Endspiel Posted August 9, 2018 (edited) · Report post boot system flash:/c181x-advipservicesk9-mz.124-15.T17.bin ip dhcp pool local network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 dns-server 172.17.1.30 8.8.8.8 ! ip dhcp pool ats network 192.168.90.0 255.255.255.0 default-router 192.168.90.1 dns-server 8.8.8.8 vtp mode transparent ! crypto keyring D-VTI pre-shared-key address 0.0.0.0 0.0.0.0 key xxx ! crypto isakmp policy 113 encr 3des hash md5 authentication pre-share group 2 ! ! crypto ipsec transform-set D-VTY esp-aes esp-sha-hmac ! crypto ipsec profile D-VTY set transform-set D-VTY ! ! archive log config hidekeys ! ! vlan 90,99-100,3120 ! ip ssh maxstartups 2 ! ! ! interface Loopback0 ip address 10.2.2.30 255.255.255.255 ! interface Tunnel2 bandwidth 90 ip unnumbered Loopback0 ip tcp adjust-mss 1448 tunnel source FastEthernet0.1433 tunnel destination xxx tunnel mode ipsec ipv4 tunnel protection ipsec profile D-VTY ! interface FastEthernet0 no ip address speed 100 full-duplex ! interface FastEthernet0.1433 description WAN-INTERNET encapsulation dot1Q 1433 ip address nnn ip nat outside ip virtual-reassembly ! interface FastEthernet0.3120 encapsulation dot1Q 3120 ip address dhcp ip nat outside ip virtual-reassembly ! interface FastEthernet1 no ip address duplex auto speed auto ! interface FastEthernet2 switchport access vlan 100 ! interface FastEthernet3 switchport access vlan 100 ! interface FastEthernet4 switchport access vlan 100 ! interface FastEthernet5 switchport access vlan 100 ! interface FastEthernet6 switchport access vlan 99 ! interface FastEthernet7 switchport access vlan 100 ! interface FastEthernet8 switchport access vlan 100 ! interface FastEthernet9 switchport access vlan 100 ! interface Vlan99 ip address 192.168.90.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan100 ip address 192.168.30.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Async1 no ip address encapsulation slip ! router eigrp 1 passive-interface default no passive-interface Tunnel2 network 10.2.2.30 0.0.0.0 network 192.168.30.0 auto-summary ! no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 nnn ip route 10.0.0.0 255.255.255.0 FastEthernet0.3120 ! ! ip http server no ip http secure-server ip nat inside source list 3 interface FastEthernet0.1433 overload ip nat inside source list 100 interface FastEthernet0.3120 overload ! access-list 1 permit nnn access-list 3 deny 192.168.90.0 0.0.0.255 access-list 3 permit 192.168.30.0 0.0.0.255 access-list 100 permit ip 192.168.90.0 0.0.0.255 any ! ! Провайдер подаёт мне две услуги по транку. Влан 1433 интернет и влан 3120 воип. На рутере грубо говоря 10 инт. Cisco 1811 Принимаю на рутер: int fa0.1433 encapsulation dot1Q 1433 IP address xxx IP Nat outside Int fa0.3120 encapsulation dot1Q 3120 no IP address vtp version 2 vtp mode transparent Инет настроил по 1433. Робит. int fa6 switchport access vlan 3120 Порт смотрит в Ван порт АТС, который должен по dhcp словить айпи от провайдера и подсоединить воип транки. По dhcp он ничего не получает. Но когда я прописываю на 6 интерфейса акссесс, то выдаёт ошибку. #switchport access vlan 3120 % Warning: port will be inactive in non-ethernet VLAN Не знаю то ли из-за нее не ловит, то ли по какой другой причине. На TP-Link все отлично работает. Не знаю уже куда копать и что делать. После выдачи ошибки: sh int fa6 switchport Name: Fa6 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Disabled Access Mode VLAN: 3120 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 3120 Protected: false Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none А если сделать так, то: #shut #no shut #do sh int fa6 switchport Name: Fa6 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Disabled Access Mode VLAN: 3120 (VLAN3120) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 3120 Protected: false Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none # Access mode vlan в первом случае Disabled, а во втором случае уже нет, но от этого ни холодно ни жарко. После этого я попробовал по другому. Словил по DHCP адрес на влане 3120, поставил АТС в свой влан и попытался сделать трансляцию. Не знаю правильно или нет. Номера телефонов должны регистрироваться по воип-транку на айпи 10.0.0.20, но не регистрируются. Я получаю от провайдера айпи 10.4.52.9 . Пинг с АТСки на 10.4.52.10 идёт. На 10.0.0.20 не идёт, хотя они вполне могли исмп заблочить. Собственно вопрос в том правильно ли я настроил или где-то накосячил? sh ip nat translations | include 192.168.90 udp 10.4.52.9:1024 192.168.90.2:5060 10.0.0.20:5060 10.0.0.20:5060 udp 10.4.52.9:35404 192.168.90.2:35404 8.8.8.8:53 8.8.8.8:53 udp 10.4.52.9:52984 192.168.90.2:52984 8.8.8.8:53 8.8.8.8:53 udp 10.4.52.9:53759 192.168.90.2:53759 8.8.8.8:53 8.8.8.8:53 udp 10.4.52.9:55475 192.168.90.2:55475 8.8.8.8:53 8.8.8.8:53 sh ip arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.0.0.20 0 Incomplete ARPA Internet 10.4.52.1 35 001e.f7f7.11c0 ARPA FastEthernet0.3120 Internet 10.4.52.9 - 0026.cb26.7bb0 ARPA FastEthernet0.3120 Internet 10.4.52.10 11 000b.82c4.a660 ARPA FastEthernet0.3120 Edited August 9, 2018 by Endspiel Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 9, 2018 · Report post Fa0 и Fa1 - роутинговые порты, 2-9 свитч. Они между собой просто так не связаны. И конструкция вида: int f0.3120 encapsulation dot1q 3120 ... ! int vlan 3120 ... ! желаемого эффекта их объединения не даст, это разные виланы поэтому, если хочется, нужно городить бридж. ЗЫ: ну и чтобы вилан в системе встроенного свича появился, нужно его создать в режиме vlan database Еще проще содать провайдерские виланы, воткнуть его в Fa2-9 в режиме транка. Линк с АТС сунуть аксесом в нужный вилан. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Endspiel Posted August 9, 2018 · Report post 3 минуты назад, ShyLion сказал: Fa0 и Fa1 - роутинговые порты, 2-9 свитч. Они между собой просто так не связаны. И конструкция вида: int f0.3120 encapsulation dot1q 3120 ... ! int vlan 3120 ... ! желаемого эффекта их объединения не даст, это разные виланы поэтому, если хочется, нужно городить бридж. ЗЫ: ну и чтобы вилан в системе встроенного свича появился, нужно его создать в режиме vlan database #vlan database #vlan 3120 ^ % Invalid input detected at '^' marker. #vlan ? <1-1005> ISL VLAN index У меня vtp 2 версии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 9, 2018 · Report post vtp должен быть в transparent режиме, но за вашу конкретную железку не ручаюсь, по моему у вас какая-то древность. просите провайдера поменять виланы на ниже 1000, вполне могут пойти на встречу, если не конченые м.ки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Endspiel Posted August 9, 2018 · Report post 12 минут назад, ShyLion сказал: vtp должен быть в transparent режиме, но за вашу конкретную железку не ручаюсь, по моему у вас какая-то древность. просите провайдера поменять виланы на ниже 1000, вполне могут пойти на встречу, если не конченые м.ки Если не в режиме vlan database создавать, то можно. К сожалению с провайдером все глухо. #interface vlan ? <1-4094> Vlan interface number А если натить? Я сейчас подумываю натить мою вланку через айпи, который получил от их влана по дхсп, но все равно странно как-то. Соседний со мной айпишник пингуется, а нужный для регистрации воип-транка нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 9, 2018 · Report post interface vlan xxx Это не создание вилана! Это настройка его SVI части. Т.е. это виртуальный интерфейс на внутреннем соединении "роутера" со "свичем". На самом "свиче" вилан создается отдельно. Так сделано потому что "свич" может получать список виланов по VTP с другого свича. Покажb уже show ver. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Endspiel Posted August 9, 2018 · Report post 6 минут назад, ShyLion сказал: interface vlan xxx Это не создание вилана! Это настройка его SVI части. Т.е. это виртуальный интерфейс на внутреннем соединении "роутера" со "свичем". На самом "свиче" вилан создается отдельно. Так сделано потому что "свич" может получать список виланов по VTP с другого свича. Покажb уже show ver. #sh ver Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(15)T17, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2012 by Cisco Systems, Inc. Compiled Tue 24-Jan-12 12:46 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH13, RELEASE SOFTWARE (fc1) kz.alke-group.com uptime is 1 day, 21 hours, 5 minutes System returned to ROM by Reload Command at 00:01:46 UTC Fri Apr 4 2003 System image file is "flash:/c181x-advipservicesk9-mz.124-15.T17.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1811 (MPC8500) processor (revision 0x400) with 118784K/12288K bytes of memory. Processor board ID FHK133972PF, with hardware revision 0000 10 FastEthernet interfaces 1 Serial interface 1 terminal line 63808K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 9, 2018 · Report post Вот у нас есть: talakan-hotel-1811#show ver Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M12a, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2016 by Cisco Systems, Inc. Compiled Tue 04-Oct-16 02:58 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH9, RELEASE SOFTWARE (fc1) talakan-hotel-1811 uptime is 5 days, 16 hours, 45 minutes System returned to ROM by power-on System restarted at 00:52:11 KYA Sat Aug 4 2018 System image file is "flash:c181x-adventerprisek9-mz.151-4.M12a.bin" Last reload type: Normal Reload This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1811 (MPC8500) processor (revision 0x400) with 354304K/38912K bytes of memory. Processor board ID FHK123628KC, with hardware revision 0000 10 FastEthernet interfaces 1 Serial interface 1 terminal line 1 Virtual Private Network (VPN) Module 62720K bytes of ATA CompactFlash (Read/Write) Виланы создаются так: talakan-hotel-1811(config)#vlan 3333 talakan-hotel-1811(config-vlan)#exit % Failed to create VLANs 3333 Extended VLAN(s) not allowed in current VTP mode. %Failed to commit extended VLAN(s) changes. talakan-hotel-1811(config)#vtp mode transparent Setting device to VTP TRANSPARENT mode. talakan-hotel-1811(config)#vlan 3333 talakan-hotel-1811(config-vlan)#name test talakan-hotel-1811(config-vlan)#^Z talakan-hotel-1811# Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Endspiel Posted August 9, 2018 · Report post 7 минут назад, ShyLion сказал: Вот у нас есть: talakan-hotel-1811#show ver Cisco IOS Software, C181X Software (C181X-ADVENTERPRISEK9-M), Version 15.1(4)M12a, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2016 by Cisco Systems, Inc. Compiled Tue 04-Oct-16 02:58 by prod_rel_team ROM: System Bootstrap, Version 12.3(8r)YH9, RELEASE SOFTWARE (fc1) talakan-hotel-1811 uptime is 5 days, 16 hours, 45 minutes System returned to ROM by power-on System restarted at 00:52:11 KYA Sat Aug 4 2018 System image file is "flash:c181x-adventerprisek9-mz.151-4.M12a.bin" Last reload type: Normal Reload This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1811 (MPC8500) processor (revision 0x400) with 354304K/38912K bytes of memory. Processor board ID FHK123628KC, with hardware revision 0000 10 FastEthernet interfaces 1 Serial interface 1 terminal line 1 Virtual Private Network (VPN) Module 62720K bytes of ATA CompactFlash (Read/Write) Виланы создаются так: talakan-hotel-1811(config)#vlan 3333 talakan-hotel-1811(config-vlan)#exit % Failed to create VLANs 3333 Extended VLAN(s) not allowed in current VTP mode. %Failed to commit extended VLAN(s) changes. talakan-hotel-1811(config)#vtp mode transparent Setting device to VTP TRANSPARENT mode. talakan-hotel-1811(config)#vlan 3333 talakan-hotel-1811(config-vlan)#name test talakan-hotel-1811(config-vlan)#^Z talakan-hotel-1811# Так я уже создавал, но сделал еще раз. #vlan 3120 #exit #! #int vlan 3120 #bridge-group 1 #! #int fastEthernet 0.3120 #no ip address #bridge-group 1 #exit #! #int fa6 #switchport access vlan 3120 % Warning: port will be inactive in non-ethernet VLAN # Так надо? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted August 9, 2018 · Report post Попробуй без бриджа. Воткни провайдера в порт Fa2 vlan 1433 name Inet ! vlan 3120 name VoIP ! interface Vlan1433 ip address nnn ip nat outside ... ! interface Vlan3120 ip address dhcp .... ! interface Fa2 descr Provider uplink switchport trunk encap dot1q switchport mode trunk switchport trunk allowed vlan 1433,3120 ! interface Fa6 descr ATS switchport access vlan 3120 ! Таким образом твоя АТС попадет в вилан провайдера, плюс у тебя будет роутинговый интерфейс в нем-же. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...