment69
Ну она конечно Unix-подобна, только UNIX этот от силы семидесятых годов. (это по системе команд).
По архитектуре она больше походит на Windows 3.11

Кстати при покупке CISCO очень рекомендую смотреть что содержит прошивка, а именно содержит она firewall, а то ведь прошивки к каждой модели свои и стоят денег!

Базу sql 1с, траффик через https, доступ к машинам локальной сети. Вот то что нужно защитить. Потому как высока вероятность что будут попытки взломать сервер(получить доступ к базам к документообороту) либо вывести его из строя. Планируется сильно ограничить доступ в интернет с целью уменьшить вероятность получения троянов. Доступ будет только к определённым доменам. А вот с оборудованием ни как определиться не можем. Нужен нам сетевой экран, маршрутизатор как отдельные устройства или можно взять сплит систему.

Nowal
1) пока вы не определитесь с архитектурой и топологией системы которую Вы хотите построить - с оборудованием Вы не определитесь тем паче.
2) Рисуйте схему подключения серверов, рабочих станций.
3) Что вы имели в виду?
- Порты MS SQL?
- SMB порты?
- RDP/ICA порты?
- вобще стоит задача доступа к базе извне? Или такой задачи нет?
- https? какое приложение будет работать по данному протоколу? Оно должно быть доступно извне?
- вобще перечислите сервисы и машины которые должны быть доступны извне.
- 1С - какая версия? 7.7 или 8.0?
4) Ваша задача является задачей сегментации сети по уровням безопасности/производительности
для нее у нас существует отдельная ветка http://forum.oszone.net/thread-69237.html
Ознакомтесь. Может что-либо Вам пригодится.

Схема построения сети в приложении.

К Серверу SERVER 1C+SQL хотелось что бы вообще доступа с интернета не было. С 1С будут работать только пользователи локальной сети.
А вот на HTTPS сервер будет лазить много народу с глобальной сети закидывать через него на компьютер USER1 данные которые он будет перенаправлять на SERVER 1c+SQL. Все остальные компьютеры должны работать в интернете по определённым адресам, тоесть полного доступа не будет.
Небольшой вопрос: Коммутатор может являться роутером или обязательно необходимо выделять отдельную машину?

Коммутатор 3-го уровня (и выше) eстественно подерживает маршрутизацию.

Встроенные фаерволы там весьма простые (ACL - фильтрующие).
Типов Интерфесов не много однако все это окупается скоростью.

Маршрутизаторы - это полная противоположность вышеописанному.
Богатая функциональность и небольшие скорости.
http://wiki.oszone.net/index.php/Маршрутизатор

Схемку вы нарисовали не правильно. По ней выходит что HTTPS имеет свой собственный доступ в интернет минуя маршрутизатор.

Мои рекомендации:
- Подбор оборудования - как в этой теме http://forum.oszone.net/thread-79670.html
- Все на Cisco целиком вы не потянете - не уложитесь в бюджет.
- HTTPS сервер должен располагаться в отдельном сегменте или между интернет-фаерволом и основным фаерволом.
- При таких требованиях к защищенности 1С-сервер должен жить так же в отдельном сегменте, т. е. должна быть возможность отфильтровать любой трафик направленный к нему, в том числе и от локальных машин.
- Так же должен быть изолирован прокси-сервер.
- Роль основного фаервола должен играть или коммутатор 3-го уровня или устройство типа
http://zyxel.ru/content/catalogue/7/23/368

- Роль интернет-шлюза устройство типа http://zyxel.ru/content/catalogue/7/23/245/
оно уже обладает аппаратной возможностью резервирования интернет-каналов.

- Общая архитектура будет состоять из 3х сегментов:
-- LAN (Сервера общего назначения + станции)
-- 1С
-- HTTPS, PROXY, MAIL

(В принципе можно вообще все построить на одном таком устройстве (Zywall 1050) - числа выводов как раз пять - 2xWAN + 1С+https+LAN
однако если оно сдохнет, вам нечем будет востановить сеть, в случае же наличия 2х железяк можно как-нибудь перекантоваться на время ремонта)

- Рисовать у меня нет времени, но если Вы потерпите, я попытаюсь чего-либо изобразить в понедельник.

Да уже наверное 2500$ не потолок можно и больше главное что бы надежность была высокой. А HTTPS SERVER на схеме просто как машина на которой развёрнут WEB узел с которым будут работать клиенты нашей компании. Время пока не поджимает буду рад любой помощи.

А нельзя ли попонятнее про Коммутацию третьего уровня (Layer 3 Switch). Т.е. с Коммутирующими маршрутизаторами (switching routers) всё ясно, а вот с Маршрутизирующими коммутаторами (routing switches) - ?. Если несложно очень хочется получить 'ликбез'.

sergey1234567
Это очень долгая "бодяга". Основные отличия указаны в ссылке которую я привел.
Более подробно можно прочесть например в "Принципы коммутации в локальных сетях Cisco" Кеннеди Кларк, Кевин Гамильтон.
Данную книгу можно нарыть в электронном виде в инете.
Если хотите я могу выслать Вамм почтой.

Что касается практики, то эпоха "чистых" маршрутизирующих коммутаторов в ethernet ушла (Бесспорно в АTM или SDH вы их встретите.).
(Наиболее типичными представителями что я знаю были cisco Catalyst 4000, 5000)
Почти все имеющиеся коммутаторы 3-го уровня поддерживают протоколы маршрутизации.
Т. е. даже если с точки зрения структуры он является Маршрутизирующим коммутатором, то к нему внутри прикручен маршрутизатор.
А что там внутри - бог его знает, можно только догадываться.

Я думаю что указанная классификация уже в чистом виде не встречается и используется для моделирования мли расчета схем ЛВС.
На практике можно считать наличие устройства 2х типов (режимов работы):
- если у устройства по умолчанию режим работы 3-го уровня - это маршрутизатор (коммутирующий или нет это уже не важно)
- если устройство по умолчанию имеет режим работы как коммутатор 2-го уровня, но вы можете включить интерфейсы или VLAN с адресацией 3-го ( cisco Catalyst 35xx, 36xx, 37xx) - то скорее всего основой устройства является маршрутизирующий коммутатор (хотя во включенном режиме 3-го уровня данные устройства поддерживают протоколы маршрутизации ,т.е ведут себя как Коммутирующие маршрутизаторы).

Nowal
Вот ваш проектик.


чего-то странное, вот еще

Купили оборудование Router Cisco 1811, FireWall ASA5505 и Switch Cisco 2960 теперь вопрос новичка кто ни разу не имел опыта общения с Cisco. Как Cisco 1811 подключить к компьютеру что бы начать конфигурировать. Прочитал что можно посредством плат WAN, сетевыми модулями NMs или AIM. А без этого ни как. Сейчас в наличии имеется только Cisco 1811, кабель RG-45->COM ну и компьютер. С таким набором у меня получиться что то сделать или нет? Если да то как?

Подскажите пожалусто основные отличия интерфейсов Ethernet и Vlan и для чего применяется Vlan?

sergey1234567

VLAN, это по сути группа интерфейсов. Применялось в коммутаторах. Основано на средствах канального уровня к разделению трафика.
Вот прочтите http://wiki.oszone.net/index.php/Коммутатор

Я к чему задал этот вопрос - у нас стоит cisco2811 в два интерфейса воткнуты 10.75.20.0 255.255.255.0 и 10.75.1.0 255.255.255.0 также в cisco воткнуты две дополнительные сетевые карты на 4 разьёма каждая к одной из сетевых карт подклёчено ещё две сети 10.75.18.0 255.255.255.0 и 10.75.19.0 255.255.255.0 так вот я просматриая конфигурацию (не я её конфигурировал) я обнаружил два интерфейса VLAN1 и VLAN2. VLAN1 провязан к интерфейсу Ethernet c адресом 10.75.19.1 а VLAN2 к 10.75.18.16 (т.е. кразьёмам одной из дополнительных сетевых карточек). Так вот я хотел спросить можноли обойтись без этих VLAN - ов бо они меня очень запутывают? И ещё такой вопрос - переодически гдето раз в неделю в интерфейсы седящие не сёмной сетевой карте слетают первый раз они какимто образом попали в down а второй раз вобще непойму вроде все интерфейсы UP а 10.75.19.1 и 10.75.18.16 не пингуются не снутри не снаружи, всё удалил по новому сконфигурировал всё заработало, подскажите где копать?

Здравствуйте. Имеется Cisco 1605 r. Два Интерфейса: 10base t & ethernet 1 10 base t. Нужно подключиться к нему для настройки, перечитал кучу информации, все ясно, не ясно только как к нему подключиться? ( я только учусь). Там также есть db-9, но на него нет шнура. Подключаться к консоли по обычной витой паре (комп-хаб)? Комп не видит никаких подключений, знаю ip этого роутера, не пингуется и не заходится.... Помогите, что делать?

Maf1a
подключение осуществляется специальным кабельком. Стандартным, по крайней мере он подходит для оборудования Sun и Cisco.
Существует в двух вариантах исполнения:
старый - кабель+переходник = Обыкновенный кабель RJ45 + переходник DB9-мама<->RJ-45 гнездо
новый - единый кабель = RJ45 <-> DB9 мама
Кабель обычно голубого цвета.
RJ-45 гнездо, на cisco, должно быть то же голубого цвета и иметь маркировку console

С точки зрения логики это обыкновенный нуль-модемный кабель для RS-232C.
подключаете к COM-порту и по Гипертерминалу работаетете.

Я, конечно не знаю какую кучу вы перерыли, но распайка дается в любом Hardware Installation Gude

Вот она:

RJ45----DB9-----Console Device (PC)
1--------8---------CTS
2--------6---------DSR
3--------2---------RxD
4--------5---------GND
5--------5---------GND
6--------3---------TxD
7--------4---------DTR
8--------7---------RTS

Кабель rj45\db-9 нашел. Подключил в консольный порт. Пробую установить подключение через HyperTerminal, выдает вот что:

*Mar 1 00:36:56.342: %QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver
problem?

Через командную строку командой telnet тоже не удается подключиться, независимо от указываемых портов.

Маршрутизатор по идее был настроен ранее не мною...

Help noob pls...

стандартные настройки консоли по умолчанию:
9600 baud
8 data bits
1 stop bits
No parity
None (flow control)


Если непойдет, попробуйте менять настройки скорости в сторону увеличения.
В некоторых случаях( если аварийно обновляли IOS через XModem) скорость консоли задирается до максимума 115 с чем-то по моему.

Абалдеть, все наконец то заработало! :tease:

Не совсем все заработало... Постоянно вылетает строка
*Mar 1 00:11:08.786: %QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver
problem?
Что это?

00:00:11: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up
00:00:11: %LINK-3-UPDOWN: Interface Ethernet1, changed state to up
*Mar 1 00:00:12.741: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0,
changed state to up
*Mar 1 00:00:12.741: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1,
changed state to up
*Mar 1 00:00:14.074: %QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver
problem?
*Mar 1 00:00:15.094: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up
*Mar 1 00:00:15.848: %LINK-3-UPDOWN: Interface Ethernet1, changed state to up
*Mar 1 00:00:16.273: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0,
changed state to down
*Mar 1 00:00:16.689: %SYS-5-CONFIG_I: Configured from memory by console
*Mar 1 00:00:16.693: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) 1600 Software (C1600-Y-M), Version 12.0(12), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Mon 10-Jul-00 19:59 by htseng
*Mar 1 00:00:16.840: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1,
changed state to down

*Mar 1 00:08:10.234: %QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver
problem?
каждую минуту вылетает....

Все, разобрался, надо было сразу повнимательнее RTFM. Сори за флуд. Ухожу с головой в обучение... :tomato:

Имеется Cisco 1605r, Произошло нечаянное (совершенно случайное) стирание памяти rom и флэш, порылся в доках, нашел только один выход :
http://www.cisco.com/en/US/products/...80110ed1.shtml

Ну вот, делаю значит все по инструкции, даю ему внутренний айпи, шлюзом прописываю маршрутизатор с инетом, его он пингует, а вот сервер 10.77.233.94 не пингует и соответственно загрузка файл-образа не идет, хелп плиз, может я где-то накосячил?(я тока учусь).

С компа тоже не пингуется этот серв. Как залить IOS и откуда, подскажите пожалуйста.

Самый простой способ: через TFTP-Server (ставится на win32).
Flash ( вместе с IOS) : copy tftp flash
Rommon : boot system tftp [имя файла] [ip-адрес]

Поставил tftp, скачал с него образ (c1600-y-mz.122-24.bin) единственный, который нашел в сети для цисок 1600-х. Ну и он естественно не подошел...

System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)ot)(config)#exit produce
te to uper(boot)
00:
Copyright (c) 1999 by cisco Systems, Inc.1, changed state to administrativelnt t

C1600 platform with 8192 Kbytes of main memoryes of mai
testret
un
y downrint o
00:00

program load complete, entry point: 0x4020060, size: 0x165eac problem?
wheretwo
una
configure unset
disable"fla

%SYS-6-BOOT_MESSAGES: Messages above this line are from the boot loader.Interface Ethernet0, changed sta
Curr
00:17:14: %SYS-5-CONFIG_I: Configu

%QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver problem?program loadINST_KILL: Terminating DNS processbyt
setupin memo
clock h
romm
access-te
complete, entry point: 0x2005000, size: 0x32b879ed --
tunnel20060, e
rshbled
telnetregist
Router(boot)(config)#interface ethernet0 to nvram an
Copyright (c) 1986-2004 by cisco Systems, Inc.g-if)#ip address xx.xxx.xxx.xx 255.255.255.224s
Compiled Wed 28-Apr-04 13:24 by kellmillevisio
or defau
Router(boot)(confi
Image text-base: 0x02005000, data-base: 0x0267C6F0ER-1-LOSTCARR: Unit 0, lost carrier. Transceiver p


SYSTEM INIT: INSUFFICIENT MEMORY TO BOOT THE IMAGE!

The enable password is used wh

Router(boot)(co



%Software-forced reload net in IP bcast addres


put.

00:00:01: %SYS-2-MALLOCFAIL: Memory allocation of 4000 bytes failed from 0x21388
F8, alignment 0
Pool: Processor Free: 0 Cause: Not enough free memory
Alternate Pool: I/O Free: 0 Cause: Not enough free memory

-Process= "Init", ipl= 4, pid= 3
-Traceback= 21190EE 2119EB0 2138900 2134BEC 2134E00 21A19BC 212D8A0 212D91E 2076



Так что основной проблемой для меня сейчас является поиск ИОС для cisco 1605r.... Help please.
4BC 2076822

Maf1a
Он подошел, просто у Вас памяти не хватило для его загрузки.
Посмотрите сколько у вас флеш-памяти и DRAM-памяти.
потом на сайте cisco найдите для своей версии маршрутизатора таблицу требований версии IOS, ее функциональный релиз и требованиям по памяти.
После этого уже и ищите, гарантированно ту прошивку которая у Вас станет.

Я не знаю как на 16xx, но у меня не получалось грузить boot-образ c tftp.
Я заливал его через X-Modem.
Но вообще, согласно сообщениям, по моему просто не хватает DRAM

Флэш-память на 4 мб. DRAM- 8 mb. Образ весит 3.16 mb...

<<Образ весит 3.16 mb >>
Нда?
Ну попробуй очистить полностью flash и загрузить образ через X-Modem.
Клиента под WIN я уже в как-то в данном разделе (не ветке) рекомендовал.
Только скорость порта подними до 115, а то состаришься ждать.

Имена файлов Cisco IOS. Принятые обозначения
По данным компании Cisco Systems на 28 декабря 2004 г.
Приведенная ниже справочная информация призвана помочь инженерам в определении набора функций, доступных в той или иной версии Cisco IOS. В большинстве случаев название IOS соответствует названию IOS, загруженного с CCO. Таким образом, часто название IOS и его функциональность обозначаются набором цифр и букв. Представленный список содержит наиболее популярные обозначения, используемые в именах файлов.


Символ в начале имени файла IOS Функционал (feature sets)
a APPN
a2 ATM
a3 SNASW
b Appletalk Routing
c Remote Access Server
d Desktop routing
dsc Dial Shelf Controller
g5 Enterprise Wireless (7200)
g6 GPRS Gateway Support Node (7200)
i IP routing
i5 IP routing, no ISDN (mc3810)
in Base IP (8500CSR)
j Enterprise (kitchen sink routing)
n IPX Routing (для маршрутизаторов младших моделей)
p Service Provider (or DOCSIS for uBR)
r(x) IBM
telco Telco
w3 Distributed Director
wp IP/ATM Base Image (8500MSR, LS1010)
y/y5 IP Routing (для младших моделей роутеров исключая некоторые возможности например BGP)
y7 IP/ADSL
Символ в середине имени файла IOS Функционал (feature sets)
56i Encryption (DES)
ent Plus (только когда встречается вместе с 'telco')
k1 BPI
k2/k8/k9 Encryption (DES=k8, 3DES=k9)
o Firewall
o3 Firewall/IDS
s Plus, или "LAN Only" если используется для Cat6K/7600
s2 "Voice IP to IP Voice Gateway (только для серий 26xx/36xx/37xx)
s3 "Basic" (ограниченный IP routing, при малом кол-ве памяти для 26xx, 36xx)
s4 "Basic" без поддержки switching
s5 "Basic" без поддержки HD analog/AIM/Voice
t Telco Return
v VIP Support
v3,v8 Voice (17xx) - v3=VOICE, v8=VOX
w6 Wireless
x(or x2) MCM
Символ в конце имени файла IOS Функционал (feature sets)
l Запускается из Flash
m Запускается из RAM
z Сжатый файл перед выполнением требуется распаковка
Термины и соглашения, принятые для Cisco IOS:
Программное обеспечение для маршрутизаторов серий 7200 и 7500, маркированное как "IP Only" соответствует "IP Plus". Таким образом, Base IP поддерживает модули IP Gateway (например, PA-VXC), в то время как в маршрутизаторах серий 17/26/36/37хх для поддержки аналогичных функций потребуется IOS IP Plus.
В IOS для серии 1700 символ "s", обозначающий набор функций PLUS, иногда указывается в начале имени файла, а не в середине, а символ "y", обозначающий функции IP, иногда указывается в конце названия файла вместо начала.
Например:
C1700-bk2no3r2sv3y7-mz.121-5.YB5.bin - 12.1(5)YB2, AT/3DES/IPX/FW/IDS/IBM/Plus/Voice/IP/ADSL, запускается из RAM и требует распаковки перед выполнением.
C7200-is-mz.121-11.bin - 12.1(11) mainline, IP Only (обратите внимание, что для серии 7200 IP Plus=IP), запускается из RAM, требует распаковки перед выполнением.
Наиболее часто используемые функции:
Plus - требуется для модемов, ATM, голоса (исключая серию 17хх), DLSw+. Также добавляет "back in" IP функции в программном обеспечении "y" (исключая младшие модели маршрутизаторов), например, BGP.
VIP Support - требуется для VIP2/4/6 (75xx), FlexWAN (C6K)
Desktop - поддерживает IP, IPX и, как правило, AT. Некоторые более старые версии IOS также имеют поддержку DEC/LAT.
Enterprise - "Kitchen Sink" - поддерживает все возможные протоколы, исключая традиционно обозначаемые отдельно.
Новые обозначения в названии файлов IOS - Восемь основных наборов функций
В начале 2003 г. разработчики программного обеспечения в компании Cisco Systems изменили наборы функций, включаемых в IOS таким образом, чтобы получить несколько наиболее репрезентативных наборов функций. Что, в свою очередь, (по расчетам разработчиков) должно облегчить процесс выбора конкретного набора функций. Тем не менее, некоторые "специальные" функции, например, H.323/MCM по-прежнему представлены отдельно. Первоначально подобные готовые наборы функций были введены для серий 1700, 2600XM, 2691 и 3700 в IOS 12.3. Позднее в IOS 12.2S и 12.3 появились специальные версии для серий 7200, 10000, 12000. Планируется внести соответствующие изменения и для других серий маршрутизаторов.

Рисунок 1. Структура программного обеспечения Cisco IOS
В основе концепции разработки программного обеспечения лежит идея "наследования", то есть версии ПО расположенные на верхних уровнях диаграммы включают все функции, поддерживаемые "нижними" версиями ПО. Например, IOS Advanced IP Services объединяет все функции, присутствующие в IOS Advanced Security, Service Provider Services, IP Voice и IP Base. Кроме того, названия наборов функций имеют простые названия (вместо "хххх" подставьте серию или модель маршрутизатора "2600", "3700").

Название ПО
Набор функций
Примечание
cxxxx-ipbase-mz IP Base ПО начального уровня, функции входят во все версии ПО более высоких ступеней. Предоставляет основные функции маршрутизации, включая статичную маршрутизацию, RIP, OSPF, EIGRP (только для IPv4). Имеет поддержку модемов и транков (802.1q и ISL) (раньше эти функции поддерживались только в IP Plus ПО). Поддерживает NAT.
cxxxx-ipvoice-mz IP Voice Добавлена поддержка VoIP и VoFR.
cxxxx-advsecurityk9-mz Advanced Security (прим. K9 подразумевает очень высокий уровень шифрования данных) Добавлена поддержка IOS/Firewall, IDS, SSH и IPSec (DES, 3DES и AES).
cxxxx-spservicesk9-mz Service Provider Services Добавлены IPv6, Netflow, SSH, BGP, ATM и VoATM.
cxxxx-entbase-mz Enterprise Base Добавлена поддержка L3 протоколов, например, IPX и Appletalk. Также внесены IBM функции – DLSw+, STUN/BSTUN и RSRB.
cxxxx-advipservicesk9-mz Advanced IP Services Добавлена поддержка IPv6.
cxxxx-entservicesk9-mz Enterprise Services
cxxxx-adventerprisek9-mz Advanced Enterprise Services

System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
C1600 platform with 8192 Kbytes of main memory

program load complete, entry point: 0x4020060, size: 0x165eac

%SYS-6-BOOT_MESSAGES: Messages above this line are from the boot loader.

%QUICC_ETHER-1-LOSTCARR: Unit 0, lost carrier. Transceiver problem?program load
complete, entry point: 0x2005000, size: 0x32b879
Self decompressing the image : ####################### [ok]

program lo
Rights clau
Cop

% WARNING: System DRAM may not sufficient. 24 206EBFC 206EC8C 1
Restricted Rights Legendal Data and Computeress= "Init", ipl=

Use, duplication, or disclosure by the Government is 407B5BC Parser AliasgoutE00 21A1
lockD
subject to restrictions as set forth in subparagraphdisc
206ECD8 24 206EC8C 206ED1C 1
(c) of the Commercial Computer Software - Restricted Sa
enablea
progra
pingcomple
sy
206ED1C
Rights clause at FAR sec. 52.227-19 and subparagrapharser Aliasftwar
tunnel]timeo
S
telnetpressing

(c) (1) (ii) of the Rights in Technical Data and Computer1C 206EDAC 1 407B5EA InitrRNING:

Software clause at DFARS sec. 252.227-7013.tac
Copyr
lock
206EDAC 32 206ED68 2

cisco Systems, Inc.B5BC Parserugssages
Co
dis
170 West Tasman onnection
170 West Tasman onnection


=== Flushing messages () ===

Queued messages:
00:00:02: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging out
put.

00:00:01: %SYS-2-MALLOCFAIL: Memory allocation of 4000 bytes failed from 0x21388
F8, alignment 0Pool: Processor Free: 0 Cause: Not enough free memory
Alternate Pool: I/O Free: 0 Cause: Not enough free memory
-Process= "Init", ipl= 4, pid= 3
-Traceback= 21190EE 2119EB0 2138900 2134BEC 2134E00 21A19BC 212D8A0 212D91E 2076
4BC 2076822


System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
C1600 platform with 8192 Kbytes of main memory

program load complete, entry point: 0x4020060, size: 0x165eac.....

И так до бесконечности... значит дело в памяти все-таки? Но почему??? Её же должно хватить....

http://www.cisco.com/en/US/products/...80094867.shtml

Я сейчас скачаю самую "дохлую" версию IOS с cisco (права у тебя на нее точно есть :P )
куда слать?

шли на regalas@mail.ru
(спасибо за ссылку, правда ответа на мой вопрос я там не нашел =) ).

Maf1a
Повторяю, IOS, куды слать?

нуу.... на мыло шли =0). я его себе на tftp и потом туда ( может я чего не понимаю, с цисками 5 дней знаком)...

Отослал.
2 шт.
Один древний - 2 М
Второй самый новый, но он врядли станет, официально требует 16М

Вааааах !!!!!!! Ты бох!!!!! Урррррааааа, заработало, ту старенькую поставил, на седьмом небе щас :yahoo: Чтоб я без вас делал =).

Извиняюсь за бездарный конфиг, но книжки мне не могут помочь. Скажите пожалуйста, как правильно настроить маршрутизацию. Оба интерфейса настроены, с маршрутизатора Cisco 1710 пинги идут на обоих инетрфейсах, но из сети yyy.16.65.0 не виден маршрутизатор xxx.17.64.173. Нужно чтобы в сети yyy.16.65.0 был инет.

version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname Router
enable secret 5 xxxxxxxxxxxxxxxxxxxx
enable password xxxxxxxxxx
ip subnet-zero
interface Ethernet0
ip address yyy.16.65.30 255.255.255.0
no ip directed-broadcast
no ip route-cache
interface Fast Ethernet0
ip address xxx.17.64.171 255.255.255.224
no ip directed-broadcast
no ip route-cache
ip classless
ip route xxx.17.0.0 255.255.255.224 yyy.16.0.0
ip route yyy.16.0.0 255.255.255.0 xxx.17.64.173
access-list 1 permit xxx.17.64.173
access-list 2 permit yyy.16.65.32
line con 0
transport input none
line vty 0 4
password xxxxxxxxx
login
end

Router#sh protocol
Global values:
Internet Protocol routing is enabled
Ethernet0 is up, line protocol is up
Internet address is yyy.16.65.30/27
Fast Ethernet0 is up, line protocol is up
Internet address is xxx.17.64.171/27
Router#debug ip rip
RIP protocol debugging is on
Router#debug ip igrp events
IGRP event debugging is on

И еще у меня такой вопрос, можно ли настроить маршрутизатор, чтобы на обоих интерфейсах был адрес одной сети. Другими словами могу ли я прокинуть инет в сеть yyy.0.0.0 через эту Cisco , а точнее просто заменить адреса той сети на свободные адреса сети xxx.0.0.0?
Если нельзя дать обоим интерфейсам адреса одной сети, то я даю произвольные адреса той сети (yyy.0.0.0) и настраиваю статическую маршрутизацию, то есть ip route [сеть назначения - это сеть yyy.o.o.o?] [маска - маска сети yyy.0.0.0?] [aдрес следующего участка или интерфейс выхода - это адрес маршрутизатора xxx.17.64.173?] [растояние по умлочанию 1]. Это будет вообще работать?

Проблема решена созданием подсети.

здравствуйте!
может ктонибудь сталкивался с этим раньше... помогите пожалуйста разобраться

имеется cisco ASA5510
задача стоит следующая:
нужно организовать HTTP сервер который находился бы в демилитаризированной зоне(DMZ).
пусть имеем слудующее распределение IP-адрксов:
192.168.22.0- локальная сеть(192.168.22.1-адрус в локальной сети ASA5510)
192.168.20.1- private IP для сервера
192.168.20.2- адрес ASA5510 в DMZ
50.30.227.40- public IP для сервера
50.30.227.41- внешний адрес ASA

при установки параметров проблем никаких нет, ошибок там и все такого. но если с сервера пинговать ASA (ping 192.168.22.1) то пинг не проходит. в чем может быть проблема?

shibzik,
Ознакомтесь http://forum.oszone.net/announcement-55-74.html
и приведите информацию о сервере и о ASA

kim-aa, извените за несоблюдение правил
может ктонибудь сталкивался с этим раньше...

имеется cisco ASA5510
задача стоит следующая:
нужно организовать HTTP сервер который находился бы в демилитаризированной зоне(DMZ).

веб сервер стоит на win2003 small buisness edition sp2
клиентом управления ASA является Cisco ASDM 5.0 for ASA

при установки параметров проблем никаких нет, ошибок там и все такого. но если с сервера пинговать ASA то пинг не проходит. в чем может быть проблема?

show run:
Result of the command: "SHOW RUN"

: Saved
:
ASA Version 7.0(5)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password Z4QbQKv6CqLeMZ85 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif Inet
security-level 50
ip address 209.165.200.225 255.255.255.248
!
interface Ethernet0/1
nameif Local
security-level 45
ip address 192.168.13.1 255.255.255.0
!
interface Ethernet0/2
nameif DMZ
security-level 40
ip address 192.168.20.1 255.255.255.0
igmp access-group DMZ_multicastACL
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns retries 5
dns timeout 5
dns domain-lookup Local
dns name-server 80.97.56.5
dns name-server 80.97.56.19
object-group network pdm_pool_200
network-object 209.165.200.225 255.255.255.255
network-object 192.168.13.0 255.255.255.240
access-list DMZ_nat0_outbound extended permit ip host 209.165.200.226 any
access-list DMZ_multicastACL standard permit host 0.0.0.0
access-list Inet_access_in extended permit tcp any host 192.168.20.2
pager lines 24
logging enable
logging asdm informational
mtu Inet 1500
mtu Local 1500
mtu management 1500
mtu DMZ 1500
asdm image disk0:/asdm505.bin
no asdm history enable
arp timeout 14400
nat-control
global (Inet) 200 interface
global (DMZ) 200 192.168.20.2-192.168.20.20 netmask 255.255.255.224
nat (Inet) 0 0.0.0.0 0.0.0.0
nat (Local) 200 192.168.13.3 255.255.255.255
nat (Local) 200 192.168.13.3 255.255.255.255 outside
nat (DMZ) 0 access-list DMZ_nat0_outbound
static (Inet,Local) 209.165.200.225 192.168.20.15 netmask 255.255.255.255
access-group Inet_access_in in interface Inet
route Inet 0.0.0.0 0.0.0.0 89.32.227.41 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username vad75 password kV6nCdwuYqDLWZyj encrypted
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no sysopt connection permit-ipsec
telnet 192.168.1.0 255.255.255.0 management
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
Cryptochecksum:e11d65922f58c0842d7f52022d8e9426
: end

vot risunok

- Приведите ipconfig /all для сервера
- Проверьте не включен ли фаервол на сервере.
- По cisco вопрос изучаем, просто у нас такой модели нет, нада слегка разобраться в командах.

Вполне может быть что, тут действет правило - что не разрешено явно, то запрещено (запрет по умолчанию).

Тогда нужно добавить в acl-ы что-то типа

access-list DMZ_access_in extended permit ip host 192.168.20.2 host 192.168.20.1
access-list DMZ_access_out extended permit ip host 192.168.20.1 host 192.168.20.2

ipconfig/all

...

Result of the command: "show access-list"

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300
access-list DMZ_nat0_outbound; 1 elements
access-list DMZ_nat0_outbound line 1 extended permit ip host 209.650.200.226 any (hitcnt=0)
access-list DMZ_multicastACL; 1 elements
access-list DMZ_multicastACL line 1 standard permit host 0.0.0.0 (hitcnt=0)
access-list Inet_access_in; 1 elements
access-list Inet_access_in line 1 extended permit tcp any host 192.168.20.15 (hitcnt=0)


не могу понять, откуда взялся 192.168.20.15

изменения в АСL ничего не дало

shibzik,
Боюсь Вам придется читать User-жуть по устройству с текущей текущей прошивкой.
Особо обратить внимание на заводские установки (по умолчанию).