Всем хорошего настроения, уже давно меня мучает одна проблема, мой роутер циско 871w периодически банит оборудование провайдера якобы с моего ип начинается выдача айпишников, но естественно это не так и я на 80 процентов уверен что вирусов на компах нету.
Помогите пожалуйста как правильно настроить роутер в данном случае?

P.S. куча инспектов это я уже от безысходности добавляю...
P.S.S. очень надеюсь на толковый ответ, боюсь как бы провайдер меня не погнал за постоянные звонки с просьбой разблокировать (

конфиг:

!version 12.4
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname PJsCisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-4029212631
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4029212631
revocation-check none
rsakeypair TP-self-signed-4029212631
!
!
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp bootp ignore
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.50
!
ip dhcp pool LAN
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
!
!
no ip bootp server
ip name-server 213.21.0.5
ip name-server 213.21.31.5
ip name-server 8.8.8.8
ip multicast-routing
ip multicast auto-enable
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT bootps
ip inspect name INSPECT_OUT bootpc
ip inspect name INSPECT_OUT dhcp-failover
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$OiES$ELC8W2nOGt0WU2hQUA4xm/
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description === Internet ===$ETH-WAN$
ip address 213.21.47.40 255.255.252.0
ip pim sparse-dense-mode
ip nat outside
ip inspect INSPECT_OUT in
ip inspect INSPECT_OUT out
ip virtual-reassembly max-reassemblies 128
ip igmp query-interval 125
duplex auto
speed auto
!
interface Dot11Radio0
no ip address
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description === LAN ===
ip address pool LAN
no ip redirects
no ip unreachables
no ip proxy-arp
ip pim sparse-dense-mode
ip nat inside
ip inspect INSPECT_OUT in
ip inspect INSPECT_OUT out
ip virtual-reassembly max-reassemblies 48
ntp disable
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 213.21.44.1
!
!
ip http server
ip http authentication local
no ip http secure-server
ip dns server
ip dns spoofing
ip nat inside source list 100 interface FastEthernet4 overload
!
access-list 100 permit ip any any
!
!
!
!
control-plane
!
!
line con 0
no modem enable
escape-character 3
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
escape-character 3
!
scheduler max-task-time 5000
ntp clock-period 17183561
ntp server 192.43.244.18
ntp server 207.46.232.182
end

• помогите с настройкой 871w,sigbat, 09:05 , 07-Июл-10
  • помогите с настройкой 871w,PJss, 11:48 , 07-Июл-10
  • помогите с настройкой 871w,PJss, 16:33 , 07-Июл-10
• помогите с настройкой 871w,enter, 09:22 , 07-Июл-10
  • помогите с настройкой 871w,PJss, 11:47 , 07-Июл-10
    • помогите с настройкой 871w,enter, 14:11 , 07-Июл-10
      • помогите с настройкой 871w,PJss, 16:41 , 07-Июл-10
        • помогите с настройкой 871w,enter, 17:08 , 07-Июл-10
• помогите с настройкой 871w,PJss, 14:20 , 17-Июл-10
  • помогите с настройкой 871w,Сиддхарта, 16:37 , 17-Июл-10
    • помогите с настройкой 871w,Сиддхарта, 16:38 , 17-Июл-10
      • помогите с настройкой 871w,PJss, 11:32 , 20-Июл-10

ну разумеется начинается
у тебя все интерфейсы в одном влане в первом. И DHCP просто общается через них с миром.
разграничь внешний интерфейс и внутренний. То есть просто поставь на внешний интерфейс другой влан

>ну разумеется начинается
>у тебя все интерфейсы в одном влане в первом. И DHCP просто
>общается через них с миром.
>разграничь внешний интерфейс и внутренний. То есть просто поставь на внешний интерфейс
>другой влан

а можно чуть конкретнее команды или пример конфига? )

насколько я понимаю fa4 и так не входит в vlan1

PJsCisco#sh vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0, Fa1, Fa2, Fa3
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        1002   1003
1002 fddi  101002     1500  -      -      -        -    -        1      1003
1003 tr    101003     1500  1005   0      -        -    srb      1      1002
1004 fdnet 101004     1500  -      -      1        ibm  -        0      0
1005 trnet 101005     1500  -      -      1        ibm  -        0      0

>ну разумеется начинается
>у тебя все интерфейсы в одном влане в первом. И DHCP просто
>общается через них с миром.
>разграничь внешний интерфейс и внутренний. То есть просто поставь на внешний интерфейс
>другой влан

Нужно interface Vlan1 присвоить адрес 192.168.0.1 а для pool dns-server 192.168.0.1 видимо что-то другое

>Нужно interface Vlan1 присвоить адрес 192.168.0.1 а для pool dns-server 192.168.0.1 видимо
>что-то другое

тогда ведь дхцп перестанет раздавать адреса?

>
>тогда ведь дхцп перестанет раздавать адреса?

должен раздать
+ еще не понятен ip inspect на внешнем интерфейсе и no ip bootp server

если я в влан1 укажу ip addr 192.168.0.1
то насколько я понимаю это забъёт строку   ip address pool LAN
и адреса по дхцп раздаваться не будут, или я неправильно понимаю?

инспекты и no ip bootp server   добавлены от безысходности, не занл где ещё копать

>>
>>тогда ведь дхцп перестанет раздавать адреса?
>
>должен раздать
>+ еще не понятен ip inspect на внешнем интерфейсе и no ip
>bootp server

будут раздаваться и по dhcp и по bootp если строку уберете
> ip dhcp bootp ignore

bump

может всёже есть спецы? (

>bump
>
>может всёже есть спецы? (

Я конечно не спец, но вот такое предложение, вполне рабочее ибо около 400 точек у меня на работе работают на приблизительно таком же конфиге.
!
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname PJsCisco
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
!
aaa session-id common
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-4029212631
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4029212631
revocation-check none
rsakeypair TP-self-signed-4029212631
!
!
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.50
!
ip dhcp pool LAN
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
! и вторым сервантом через пробел я бы прописал первичный ДНС твоего прова
!
!
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 $1$OiES$ELC8W2nOGt0WU2hQUA4xm/
!
!
archive
log config
  hidekeys
!
!
!
!
interface Dot11Radio0
no ip address
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
!
interface Vlan1
description === LAN ===
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1380
!
!
!
interface FastEthernet4
description === Internet ===
ip address 213.21.47.40 255.255.252.0
ip pim sparse-dense-mode
ip nat outside
ip virtual-reassembly max-reassemblies 128
ip igmp query-interval 125
duplex full
speed 100
! не знаю почему, но Циски эти очень не любят, когда у них на внешнем Ethernet интерфейсе не определены скорость и дуплекс. Посему говорим однозначно, чего хотим. 100 Full Duplex.
!
ip route 0.0.0.0 0.0.0.0 213.21.44.1
!
!
ip nat inside source list 100 interface FastEthernet4 overload
!
!
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
! думаю, стоит указать свою конкретную подсеть а не any any
!
control-plane
!
!
line con 0
no modem enable
escape-character 3
line aux 0
line vty 0 4
privilege level 15
transport input telnet ssh
escape-character 3
!
scheduler max-task-time 5000
ntp clock-period 17183561
ntp server 192.43.244.18
ntp server 207.46.232.182
end

Ну вот вроде ничего не упустил. Если что, стучи в аську, постараюсь помочь.
Да, и не забудь всем интерфейсам сказать no shutdown. И все будет хорошо.

Аську забыл написать... 335685723.

привет
ты советуешь написать interface Vlan1
description === LAN ===
ip address 192.168.0.1 255.255.255.0

вместо interface Vlan1
description === LAN ===
ip address pool LAN

мне кажется тогда перестанет работать дхцп ? или я не прав?

всё остальное привёл в соответствие с твоими рекомендациями