DruGoe_DeLo

я уже сам из боевых одну выкрал :). Кручу ее уже почти неделю. И все больше и больше сомнений что это так можно сделать. Скорее всего придется городить какой-нибудь tftp в той же подсети что у inside интерфейс у асы. (аля ip address secondary на 3750) и уже достукиваться до самой асы залить конфигу и ребутнуть. Это пока все что пришло в голову :)

Да все хорошо. Я не обижаюсь и оскорблять цели не было. Все нормально.

Я просто к чему. Речь идет об asa55xx а не о router насчет router никаких претензий вообще нету. насчет asa55xx комент бесполезен.

комент от бога просто

Госпада. Причем тут dhcp когда речь идет только об tftp ( я прекрасно знаю где он должен располагаться не переживайте тут все хорошо ) Речь идет о так сказать об указанаа start-up config path в асе он может указаться только локально. Но мне кажется что есть что-то еще, чтобы циска могла забирать его сама без моего участия. Чуть по подробней. Я знаю как указать циски от куда грузится. Но чтобы она брала конфиг также и причем сама. Я не особо нарыл. Все значения регистра что я находил на офф сайте ссылались только на прошивку ios. Буду очень признателен если намекнете.

Доброго времени суток. Вопрос состоит в след. Может ли cisco asa (например 5520 или 5505, кому как удобней) делать следующее. Стартовать на конфиге который хранится на tftp. Сейчас поясню. Cisco мы можем сказать что мол дорогая твой образ прошивки лежит вооон там на tftp грузись с него. И она будет это прекрасно делать. Если же удалить config фаил с flash она будет загружаться в дефолт конфиг. Собственно вопрос. 1. Можем ли мы сказать cisco что мол твой конфиг фаил (ну или start-up configuration) находится вооооон на том tftp 2. И при запуске cisco asa без сети или отключеном tftp сервере она встает так сказать в холд режим до тех пор пока не увидет tftp Отвечу сразу варианты залейте конфиг на tftp и каждый раз сливайте через коносль ручками на циску не подходит. Интересует вариант чтобы аса сама лезла на нужный tftp и грузилась именно с указаного cfg. Поясню для чего это нужно. В удаленных филиалах не всегда есть возможность объяснить даже эникею что нежно делать. Мне проще сделать tftp сервер. Который всегда будет вкл. И если вдруг asa выходит из строя ее просто меняют на ту что из зипа (с преднастроенной командой). И меняет ее обычный манагер, и загружается она в боевом режиме с последними изминениями конфига который сама автоматически слижет с tftp сервера. Не всегда есть время лично уделять таким случаям. По причине нахожусь в отпуске или в далекой командировке без шансов дозвонится.

Тему можно закрывать. Спасибо большое, за дельные советы!

Огромное спасибо, по поводу U.fl По поводу антенн. Нужен кругляк (размер очень важен вешать большой квадрат нет возможности) покрытие 2g/3g хорошее и сигнал уверенный. У меня вопрос подойдут какие-нибудь такие антены (http://worldrepeater.ru/component/virtuemart/?page=shop.product_details&flypage=flypage.tpl&product_id=274&category_id=20) не говорю именно про эти. Имеюю в виду только вид антен. Такой форм фактор просто замечательный.

И так. Разобрался с включением. Модема. Чтобы включить поддержку слота mini-PCIe Через консоль /system routerboard usb set use=mini-PCIe Через winbox System -> routerboerd -> USB -> Type Mini PCIe Вопрос по пигтейлам остается

Доброго времени суток. Собственно сама проблема. Было приобретено оборудование BaseBox2 и модем MC8705 (https://www.eltech.spb.ru/item/mc8705) Разобрал штукенцию воткнул модем (пока без антенн. Кстати также буду благодарен, если подскажите какие пигтейлы нужны для данного модема и сколько. Там 2 разъема main и aux в какой и что втыкать) Ну да ладно. Вкл я устройство. Захожу на него. И не вижу никаких доп интерфейсов связанных хоть как то с модемом. Собственно вопрос. 1. Как включить этот модем 2. Какие антенны к этому модему купить P.S. прошивка basebox2 6.34.3 Как выглядит сам модем и его разъёмы

если pbr то в этом случаи nat inside всё равно же придётся вешать на все интрфейсы?

Сразу к делу. Походу я просто отупеваю. У меня есть белые IP(х.х.х.х). И есть ещё один канал с серым IP(10.0.1.1) в интернет я постоянно выхожу через основной канал IPпровайдер(y.y.y.y)( у меня поднято bgp) тут всё просто всё круто. А также есть ещё одна подсеть куда я должен попадать через серый IP(10.0.1.1) То есть хочу попасть в ya.ru все мой белые IP идут через IP(y.y.y.y) если я хочу попасть к васи пупкину я должен идти через IP(10.0.1.1) Как бы всё круто чо ip route и погнали.... Дело в том что сеть за 10.0.1.0 не понимает моих белых IP(x.x.x.x) и понимать никогда не будет ) то есть при создании ip route мол вася пупкин находится вон там пинг и трасер затыкаются. Вопрос как красиво это сделать? 1. Захерачить на всех интерфейсах ip nat inside а на одном ip nat outside и при маршруте если хотишь к васи пупкину иди туда. Но будет ли при таком раскладе работать у меня норм интернет...(интуитивно понимаю что должен но лучше спрошу) 2. Или же придумывать какой мего хитрый ip route-map Как сделать это на unix linux ваще всё просто маскарадинг очень прост. Как сделать это на cisco не совсем догоняю...

собрал схему CISCO2950-(trunk19)--------qinq(900)-CISCO3550----trunk(900)---CISCO3750-qinq(900)--------(trunk19)-CISCO2950 упаковывал я 19 Vlan в 900 в общем cisco2950 увидели друг друга А фишка с Loop не завелась никак. В общем считаю тему закрытой эксперимент удался, теперь скорее всего будем общаться с провайдерами чтобы они сделали нам qinq. Если у кого есть какие дополнения или желания высказаться то пишите :). Чуть позже если руки дойдут я попробую qinq loop но уже на двух одинаковых 3550 и позыпаю варишарком что там будет. Пока оборудования нет. Спасибо всем за участие и удачного дня.

Спасибо за ответы иза потраченное вами время. Вчера в конце дня пробывал подружить 3750 с 3550 на прямую результата 0. В общем полезу теперь в серверную на весь день буду разбирать петли... Что выйдет расскажу попоже.

Канечна для чистоты експеримента можно и так сделать. Но свободного оборудования нету. 1)100500% что qinq собирают на 3550 причём на такой же прошивке и всё работает. интернет испещрён этими постами и примерами. 2)собирают также qinq loop и на двух 6500 конфиги аналогичны и тоже всё там делается в 2 присеста ед момент там с натив влан бывают замарочки. но тоже схема рабочая... я не думаю что результат изменится если добавить в схему ещё 2 циски... Я пока тут перебором команд занимаюсь... завтра буду пробывать на более похожих на 3750 и на 3550... но что-то хочется вот 6500 подружить с 3550 ) по поводу завтрашнего теста я тоже отпишусь.

И так ответы насчёт прошивки.... #sh version Cisco IOS Software, s3223_rp Software (s3223_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI12, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2013 by Cisco Systems, Inc. Compiled Fri 30-Aug-13 09:55 by prod_rel_team ROM: System Bootstrap, Version 12.2(17r)SX3, RELEASE SOFTWARE (fc1) teneta.mlc.border uptime is 2 weeks, 3 days, 6 hours, 26 minutes Uptime for this control processor is 2 weeks, 3 days, 6 hours, 25 minutes Time since teneta.mlc.border switched to active is 2 weeks, 3 days, 6 hours, 24 minutes System returned to ROM by power on (SP by power on) System image file is "sup-bootdisk:s3223-adventerprisek9_wan-mz.122-33.SXI12.bin " Last reload reason: power-on This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco WS-C6506 (R7000) processor (revision 3.0) with 458752K/65536K bytes of memory. Processor board ID SAL0751QQWP R7000 CPU at 300Mhz, Implementation 0x27, Rev 3.3, 256KB L2, 1024KB L3 Cache Last reset from power-on 320 Virtual Ethernet interfaces 97 Gigabit Ethernet interfaces 2 Ten Gigabit Ethernet interfaces 1915K bytes of non-volatile configuration memory. 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102 но мне хочется верить что прошивка имеет такой потенциал :) насчет stp #show spanning-tree interface gigabitEthernet 3/11 Vlan Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- VLAN0900 Desg FWD 4 128.267 P2p #show spanning-tree interface gigabitEthernet 3/12 Vlan Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- VLAN0900 Desg FWD 4 128.268 P2p Peer(STP) #show spanning-tree interface gigabitEthernet 3/13 Vlan Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- VLAN0019 Desg FWD 4 128.269 P2p насчёт stp конфигу я чутка поменял загоняю сейчас только 1 влан 19 то есть не ! interface GigabitEthernet0/11 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 19,110,111 switchport mode trunk ! а стало ! interface GigabitEthernet0/11 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 19 switchport mode trunk ! но к сожалению всё равно не вышло на 6500 mtu стоит на портах 1500.... и можно поставить только #mtu ? <9216-9216> MTU size in bytes но ставили и такие мту и оставляли 1500 по дефолту в общем результат 0 :\

Приветствую вас коллеги. Мне нужен взгляд со стороны, а то мне кажется я уже просто зациклился. Хотим прогнать несколько вланов в 1 влане с точки а в точку б. Собрал стенд такой. cisco 6505 и cisco 3550. делаем через qinq loop настройка на cisco6505 ! interface GigabitEthernet3/11 switchport switchport access vlan 900 switchport mode dot1q-tunnel no cdp enable end ! interface GigabitEthernet3/12 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 900 switchport mode trunk ! interface GigabitEthernet3/13 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 19,110,111 switchport mode trunk ! Порт 3/13 подключен в 3/11 порт 3/12 смотрит в сторону cisco 3550 порт 0/9 все вланы существуют. на cisco 3550 настройки interface GigabitEthernet0/9 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 900 switchport mode trunk ! interface GigabitEthernet0/10 switchport switchport access vlan 900 switchport mode dot1q-tunnel no cdp enable end ! interface GigabitEthernet0/11 switchport switchport trunk encapsulation dot1q switchport trunk allowed vlan 19,110,111 switchport mode trunk ! порт 0/11 соединен с портом 0/10 порт 0/9 смотрит в сторону cisco6505 порт 3/12 на cisco 6505 ! interface Vlan19 ip address 19.19.1.222 255.255.255.0 ! на cisco 3550 ! interface Vlan19 ip address 19.19.1.223 255.255.255.0 ! И пинг не идёт ни с одного железки на другую... на 3550 mtu я поднял на 1504 результатов никаких нет :( И вот собсвтенно уперся я в стенку и не могу понять что не так делаю. Доки уже устал читать и вычитывать в общем вопрос вопрос.

Повторюсь. Влан на пользователя нас не устраивает. Если бы изначально использовали этот вариант я бы и не отписывался тут и не открывал темы с этим вопросом. В любом случаи спасибо за потраченное ваше время и ответ. Но в дальнейшем не трате его зря.

Изоляция портов не даст этому абоненту мешать другим абонентам. А запретит доступ в интернет arp-inspection, биндинг IP-MAC-Port или другие инструменты, доступные на используемом коммутаторе доступа. Ну я бы так не сказал. Допустим мы сидим с вами на 1 cisco у которой настроены изоляция портов. Да мы друг друга не увидим и мой хакерский dhcp не повредит вам. Но если я напишу ручками ваш IP то возникнут проблемы :). Да по сути эту проблему решает ARP-inspection. Но это в том случаи если мы бы в интернет выходили через сам биллинг а dhcp поднимали скажем на самих cisco. DHCP мы поднимаем на самой ideco к сожалению он оказался долеко не идеальный... но как вариант инспекцию мы не отбрасываем и рассматриваем как крайнию меру. опция 82 решила бы эту проблему на корню но мы выходим в интернет не через сам билинг от сюда и куча вопросов и не понятностей. На данный момент мы думаем над скриптом. Смысл такой. Изначально все пользователи у нас в гостевом vlan. При получении dhcp запроса, положительного баланса, авторизации по опции 82 мы выдаём IP. Если допустим в течении часа мы от пользователя не получаем dhcp запрос он остаётся в гостевом vlan. Таким образом если пользователь и пропишет ручками IP соседа, он всё равно никуда не выйдет. Но что-то пока мы думаем над скриптом, я отписываюсь на форуме в поиске идей (порой посещают мысли уже написать свой биллинг а то эти вечные костыли в виде скриптов, которые приходится дописывать, потому что видите ли в биллинге они написаны коряво, уже напрягает). Так же расматриваем вариант поднятия dhcp с опцией 82 на главной cisco со всеми приколами и инспекциями, но тогда наши девочки просто сума сойдут у них будет 2 окна а не одно красивое :(... P.S. Для прояснения картины изоляция портов у нас работает, это самое первое что мы учли при построении сети :).

Не совсем понимаю как изоляция портов, запретит пользователю прописать IP руками и выйти в интернет. Есть и инструмент довольно хороший. Но как уже сказали не на всех 2950 оно имеется. А рубить корявки арп запросов чуть дальше от абонента, например на выше стоящем оборудовании. Но это не совсем правильно. Хотя можно попробовать и как крайний вариант. я уже писал выше что метод vlan на пользователя нас не устраивает. При выборе методов мы изначально думали делать 1 влан на пользователя, но отказались. Прошу больше эту тему не поднимать и не тратить ни своё драгоценное время ни моё.

И так собственно говоря настало время для небольшого отчёта как я и обещал. Прошу прощения что так долго не появлялся. Но пока, то попробуем, пока то пока это, пока тут покопаем, проходит не мало времени. И все же. Насчет IPOE ничего нового пока сказать не могу, потому что нет оборудования где бы это пощупать. Поэтому было принято решение пока оставить этот момент и покопаться во второй половинке вопроса а именно dhcp и опция82. С опцией 82 как я уже чуть выше писал мы разобрались. И мы решили попробовать разные схемы шейпинга точнее одну применяя cisco sce (у нас 2020). После долгого и утомительного чтения мануалов разглядывания всяких схем, вроде как поняли что нам нужен SM (subscriber manager) сервер (точнее база данных). Ок обратился я в helpdesk, спасибо большое ребятам поделились ссылками. Скачал, нарыл в интернете мануал вот ТУТ. В принципе сложностей не возникло. С помощью BB console к немы подцепились. И... О БОЖЕ НЕТ! это просто тупо ещё одна бд :( которая управляет пользователями (в терминологии sce подписчиками) и с помощью !!!скриптов!!! они управляют подписчиками. То есть о централизации нашего биллинга можно уже позабыть, потому что надо контролировать всё в 2 окошках вместо одного. Согласитесь ставить сервер который будет управлять скриптами SCE-ой ( а нам нужно то всего 3-4 команды этого севера) как то... в общем нафиг нам ещё один сервер. Не долго думая решили написать если что свой sm (который будет крутиться на каком нибудь уже боевом серваке). Если вам интересно я опишу как что всё делать более подробно с примерами если вам будет интересно пока же я не заостряю внимание на этом. В итоге sce режит скорость изумительно, настройки довольно просты и очевидны. А то что можно очень тонко настраивать всякие штучки типа скорость: торентов, voip и делается это всё лениво мышкой я говорить не буду :). Решив проблему шейпинга мы перешли к другому вопросу. А точнее к нашему любимому зубодробительному "А что если..." Вот мы раздаём ip по DHCP у нас в сети настроены все защиты от второстепенных dhcp запросов в общем всё круто. И тут появляется "А что если..." А что если в сети есть любопытные люди. А они точно есть. Он подумает и решит вместо DHCP написать Ip ручками. Слава богу если он напишет свой IP хотя это тоже чревато при использовании динамического dhcp, но пофиг пусть пока будет статическое. Вот написал он IP например не себя а соседа. Ок сосед в отпуске, он в курсе, а что если не в отпуске? Бабах у нас конфликт IP и яростный абонент на проводе. А что если этот любопытный будет перебирать все IP нашей сети, которые кстати можно посмотреть в ripe.net инфа то открытая. Как такому любопытному... в общем как обезопасить себя от его действий мы пока особо не придумали. Я был бы рад выслушать ваше мнение и предложения по этому поводу. Момент, когда и абонента отрицательный баланс, он просо перебрасывается в гостевой влан. P.S. Пишите не стесняйтесь и с праздничками вас всех как прошедшими так и наступающими.

И так как я и обещал отписываюсь о проделанной работе. Чуть ниже я отвечу с цитатами для выяснения всей картины. В общем было пока решение отставить в сторону ipoe так как всё равно необходимого свободного оборудования нет, а задача состоит из нескольких пунктов. В общем стали крутить опцию82 на ideco версия 3.9.6 (далее просто ideco) (забегу сразу в перед да мы на 3 версии да мы не будем делать ап до 5 потому что в этой нам хотябы, известны все подводные камни переход на более новую от меня не зависит. По этому вопросы на эту тему прошу не задавать. Поехали дальше.) И так собираем стенд. Cisco 2950 (конечная пользовательская) и сама ideco. На cisco делаем следующее sw#(config)ip dhcp snooping vlan 10 sw#(cjyfig)ip dhcp snooping ip dhcp snooping trust ###(вешаем на порт котороый смотрит в сторону нашего dhcp сервера) таким образом мы говорим cisco включить функцию 82 как видно из картинки cisco посылает следующие поля серверу и никакого поля содержащее ip адрес этой cisco. И так сама ideco не умеет распознавать эти поля. Точнее она их принимает и видит но когда в самой идеке мы вносим новое оборудование ввдоим его ip указываем количество портов. То в скриптах самой идеки создаётся условие, что мол если пользователь в таком влане, на таком порту cisco с таким ip и положительный баланс. Выдать ему IP из пула. Как видите cisco не посылает свой ip поэтому у вас не будет работать эта опция на ideco. Просто потому что вы не пройдёте условие с IP. Обнаружили мы это спустя почти 3 суток и то пока коллега не предложил посмотреть их код чтобы понять, что же мы делаем не так. В данный момент мы делаем небольшую заплаточку. И если вам будет интересно я вам всё расскажу и покажу :) К сожалению вариант vlan на пользователя мы отмели сразу при построении сети. Точные причины не могу сказать так как не помню. Микротик в нашу сеть мы не планируем ставить у нас политика. Как можно меньше разных вендоров в нашей сети. У нас в сети было много rubytech и adgecore. К сожалению последние показали себя не с очень хорошей стороны.(никаких личных претензий к этим вендорам не испытываем rybitech показали себя с очень крутой стороны они очень нравятся, но вот цена. AdgeCore имеют не плохой функционал и для небольших сетей очень хорошо подходят, но сдружить их с другим оборудованием бывало очень тяжко, и бывают не редкие зависоны портов что порой просто доставляет. Но повторюсь неприязни или отвращения к ним не испытываем просто приняли такое решение). В данный момент мы полностью стараемся перевести всех абонентов на cisco(по моему даже уже перевели). За ответ и совет спасибо он всегда будет на заметке как один из запасных вариантов. Ну и другим читателям тоже будет интересно. P.S. как что станет известно ещё я обязательно здесь буду отписываться. Желаю удачи. P.p.S.s кстати с использованием функции 82 нам не обязательно привязываться к мак адресу устройства обонента. Что очень хорошо и гибко в дальнейшем.

и чо-то никак...

c3745-adventerprisek9_ivs-mz.124-15.T14.bin типа вот она?

Народ. Прошу так сказать подсказки. Сижу собираю тестовый стенд под всё это ISG и тут что-то мне кажется что cisco 3745 не умеет делать ipoe (хотя pppoe умеет на раз два три). А эта единственная свободная cisco 7200 в бою и тестировать на ней нет возможности, asr и 7600 тоже боевые, кароче везде всё критично. Полистал сайт cisco пишут про модуль isg или хотябы про прошивку мол типа ветки SRC в общем, я подумал что не подъерживается в прошивки данные команды. Ок залил прошивку c3745-adventerprisek9-mz.124-15.T14.bin вроде как одну из последних там оказалось что есть половина нужных команд. А вот таких как class-map type traffic тютю... В общем подскажите куда покопать или на 3745 это нельзя реализовать? А если можно и у вас допустим есть прошивочка или её название ;) P.S. в общем как-то так жду ваших ответов