The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

RU.CISCO FAQ


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
 Subj : RU.CISCO FAQ
Спасибо всем обитателям эхи RU.CISCO.

Пытающийся иногда вести FAQ - Dmitriy Yermakov, 2:5030/1115
Дата последней модификации - 08 февраля 2000.

Дополнения, исправления лучше присылать на [1][email protected]

[2]http://cube.sut.ru/~dyer/faq/cisco.html
Текстовая версия
[3]ftp://ftp.east.ru/pub/inet-admins/cisco.txt

[4]0. Общие вопросы
[5]1. Sync,Async,AUX
[6]2. FR
[7]3. X25
[8]4. ACL
[9]5. Traffic-shape
[10]6. Routing
[11]7. TACACS,AAA
[12]8. Memory
[13]9. NTP, TZ
[14]10. NAT
[15]11. ISDN
[16]12. Telco
[17]99. Misc
[18]Заметки на полях


0. Общие вопросы
0.1>Q: Где можно что-то почитать про Cisco ? >A: хором :) UniverCD, идущий в поставке. [19]http://www.cisco.com и [20]http://www-europe.cisco.com >A: Александр Раинчик [21]Cisco Systems and Cisco Routers in a Nutshell http://www.clark.net/pub/rbenn/cisco.html Есть такой замечательный сервер: [22]McGraw-Hill Beta Books http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html >A: (Dmitriy Yermakov) Кое-какие конкретные примеры конфигов есть на [23]Релкоме http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html [24]DEOle http://www.deol.ru/~bog/work/cisco_access.html Sample Configurations на [25]www.cisco.com http://www.cisco.com/warp/public/700/tech_configs.html [26]Guide to Cisco Router Configuration http://www.primenet.com/~web/router/cisco-configuration.html [27]Cisco роутеры и борьба с ними в библиотете М.Мошкова http://www.parkline.ru/Library/koi/CISCO/ [28]TACACS-FAQ - http://www.easynet.de/tacacs-faq CISCO-FAQ - comp.dcom.sys.cisco Frequently Asked Questions [29]http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt и [30]ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt CISCO-FAQ на сервере [31]Cisco - http://www.cisco.com/warp/public/458/index.sht ml Архив mailing-list inet-admins [32]http://info.east.ru/win/inetadm.html где тож е есть вопросы/ответы. И не только по Cisco. Небольшой FAQ [33]http://www.sunshine.dp.ua/os/reports/ciscofaq.html Статьи с сообщениями из RU.CISCO на [34]http://www.opennet.me/base/cisco 0.2>Q: Где взять архив RU.CISCO ? >A: (Dmitriy Yermakov) http://www.dejanews.com :) 0.3>Q: Где взять свежий IOS ? >A: (Denis Saveliev) Бета версии лежат на ftp://ftpeng.cisco.com/isp P.S. (DY) Вообщем-то IOS не бесплатен. 0.4>Q: Что такое NetFlow и с чем его едят ? >A: (DY) Подробнее об этом можно почитать на Cisco [35]http://www.cisco.com/warp/public/ 732/netflow Программы для сборки и обработки статистики NetFlow. [36]http://www.auckland.ac.nz/net/NeTraMet [37]http://www.caida.org/Tools/Cflowd На этих же сайтах есть еще ссылки, но эти - кажется самые популярные.
1. Sync,Async,AUX
1.1>Q: Подскажите как на Cisco 2509 сделать вход с модемов на IFCICO ! >A: (Dmitriy Yermakov) username **EMSI_INQC816 nopassword username **EMSI_INQC816 autocommand telnet [host] [port_ifcico] /stream необхобимость наличия ключика /stream лучше проверить опытным путем по поводу banner login # **EMSI_REQA77E # надо/не надо к окончательному решению не пришли у меня это есть >A: (Alecsey Gusev) username **EMSI_INQC816 nopassword noescape username **EMSI_INQC816 autocommand telnet username **EMSI_INQC816**EMSI_INQC816q. nopassword noescape username **EMSI_INQC816**EMSI_INQC816q. autocommand telnet username **EMSI_INQC816q nopassword noescape username **EMSI_INQC816q autocommand telnet username **EMSI_TZP16B2 nopassword noescape username **EMSI_TZP16B2 autocommand telnet не нужен banner login # **EMSI_REQA77E # >A: (Alecsey Gusev) Для Argus'a надо добавить пользователя **EMSI_TZP16B2, argus первым делом посылает это. >A: патчик для ifcico (Maksim Malchuk) *** session.c.orig Wed Dec 27 16:22:31 1995 - --- session.c Tue Feb 13 08:48:13 1996 *************** *** 163,168 **** - --- 163,170 ---- SM_ERROR; } + PUTSTR("**EMSI_INQC816\r"); + p=buf; /*PUTSTR(" \r");*/ PUTCHAR('\r'); 1.2>Q: Dialout service for unix или как прицепить порт NAS'a к чему нибудь. >A: Alex Tutubalin, Vadim Mikhailov Win95/NT http://www.cisco.com - dialout serice или как там его. FreeBSD,Linux modemu-0.0.1 Эмулирует /dev/ttyXX через любой телнет. Для циски это будет инверсный телнет на порт 2000+n. Hо факсы вряд ли через это пошлешь, хотя кто его знает? (AT): Hа 2000+n поpту нет flow control. А dialout ходит на 6000+n. nettty - где-то в районе http://www.livingston.com >A: (Leonid Kirillov) Под Win'95/3.x/NT проблема решается при помощи http://www.cisco.com/univercd/cc/td/doc/product/access/dialout/index.htm. Способ решения проблемы под ДОСом неизвестен. 1.3>Q: Можно-ли как-нибудь организовать попадание не на определенную линию, а на первую свободную, скажем? Мне думается, что это можно как-то организовать через объединение может, в Dialer Group? Вообще, интересно;) >A: (Vasily Ivanov) 5000+номер чеpез установленый rotary на нужных линиях. 1.4>Q: Хотелось немногого - прицепить модем на AUX. Прописал ему следующее: line aux 0 location TESTING access-class 1 in password line anything script reset reset-modem modem InOut transport preferred none transport input all transport output none stopbits 1 rxspeed 19200 txspeed 19200 flowcontrol hardware Зайдя телнетом на этот модем, наружу позонить я могу, а звоню на него снаружи - тишина, модем поднимает трубку и молчит, после чего отваливает. Hикаких промптов, ничего. Остальные восемь модемов работают нормально. Куда мне пнуть киску, чтобы она признала AUX? IOS 11.2. >A: (Sergey Zhuk) line aux 0 login local modem Dialin terminal-type vt100 stopbits 1 rxspeed 38400 txspeed 38400 flowcontrol hardware вот... работает... с inout тоже работает... 1.5>Q: Что за номера 20xx, 40xx, 60xx портов на Cisco ? >A: (Dmitri Beloslioudtsev) А это разные режимы работы telnet: Telnet port 20xx Telnet raw port 40xx Telnet binary port 60xx A>: (Eugene Zhilitsky) Порты 30хх, 50хх, 70хх - то же самое, но для rotary. 1.6>Q: А не подскажет ли всезнающий All, как в киске 2503 настpоить AUX поpт для подключения к нему модема с выделенной линией. Hа маpшpутеpе с дpугой стоpоны выделенки остались только асинхpонные поpты. >A: (Dmitry Morozovsky) int a0 ip unn e0 enc ppp keep 10 asy mode dedicated asy def rou asy dyn rou li a 0 speed 38400 flow hard esc NONE stopbits 1 Плюс конфигурация модема (для reverse telnet нужны modem inout & tran in telnet) 1.7>Q: Как заставить работать NT, Win c киской по нуль-модему ? >A: (Alexander Karpoff) ppp через Зелаксы и с 95, и с NT работают без проблем. А надо всего-то сходить на http://www.vt.edu:10021/K/kewells/net/index.html и скачать необходимые *.inf. P.S. (DY) говорят еще что, можно поставить на NT вместо модема - X.25 pad. P.P.S. (DY) найти mdm3640t.inf или взять тут - [38]http://cube.sut.ru/~dyer/faq /mdm3640t.inf.txt с курьерами - работает :) >A: (DY) А вот более полный способ (откопан где-то у меня на диске)
* Area : RU.WINDOWS.NT (RU.WINDOWS.NT) * From : Dmitry Vashkovsky, 2:5020/168.121 (Пятница Сентябрь 26 1997 19:23) * Subj : NT&выделенная линия
VB> Как сделать %SUBJ%? VB> Есть NT4+SP3+RAS&Routing+Motorola Premier 33.6 Предлагаю вариант решения который работает у меня с мая и проверен моими знакомыми, у них тоже работает на ура :) И так провайдер предоставил вам выделенныю линию на которой с вашей стороны висит модем, при включении он сразу подключается к провайдеру и никакими обычными средствами nt его неудается увидеть. Сразу скажу, что в ресурските по этому поводу написано всего две строчки, что вы должны работать по null modem, это почти правильно. Hа самом деле вы имитируете x25. Первое что вы должны сделать сохранить на всякий случай из директории ras свой файл pad.inf и вместо него положить новый я взял из nt3.51 файл modem.inf и отредактировал его (только в нем! в nt4 нет подходящего описание null modem) выбросил из него описания всех модемов оставил только некоторую общую информацию и отредактированное под необходимую нам ситуацию описание нулмодема, привожу эту чать полностью ;---------------------------------------- [Null Modem 33600] CALLBACK_TIME=10 DEFAULTOFF= MAXCARRIERBPS=33600 MAXCONNECTBPS=33600 COMMAND= CONNECT= ;---------------------------------------- появившемся меню выбираем Install X25 Pad где в предлагаемом меню естественно выбираем Null Modem, далее подтверждаем все, что можно не забыв сказать, что данное устройство работает только на dial out и по продотоколу tcp/ip :) настраивая dialup в части посвященной х25 у вас несколько строк в первой с помощью стрелки вниз выбираете ваш нулмодем в остальных пишите любую ерунду (я накписал имя провайдера). Все можете спокойно работать. Только не забудьте в описании порта указать туже скорость, что и описании нулмодема. Если вам негде взять modem.inf от nt3.51 можете забрать мой уже отредактированный pad.inf (правда под 19200, ну да цифирки перебить не сложно) у меня по ftp:\\www.advance.com.ru он там лежит прямо в корне. Dmitry [email protected] http:\\www.advance.com.ru/skydiver ЗЫ: после того как у вас все заработает не забудьте угостить меня пивом
>A: (DY) Провозившись какое-то время с http://www.vt.edu:10021/K/kewells/net/index.html пошел несколько другим путем. Пишу по памяти, что вспомнил. Со стороны киски - modemcap entry usr_ll:FD=&f1&l1:AA=A line X modem autoconfigure type usr_ll Со стороны Win,WinNT Ставятся нормальные драйвера от установленого модема. Конфигурим модем AT&F1 AT&W Вариант 1. В настройках модема (там где что-то типа advanced/extra settings) ставим строчку инициализации AT&L1 Вариант 2. В строчке с телефоном ставим X3T1 (в таком варианте пожалуй будет работать любой модем, который и не умеет по паспорту режим Leased Line) И еще о том же - [39]http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll. html 1.8>Q: А знает ли кто-нибудь , можно ли передавать звонящему абоненту адреса DNS автоматически с кисы ? Я слышал , что такое бывает. >A: (Sergiy Zhuk) async-bootp dns-server 192.168.3.100 192.168.3.110 это DNS ^^^ async-bootp nbns-server 192.168.3.2 192.168.2.2 а это netbios (wins) 1.9>Q: Стоит киска 3640 у которой установлен модуль Mica-modem на 30 модемов и модуль Е1 соединенный с АТС. Когда я делаю команду sh use то вижу картинку тако го плана > 66 tty 66 pupkin ... > 55 tty 55 vasya ... Как мне узнать по какому таймслоту в потоке Е1 вышел пользователь т.е. существует ли привязка line к bchannel, если нет то можно ли это зделать. >A: (Andrew Lun) sh modem csm 1.10>Q: Имеется Cisco 1005. Последовательный порт сконфигурирован как синхронный. Подскажите, pls, как ее заставить работать с асихронным модемом ? >A: (Dmitry Morozovsky) Для 1005 sync-async переключается софтом. Hачиная с 2520/2522 -- командой physical-layer async на интерфейсе (кстати, полезно помнить, что при этом меняется SNMP номер интерфейса). 1.11>Q: Проброс uucp-шников. >A: (DY) про RADIUS взято из inet-admins, за точность не ручаюсь. a. NAS, TACACS/RADIUS TACACS: group = uucp { default service = permit service = exec { noescape = true autocmd = "telnet aaa.bbb.ccc.ddd 540 /stream" } } Для RADIUS, (Dmitry Morozovsky) /var/spool/uucp/public/.rhosts: nas0 ciscoTS nas1 ciscoTS (Basil Dolmatov) - NAS приходит со специфическим именем "ciscoTS"... Именно его и надо разрешать... NAS: (Taras Heychenko) rlogin trusted-remoteuser-source local rlogin trusted-localuser-source local b. Clients sys от taylor-uucp myname client system host time any call-login uuclient call-password cl.password port port1 phone XXXXXXX chat sername: \L\r assword: \P\r ogin: \L\r sword: \P\r system.pat от UUPC/@ 200 gGt N g(%L_GWSIZE%,%L_GPSIZE%)/g(%R_GWSIZE%,%R_GPSIZE%) "" \W20\c name--name--name \p\p\L sword:-\L-sword:-\L-sword:-\L-sword: \p\P ->-> \crlogin\sUUHOST\r ogin--ogin--ogin \p\p\L sword:-\L-sword:-\L-sword: \p\P UUHOST заменить на свое Для случая с autocommand "->-> \crlogin\sUUHOST\r " можно выкинуть
2. FR
2.1>Q: Frame Relay & Unnumbered interface Кто-то некотоpое вpемя назад тут писал, что IP unnumbered на FrameRelay subinterfaces не бывает. А у меня получилось. >A: (Alex Tutubalin) Пpимеpно так: Interface Serial 0 no ip address frame-relay lmi-type ansi Interface Serial 0.1 point-to-point frame-relay interface-dlci 16 ietf ip unnumbered ethernet 0 ip route 192.168.111.48 255.255.255.240 Serial 0.1 C дpугой стоpоны стоит FreeBSD + Cronyx Sigma-22. Там все сделано пpимеpно так: cxconfig cx0 hdlc fr +extclock ifconfig cx0 192.128.111.49 195.54.222.201 route add default 192.168.111.201 .49 - Ethernet на этой же машине .201 - Ethernet на Cisco >A: (Alex Zinin) В случае с unnumbered инкапсуляция играет только косвенную роль. А сабинтерфейсы -- лишь частный случай. Общее правило такое -- ip unnumbered можно ставить только на интерфейсах, которые Cisco рассматривает как p-t-p. Для WAN интерфейсов тип определяется инкапсуляцией. Т.е. hdlc - ptp, ppp-ptp, slip-ptp, fr-ptm, x25-ptm, smds-ptm Отдельный случай -- dialer. Он не меняет типа интерфейса и работает исключительно самостоятельно поверх data-link уровня. В случае же с сабинтерфейсами, вы можете разбить один физический p-t-m на несколько p-t-p и p-t-m интерфейсов. Соответственно на p-t-p можно использовать unnumbered.
3. X25
Так получилось, что весь данный раздел от Eugene Zhilitsky 3.1>Q: [DOS-COM1]--a1[Cisco2509]--[Cisco2522]-- -[?]--[UNIX-APP] Hа Cisco2522 выполняется трансляция TCP в X.25, а 2509 просто делает telnet на транслируемый адрес. HО, забрать с УHИХмашины можно, а положить нет. Пробовал трансляции и binary и stream, и telnet /stream и с иными параметрами и то и другое. И профайл юзал типа x29 profile aaaa 2:0 3:0 4:100 7:21 11:14, в плане эксперимента. >A: (Eugene Zhilitsky) 4:100 - это очень плохо, неполные пакеты будут уходить только через 100*0.05=5 секунд! 1. трансляция и телнет должны быть stream. 2. x29 profile aaa 1:0 2:0 3:2 4:5 5:0 8:0 9:0 10:0 12:0 15:0 22:0 3:2 - это для "профилактики", чтобы по ^M пакеты уходили сразу же, иногда это мешает (в очень редких специальных приложениях). Можно ставить 3:0. 3. на асинхронном порту (a1[Cisco2509]), к которому подключена досовая тачка: escape-character NONE telnet transparent 4. Для юзера, которым досовая тачка заходит на первую циску - noesc. 5. Hа всех vty, которые могут использоваться для трансляции надо также: escape-character NONE telnet transparent 6. Везде вместо этих двух строк можно использовать одну: terminal-type download Этот способ подсказали гуру из RU.CISCO (кто конкретно не помню :-(. Hу вроде бы больше ничего не забыл :-))))) Должно работать. 3.2>Q: Как настраивать х25? >A: Есть простое эмпирическое правило: все параметры labp (hdlc) и х25 должны быть одинаковыми на обоих концах линка, кроме логического DTE/DCE - он должен быть _разным_. Кроме того, не надо забывать, что размер пакета на втором уровне (lapb) на Циске указывается в _битах_, а у большинства других производителей - в _байтах_. 3.3>Q: Хорошо, но на моем х25-box'е есть параметр "Группа логических каналов", а в Циске я такого не нашел. Что делать? >A: Каждая единица в этом параметре добавляет 256 к номеру логического канала. Hапример, на х25-box'е такие параметры: Группа логических каналов - 4 Hомер первого Two-way VC - 1 Количество Two-way VC - 16 Тогда на Циске надо выставить: x25 ltc 1025 x25 htc 1040 3.4>Q: Я прописал трансляцию х25-ТСР, но она не работает, Циска вместо нее выдает Username: (запускается exec). Что делать? >A: У вас для трансляции используется такой же х25 адрес как и в x25 address на Serial. Использование Call User Data (cud) в трансляции не спасает. Адреса должны быть разными, например, расширьте х25 адрес в трансляции с помощью подадресов. 3.5>Q: Из-за местных условий использовать подадреса я не могу. >A: Тогда просто удалите x25 address из конфигурации Serial. Этот параметр используется в исходящих пакетах вызова как адрес источника. Если его удалить, то пакеты вызова будут уходить с пустым адресом источника. Практически все х25 сети требуют, чтобы адрес источника был указан правильно, либо был пустым, так что все должно работать и без него. 3.6>Q: Ура! Трансляция заработала. Hо задача поменялась, надо чтобы на вызов с Call User Data (cud) запускалась трансляция, а на вызов по тому же адресу без cud запускался exec. >A: Пропишите этот адрес через x25 routing x25 route alias Serial
4. ACL
4.1>Q: Рекомендации по access-lists для защиты от атак из интернета. Некоторые рекомендации и соображения. aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска. wba.wbb.wbc.wbd - wildcard bits Внимание !!! в access-list используется не netmask, а wildcard bits. Есть жуткая формула, но я предпочитаю пользоватся такой - WB=255-NM таким образом, если netmask 255.255.255.0 в access-list пишется 0.0.0.255 ! deny all RFC1597 & default no access-list 101 access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any ! deny ip spoofing access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any ! deny netbios access-list 101 deny udp any any range 137 139 log access-list 101 deny tcp any any range 137 139 log ! deny Back-Orifice access-list 101 deny udp any any eq 31337 log ! deny telnet access-list 101 deny tcp any any eq telnet log ! deny unix r-commands and printer, NFS, X11, syslog. tftp access-list 101 deny tcp any any range exec lpd log access-list 101 deny udp any any eq sunrpc log access-list 101 deny tcp any any eq sunrpc log access-list 101 deny udp any any eq xdmcp log access-list 101 deny tcp any any eq 177 log access-list 101 deny tcp any any range 6000 6063 log access-list 101 deny udp any any range 6000 6063 log access-list 101 deny udp any any range biff syslog log access-list 101 deny tcp any any eq 11 log access-list 101 deny udp any any eq tftp log ! permit all access-list 101 permit ip any any no access-list 102 access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any access-list 102 deny ip any any int XXX ip access-group 101 in ip access-group 102 out 4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для доступа извне во внутреннюю сеть все порты - оставить только возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен. >A: (Alex Bakhtin) Итак. Есть две стратегии по установке аксесс-листов: 1. Закрыть все опасное, открыть все остальное. 2. Открыть все нужное, закрыть все остальное. В здешнем FAQе, который был порекомендован, имеется пример, написаный именно по первому принципу. Hе будем обсуждать преимущества и недостатки данного подхода, насколько я понимаю, у вас есть желание использовать второй. Я попытаюсь описать достаточно универсальную методику, которая может быть использована при построении защиты второго типа, а затем привести пример реально работающей конфигурации. Сразу хочу сказать, что все ниженаписаное - это чисто мое IMHO. Предполагается разработка access-listа, ограничивающего возможности доступа _извне_ в локальную сеть, а не ограничения возможностей по выходу наружу из локальной сети. Итак. Hачать имеет смысл с систематизации того, что мы, собственно хотим получить. Для этого предлагаю выстроить следующую таблицу: ! ! ! ! ! !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы ! ! ! ! !доступ к которым мы хотим предоставить ! ! ! ! !пользователям "извне" ------------!----!----!---!-----!---------------------------------------- www.qq.ru ! X ! ! ! ! relay.qq.ru ! ! X ! ! ! ftp.qq.ru ! ! ! X ! ! any ! ! ! ! X ! здесь хосты/ группы хостов, которые предоставляют соответствующие сервисы. Порядок расположения хостов в таблице важен. Есть два правила: a. Общие определения необходимо располагать как можно ниже. То есть host 10.0.1.1/32 должен быть расположен _выше_ чем subnet 10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то типа any. b. В случае, если по правилу a. оказывается, что порядок каких-то конкретных строк может быть любым (как в нашем примере www, relay и ftp могут быть перечислены в любом порядке, но обязательно выше чем any), то на более высокие позиции надо ставить хосты, количество обращений к которым по отмеченным сервисам предполагается большим. В нашем случае мы предполагаем, что основные запросы будут поступать на www сервер, затем будет передаваться какое-то количество почты и уж совсем мало будет запросов на ftp. После составления, проверки и, по возможности, оптимизации такой таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно переходить собственно к написанию первой версии access-listа. Первая версия будет практически калькой нашей таблицы. ip access-list extended Firewall permit tcp any host www.qq.ru eq www permit tcp any host relay.qq.ru eq smtp permit tcp any host ftp.qq.ru eq ftp permit tcp any any eq 24554 Последняя строка по умолчанию принимается за deny ip any any. Фактически, построение первой версии access-listа закончено. Что мы делаем, чтобы продолжать развивать этот access-list? В конец листа мы добавляем одну строчку deny ip any any log которая не только запретит весь остальной трафик, что было сделано по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о пакетах, попадающих под это правило. И далее, в зависимости от того, какие сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры сообщений: %SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) -> %xxx.xxx.xxx.xx(23), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) -> %xxx.xxx.xxx.xx(1038), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1041), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1044), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) -> %xxx.xxx.xxx.xx(1047), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) -> %xxx.xxx.xxx.xx(33456), 1 packet %SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) -> %xxx.xxx.xxx.xx(33458), 1 packet Вот собственно и все;) Hадо не забывать открывать _на_вход_ порт domain - чтобы к нам приходили ответы на наши dns запросы. active ftp - это вообще отдельная песня. Вот пример реально работающего access-листа, он, разумеется, не идеален, но работает;) Да, надо не забывать открывать established. После знака ; - мой комментарии.
ip access-list extended firewall permit tcp any any eq smtp ; все хосты принимают почту по smtp permit tcp any any eq domain ; две строчки на dns permit udp any any eq domain ; permit tcp any any eq 22 ; ssh permit tcp any host fido.qq.ru eq 24554 ; binkd permit tcp any any established ; вот оно самое permit tcp any host www.qq.ru eq www ; www-сервера permit tcp any host images.qq.ru eq www permit tcp any host www.qq.ru range 8100 8104 ; для руской кодировки permit tcp any host images.qq.ru range 8100 8104 permit udp any any eq ntp ; все машины могут получать время с внешних ntp permit tcp any any range 40000 44999 ; уже не помню для чего:-(( permit tcp any any eq ident permit icmp any any permit tcp any eq ftp-data any gt 1024; для active-ftp deny ip any any log
4.3>Q: Как сделать transparent-proxy ? >A: (DY) Все описано на [40]http://squid.nlanr.net/Squid/FAQ/FAQ-17.html
5. Traffic-shape
5.1>Q: Как зажать исходящий ftp-трафик ? >A: (Vasily Ivanov) Для Active-FTP access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023 Для Passive-FTP access-list 115 permit tcp host 123.123.123.123 any eq ftp 5.2>Q: Как сделать traffic-shape на tun ? >A: (DY) Вот завалялся кусок рабочего конфига от 4000. interface Tunnel1 ip address xxx.xxx.xxx.xxx 255.255.255.252 tunnel source aaa.aaa.aaa.aaa tunnel destination bbb.bbb.bbb.bbb ! interface Ethernet0 ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary traffic-shape group 122 32000 8000 8000 1000 ! no access-list 122 access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb access-list 122 deny ip any any P.S. Vyacheslav Furist Помоему лучше было бы access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb 5.3>Q: Как зажать входящий трафик? >A: "Boris Mikhailov" При входе поможет policyroute, если мочи процессора хватит. Еще добавлю что до 11.2(где-то 12~13) traffic-shap криво затыкается и не шейпит (очень частый вопрос был раньше). access-list 180 описывает тpаффик, котоpый надо шейпить interface Loopback1 ip address 192.168.11.1 255.255.255.255 traffic-shape rate 64000 ! interface Serial0 ip policy route-map incoming-packets ! access-list 180 permit ip any 192.168.1.0 0.0.0.255 ! route-map incoming-packets permit 10 match ip address 180 set interface Loopback1
6. Routing
6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками, один через serial, второй через async, оба линка по выделенках. В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую линию. То есть надо, что бы бакап поднимался только тогда когда ОБА линка пропадут. >A: (Vasily Ivanov) ip route 216 Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы. 6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом на Ethernet ppp-линки с маской /32, а не аггрегатировала их в подсеть. >A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky router rip version 2 ! просто полезно redistribute static subnets no auto-summary ! Тоже не помешает redistribute connected subnets 6.3>Q: OSPF, RIP >A: (Alex Bakhtin) router ospf 10 redistribute connected metric 1 subnets route-map only_public_net redistribute static metric 1 subnets route-map only_public_net redistribute rip network 194.186.108.0 0.0.0.63 area 0 ! router rip version 2 redistribute connected route-map only_public_net redistribute static route-map ony_public_net redistribute ospf 10 metric 4 redistribute ospf 200 metric 4 network 194.186.108.0 neighbor 194.186.108.10 neighbor 194.186.108.138 ! Разумеется, стоит ip classless и ip subnet-zero. 6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера) то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться. Почему это и как от этого избавиться. >A: (Basil (Vasily) Dolmatov) У провайдера стоит route на весь ваш класс C. В следующей (вашей) Cisco прописаны только routes, которые она выяснила из адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное роутится по default route, то есть на провайдера. Как этого избежать? В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной командой: int Null0 ip unreachables Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим, что сеть класса C - 193.193.193.0/24) ip route 193.193.193.0 255.255.255.0 Null 0 100 В этом случае, если адрес используется, и route на него известен Cisco, то имен но этот route и будет активен (поскольку его метрика меньше), если же адрес неизвестен, то активным станет route на Null0 и Null0 ответит на пришедший пакет icmp !H. То есть, никакого пинг-понга на канале уже не будет. Кстати, рекомендуется еще прописать такие же routes для private-networks, это предотвратит их случайное выбрасывание в сторону провайдера. ip route 10.0.0.0 255.0.0.0 Null0 100 ip route 172.16.0.0 255.240.0.0 Null0 100 ip route 192.168.0.0 255.255.0.0 Null0 100 6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы каждая сеть ходила по своему каналу ? >A: (Dmitriy Yermakov) policy-routing, пример есть на CD. Для примера ( в очень простом случае ) access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any route-map XXXX permit 10 match ip address 110 set default interface Serial 0 route-map XXXX permit 20 match ip address 111 set default interface Serial 1 int eth 0 ip policy route-map XXXX 6.6>Q: Не поделится ли кто-нибудь URL или просто секретом запуска OSPF между Gated и Cisco ? >A: (Alex Bakhtin) В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы. Лечится выставлением соответствующих интервалов в gated. >A: (Basil (Vasily) Dolmatov) Ospf yes { backbone { authtype none; interface aaa.bbb.ccc.ddd cost 1 { retransmitinterval 5; transitdelay 1; priority 0; hellointerval 10; routerdeadinterval 40; }; }; }; import proto ospfase { ALL ; }; export proto ospfase type 1 { proto ospfase { ALL metric 1; }; proto static { All metric 1; }; proto direct { ALL metric 1; }; };
7. TACACS,AAA
7.1>Q: Где взять tacas-plus ? В исходниках ? >A: (Dmitriy Yermakov) Хором :)) [41]ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригинальный от Cisco (ls та м не работает, сначала get README, потом get то, что нужно) Недавно там был - ls работает. [42]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей [43]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs/tac+ia-0.96pre6.tgz - и еще проп атченный 7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если юзер первый раз неправильно ответил на login/password то сразу сделать hangup а не спрашивать его еще и еще. Все равно в большинстве скриптов это не предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command Summary" успеха не принесло. Может это в такаксе надо концы искать? >A: (Alexey Kshnyakin) conf t; tacacs-server attempts N 7.3>Q: Как снимать/считать статистику по интерфейсам ? >A: (Dmitriy Yermakov) считать можно так conf t int X ip accounting разрешить rsh на киску, примерно так ip rcmd rsh-enable ip rcmd remote-host enable и, по крону :) /usr/bin/rsh cisco clear ip accounting /usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%y%m%d%H%M"` /usr/bin/rsh cisco clear ip accounting checkpoint Поскольку возникли вопросы, то еще вариант. >A: (Konstantin D. Myshov) 1) Скрипт: #!/bin/sh #[skip] rsh -l loger cisco.domain.adr clear ip accounting rsh -l loger cisco.domain.adr sh ip accounting checkpoint #[skip до конца скрипта :-)] 2) Hа киске говоришь: username specloger privilege 8 password 0 plane_text_password ! Пароль зашифруется и через password 7 показываться будет по sh ru ip rcmd rsh-enable ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8 privilege exec level 8 show ip accounting checkpoint privilege exec level 1 show ip privilege exec level 8 clear ip accounting P.S. (Andrey Kuksa) [email protected] включить бы еще no ip rcmd domain-lookup
8. Memory
8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один не подходит. :-( >A: (Vasily Ivanov) Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать: Размеp Оpганизация 68 67 66 11 4Mb 512k*8/9 X X X X 4Mb 1M*2/4/16/18 - X X - 8Mb 2M*8/9 - X - X 16Mb 2M*8/9 X X - X 16Mb 4M*2/4/16/18 - X - - Hаны 69 70 50ns X X 60ns - - 70ns X - Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] - свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не pаботают !!! Также как и EDO RAM. NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда. >A: (Leonid Kirillov) От себя добавлю маленькую попроавку: 1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке; 2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна пятая микросхеми памяти. Где ее искать - нарисовано на картинке: --------------------------------| | =======SIMM================== | | RAM1 RAM2 RAM3 RAM4 par | par | | Cisco 2501 3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб памяти из 32 (очень было нужно:-) Работает нормально. >A: (Kirill Osovsky) Еще немного о SIMM'ах. Для 1600 - четность нежелательна - работать они будут, но тогда отвалится on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как дуал банк, но работать 3620 с ним не будет (не положено по инструкции) 3640 - работает с дуал банк. >A: (Dmitry Morozovsky) Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640 при постановке четного количества одинаковых симмов переходит в 64разрядный режим, что увеличивает производительность, но также увеличивает и расход памяти в связи с alignment. 8.2>Q: Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в 2600 стоят. Или где их можно купить? За две тонны баксов не предлагать. >A: (Dmitry Morozovsky) Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать память у практически любого дилера Micron, Transcend, Kingston. У этих -- просто по каталогу. P.S. Это же относится и к MC3810.
9. NTP, TZ
9.1>Q: Как правильно выставить timezone и синхронизировать время на киске >A: (Vasily Ivanov) вот пpимеp для Омска (UTC+6): clock timezone OMT 6 clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00 И еще: 1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено коppектно, если же он находится в пpоцессе подведения своих часов, то циска будет ждать окончания этого пpоцесса. 2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного. >A: (Alec Voropay) для Москвы clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером и быт ь самой ntp-сервером ? >A: (Maksim Malchuk) ntp source interfaceX ntp master 3 ntp server aaa.bbb.ccc.ddd ntp server eee.fff.ggg.hhh ntp server iii.jjj.kkk.lll P.S. (Alex Bakhtin) ntp master 3 - это значит, что если пpопадут все ntp servers, котоpые пpописаны в конфиге, киска будет считать себя сеpвеpом со stratum 3. P.P.S. (Sergey Romantsov) Ntp master - указывает, что router является одним из источников "точного" времени, поэтому если необходимо чтобы он раздавал время другим устройствам, необходимо его объявить как master с соответствующей величиной stratum. stratum=1 : это атомные часы stratum=2 : усторйство непосредственно подключено к атомным часам stratum=3 : устройство связано с устройством ( см выше) и так далее... до 15. stratum=16 : устройство не является авторизованным источником времени.
10. NAT
10.1>Q: Можно как-нибудь сделать на киске 2511 с IOS 11.3, чтобы все соединения по FTP, WWW с локальной сетки (имеющей public интернет адреса) устанавливались с адреса скажем 62.244.63.114, это связано с тем, что при установлении соединения с этого адреса пакеты возвращаются через спутник. >A: [email protected] (Dmitry Aksyonov) точно для этого случая: [..] ip nat inside source list 111 interface Loopback4 overload [..] interface Loopback4 ip address 62.244.63.162 255.255.255.255 [..] interface Ethernet0 ip nat inside [..] interface Serial0 ip nat outside [..] access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp-data access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq www остальные порты по вкусу ;) посмотреть что получается - sh ip nat tra 10.2>Q: Есть две сетки: 192.Х.Х.0 и 193.Х.Х.80/28 и киска 2509 Hужно включить NAT, чтобы юзера из 192... сетки ходили в 193... . Интересует кусок(ки) конфига киски, только работающий и подробный. >A: (Eugene A. Rakhmatulin) Hиже кусок реально работающего конфига (изменены только IP): есть сеть 193.193.193.224/29, которую дал провайдер и внутренняя сеть 192.168.1.0/24. Hа трансляцию всех внутренних адресов, кроме 192.168.1.2 выделяется адрес 193.193.193.227, а на 192.168.1.2 записывается статическая трансляция адреса 193.193.193.230. cs-2501# show running-config [ .. ] ip nat pool one 193.193.193.227 193.193.193.227 netmask 255.255.255.248 ip nat inside source list 1 pool one overload ip nat inside source static 192.168.1.2 193.193.193.230 [ .. ] ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip broadcast-address 192.168.1.255 ip nat inside [ .. ] ! interface Serial1 description Link to Provider ip address 193.193.193.226 255.255.255.248 ip nat outside [ .. ] access-list 1 permit 192.168.1.0 0.0.0.255 10.3>Q: Провайдер выдал один реальный адрес (вместо бывшего ранее блока адресов ) и нужно в течении переходного периода (3 дня) оперативно перенастроить Cisco 2509 для маршрутизации в следующей конфигурации: Ethernet - соединяется напрямую единственным реальным адресом с маршрутизатором провайдера; Serial1 - смотрит (через выделенку) в одну физическую сеть(~20 компьютеров+программный маршрутизатор); Serial2 - смотрит в другую(~10 компьютеров). >A: (Ilya Geldiev) ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat inside source list 101 interface Async8 overload ' ip nat inside source static tcp {Ethernet0-ip} 80 {Async8-ip} 80 extendable ' не более чем проброс веб-запросов во внутреннюю ЛАH ! interface Ethernet0 description connected to internal LAN ip nat inside ! interface Async8 description connected to ISP ip nat outside ! interface Async9 description connected to internal Remote Access dialer-group 1 ! interface Group-Async1 description connected to Dial-inPCs_mobile ip nat inside ! 10.4>Q: Впустить обратно с Inet-а в локалку. Скажем для почты -- мой цисковский адрес с портом 25 пробросить в локальный сегмент на мой почтовик ? >A: [email protected] ip nat inside source static tcp int.ter.nsl.addr 25 ext.ter.nal.addr 25 extendable no-alias
11. ISDN
11.1>Q: Возникла следующая необходимость - связать по ISDN две железки - Zyxel Prestige-100 (это ISDN-роутер такой) и Cisco 2522CH. Совершенно не получается это сделать. Звонить должен Zyxel этот самый, ну так он звонит, удалось даже добиться authentification по протоколу pap, но протокол не поднимается. Я так понимаю протокол дожен подняться на BRI0:1 или BRI0:2, а она не дает их конфигурить по отдельности, а если сказать что-то про LeasedLine - то не отвечает на звонки. Как и что надо ей сказать, чтобы получить от этого Zyxelя 64 или 128 К по ДиалАп - ISDN ? >A: (Mark Gorovenko) Протокол будет подниматься на Virtual-Access Кусочек из подобного конфига приведу. В нем много лишнего, было сделано для того чтобы можно было звонить в разные места, это можно выкинуть. interface Virtual-Template1 ip unnumbered Ethernet0 no ip directed-broadcast autodetect encapsulation ppp peer default ip address pool default no fair-queue ppp authentication chap pap callin ppp multilink ! interface BRI0 ip unnumbered Ethernet0 encapsulation ppp no ip route-cache bandwidth 128 dialer pool-member 1 autodetect encapsulation ppp isdn incoming-voice modem 64 isdn answer1 xxx isdn answer2 xxx isdn calling-number xxx peer default ip address pool default no cdp enable ppp authentication chap pap callin ! interface Dialer0 ip address xxxx encapsulation ppp bandwidth 64 dialer remote-name xxx dialer idle-timeout 30 dialer string xxx dialer load-threshold 1 either dialer pool 1 dialer-group 1 autodetect encapsulation ppp v120 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! interface Dialer1 ip unnumbered Ethernet0 encapsulation ppp bandwidth 64 dialer remote-name xxxx dialer idle-timeout 30 dialer wait-for-carrier-time 15 dialer string xxxxx dialer load-threshold 1 either dialer max-call 4 dialer pool 1 dialer-group 2 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! ip local pool default xxx ip classless ip route 0.0.0.0 0.0.0.0 xxxxx ip route xxxxxxxx 255.255.255.255 Dialer1 ip route xxxxxxxx 255.255.255.255 Dialer0 access-list 11 permit any access-list 100 permit ip any host xxxxxx virtual-profile virtual-template 1 dialer-list 1 protocol ip list 11 dialer-list 2 protocol ip list 100
12. Telco
12.1>Q: AS5300 и Ericsson MD-110. >A: (Aleksey Fedorov) У меня AS5300 подключена к Ericsson AXE-10 по r2-digital. В моем случае чтобы все было хорошо нужно сказать: cas-custom 0 debounce-time 10 seizure-ack-time 10 country itu use-defaults
99. Misc
99.1>Q: Как послать киске break ? 03 это скорая, 02 - милиция, а break - это не символ, а очень длинный старт-бит (c) Michael Shestyriov >A: (DY) RTFM по терминалке :) cu,tip - ~#, ~% DOS Navigator - F4 >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/61.html 99.2>Q: Как восстановить забытый (не мной, а администратором) пароль или сменит ь его на какой-то другой? Можно ли сделать это без потери конфигурации? >A: (Gosha Zafievsky) RTFM, конкpетно User Guide, еще конкpетнее "Recovering a lost enable password". Да. P.S. (DY) про Break - см. выше >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/22.html 99.3>Q: Сертифицировано ли в Минсвязи оборудование Cisco ? >A: (Serge Turchin) Да, номера сертификатов ОС/1-СПД-59 - ОС/1-СПД-91 >A: (Denis Golovenko ) ОС/1-СПД-70 -- для моделей 2505/07/09/11/18 >A: (Vladislav Nebolsine) ЦИИИС было сертифицировано следующее оборудование: Маршрутизаторы Cisco 761, 765, 771, 775 1001, 1003, 1005, 1601, 1603 2501, 2503, 2505, 2507, 2509, 2511, 2512, 2514, 2518, 2520, 2522 26xx 3620, 3640 4000, 4000M, 4500, 4500M, 4700, 4700M 7204, 7206, 7505, 7507, 7513 AS5200, AS5300 MC3810 Cache Engine LDIR-410, LDIR-420 LAN коммутаторы Catalyst 1400, 1900, 2820, 29xx 3000, 3100, 3200 5000, 5002, 5500, 5505 WAN коммутаторы LightStream 1010 IGX8, IGX16, IGX32, IGX8410, IGX8420, IGX8430 BPX8600 MGX8220 Сетевые экраны Cisco PIX Firewall (3 класс защищенности по системе сертификации средств защиты информации по требованиям безопасности информации) P.S. (DY) Список соответствия оборудования и сертификатов http://www.comptek.ru/cisco/teach/certif.html 99.4>Q: Как по названию файла опpеделить веpсию иоса, IP-only он, IP/IPX или enterprise? >A: (Serge Turchin) *-i-* - IP *-is-* - IP Plus *-d-* - Desktop *-ds-* - Desktop Plus *-j-* - Enterprise. и т.д. В 11.2 нет IP/IPX, а только Desktop, на него цена снижена в сравнении с 11.1. Суффикс - a - appn. Вообще, где-то есть на сервере расшифровка. У 1000-ных ядер система другая. n-Novell, b - Apple Talk, y - IP, q - асинхронный вариант. > И еще - на сайте для веpсий были файлы pазмеpом в 2-4pаза меньше иосов и > с > загадочным словом boot в названии - это bootstrap only? :-) У 7500, 4500-4700 нет прошитых намертво бутовых систем. Hо есть специальный т.н. bootflash в котором записана укороченная версия системы. >A: (Dmitriy Yermakov) Хоть это и не хорошо :) http://cube.sut.ru/~dyer/faq/7.html 99.5>Q: Есть ли поддержка R2 для 3600 ? >A: Vladislav Nebolsine ***Hot News*** Announcing R2 support for the 3600 Digital Modems!! Hot News!!! =========== Announcing R2 support for the 3600 family of Digital Modems
The 3600 team is pleased to announce R2 support for integrated Digital Modems o n the popular Cisco 3600 series platform. This feature is available with the in troduction of IOS 12.0(1)T This new feature supports the use of R2 signalling with the 3600 internal digi tal modems, enabling high-speed (up to 56kbps) remote access for branch office s and small/mid size ISP's who utilize this specific line-signalling protocol. This announcement extends the range of connectivity options available for the 3600 Digital Modems, now supporting: PRI CAS(CT1) R2 (CE1)) By supporting this flexible range of signalling protocols , the 3600 digital modem solutions can now be deployed on a world-wide basis! A Country list and Mini Q&A follow. Countries configurable with R2 on the 3600: (this is a subset of the supported 5300 R2 countries)
Argentina Australia Brazil * China * Columbia Costa Rica Eastern Europe mode supports: Croatia Russia * Ecuador (ITU and LME) Greece Guatemala Hong Kong (China & ITU Variants) India Indonesia Israel * ITU mode supports: Denmark Finland Germany Russia (ITU variant) * Hong Kong (ITU variant) South Africa (ITU variant) Korea * Malaysia * Mexico (Telmex and Telnor) * New Zealand * Paraguay Peru Philippines Saudi Arabia Note: All countries listed have been tested in house. Countries marked with a * have also been successfully tested in-country. Mini Q&A ========= Q. What is R2 ? A. R2 is a signaling system (Q.422) used by a number of countries worldwide. This signaling system runs over an E1 Carrier (2.048Mb/s), containing 32 64Kb/s timeslots, of which, 30 timeslots can be used for digital modem calls. Q. Does this feature require new hardware in the 3600? A. No Q. What network modules support this feature? A. All the current 1/2 PRI NMs, including the new 1FE 1/2 PRI NM. Q.Is the Cisco Dial-out Utility supported through an R2 connection? A. Yes. Version 2 of the Cisco Dial-out Utility (available early November) together with MICA Portware 2.5.1.0 support Dial/Fax out through the R2 interface Q. Is this R2 feature supported the Cisco 2600, 3620, and 3640? A. The ability for Modem calls to be terminated through an R2 interface is available for all platforms that support Cisco digital modems. This currently limits R2 support to the 3640/3620 Q. Do I need a new version of the digital modem microcode to support R2? A. No. All shipping versions of Portware are supported. For information on Portware and instructions on downloading the latest version, please visit: http://www.cisco.com/public/sw-center/sw-access.shtml. Q. What IOS is required to utilize this feature? A. IOS 12.0(1)T and above Q. Can I support ISDN PRI R2, and CAS in the same chassis? A. Yes, on a per network module basis. Each individual PRI NM can be configured as R2,CAS or ISDN PRI. Q. What countries will this R2 feature be available in? A. At FCS, a subset of the 5300 supported R2 countries will be supported. All Countries in the list above have been successfully tested internally. Q. Will the new mixed media FE/PRI support R2? A. Yes. Q. Can two PRI/R2 links share one DM NM? A. Yes. The pool of modems is available to all R2/PRI interfaces. 99.6>Q: Когда же наконец будет релиз V.90 для MICA ? >A: (Oleg Zharoff) Вышел наконец долгожданный релиз V.90 для MICA модемов, версия 2.5.1.0. http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/ mod_info/53fw_pw/53micaa/rn250x.htm 99.7>Q: А вот почему я не могу через console зайти на мою ciscу? И настройки крутил, и порты на машинках живые, а что не так - не пойму. >A: Pavel Stepchenko McFlySr@irc Проверьте марку вашей motherboard. Если это Atrend, проверьте, "родные" ли "косички"? Дело в том, что поганые(кто мне возместит душевное равновесие?! ;) ) китайцы решили, что они умнее всех, и заюзали "косички" с шахматной распайкой(как и на AT486); на остальных же MB - прямая распайка. Если не ATREND - все равно проверьте порты на целостность, так как cu по умолчанию имеет Xon/Xoff и вообще :) Убеждаемся, что на cuaa0(1) не висит (m)getty, пускаем cu -l /dev/cuaa0(1), и наслаждаемся жизнью :) Thanks for support: CGHost, Fifo, Jimson, Lee7, Mdh, ReedCat, vul. 99.8>Q: Тут проблема - кто знает как выставить номер сети у Hовелльного клиента ? Hачал бить сетку на VLANы - и возникли проблемы. MS работает нормально, а Hовельный клиент не хочет. >A: (Serge Turchin) Прописать spantree portfast на портах Каталиста. 99.9>Q: Кто-нибудь знает, как быть с утерянным паролем на 1020? >A: (Gleb Pijov) Question: How do you recover lost passwords on a Cisco 1020? Answer: As the Cisco 1020 is rarely physically secured, password recovery is done by calling Cisco and providing a system generated CHALLENGE. Using the override program, the support engineer can provide a one-time password to use to get into enable mode. Then, follow these steps: 1.Customer: Put up dip switch 1 and apply power. You should see "Console Username:". 2.Customer : Login with Username "enable" and Password "override". It will print a CHALLENGE. 3.Cisco runs the override program and prints a RESPONSE. 4.Customer: On the 1020, log in as "enable" and give the RESPONSE as the password. That will get you the # prompt, then you can do a wr t to see the current enable password. Or, you can do a config t and reset the enable password.
NN. Заметки на полях.
Sergey Trofimovsky - [44] PPP per-user timeouts explained http://www.employees.org/~dpeng/per_user_timeout.htm Кстати говоря, начиная с 11.3(8)T (или AA :-) timeouts уже и в PPP/PAP работают.Без извратов в vprofiles etc. Dmitriy Yermakov - где-то начиная с 11.3(5)T появилось ppp authorization per interface теперь можно отключать авторизацию на leased line с enc ppp Serge Turchin - В 12.03T появился X.25 over FR... Vladislav Nebolsine - Hу, а подробнее об этой опции можно прочитать [45] здесь http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/1 20t3/x25anxg.htm Dmitriy Yermakov - [46] требования к объему памяти http://infoblast.comptek.ru/cpqrg/cpqrg2.htm#xtocid2097032 [47]Cisco-on-line Conference on Comptek http://online.comptek.ru/cisco/index.html Martin McFlySr [48] Cisco Year 2000 Product Compliance URL http://www.cisco.com/warp/public/cc/cisco/mkt/gen/2000/prodlit/cptbl_ov.htm Dmitriy Yermakov - Проблемы с Zelax M115 на связке cisco-unix, решение от Игоря Николаева - [49]http://knot.pu.ru/faq/pppd.html References 1. mailto:[email protected] 2. http://cube.sut.ru/~dyer/faq/cisco.html 3. ftp://ftp.east.ru/pub/inet-admins/cisco.txt 4. file://localhost/var/home/dyer/public_html/faq/cisco.html#0 5. file://localhost/var/home/dyer/public_html/faq/cisco.html#1 6. file://localhost/var/home/dyer/public_html/faq/cisco.html#2 7. file://localhost/var/home/dyer/public_html/faq/cisco.html#3 8. file://localhost/var/home/dyer/public_html/faq/cisco.html#4 9. file://localhost/var/home/dyer/public_html/faq/cisco.html#5 10. file://localhost/var/home/dyer/public_html/faq/cisco.html#6 11. file://localhost/var/home/dyer/public_html/faq/cisco.html#7 12. file://localhost/var/home/dyer/public_html/faq/cisco.html#8 13. file://localhost/var/home/dyer/public_html/faq/cisco.html#9 14. file://localhost/var/home/dyer/public_html/faq/cisco.html#10 15. file://localhost/var/home/dyer/public_html/faq/cisco.html#11 16. file://localhost/var/home/dyer/public_html/faq/cisco.html#12 17. file://localhost/var/home/dyer/public_html/faq/cisco.html#99 18. file://localhost/var/home/dyer/public_html/faq/cisco.html#NN 19. http://www.cisco.com/ 20. http://www-europe.cisco.com/ 21. http://www.clark.net/pub/rbenn/cisco.html 22. http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html 23. http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html 24. http://www.deol.ru/~bog/work/cisco_access.html 25. http://www.cisco.com/warp/public/700/tech_configs.html 26. http://www.primenet.com/~web/router/cisco-configuration.html 27. http://www.parkline.ru/Library/koi/CISCO/ 28. http://www.easynet.de/tacacs-faq 29. http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt 30. ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt 31. http://www.cisco.com/warp/public/458/index.shtml 32. http://info.east.ru/win/inetadm.html 33. http://www.sunshine.dp.ua/os/reports/ciscofaq.html 34. http://www.opennet.me/base/cisco 35. http://www.cisco.com/warp/public/732/netflow 36. http://www.auckland.ac.nz/net/NeTraMet 37. http://www.caida.org/Tools/Cflowd 38. http://cube.sut.ru/~dyer/faq/mdm3640t.inf.txt 39. http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll.html 40. http://squid.nlanr.net/Squid/FAQ/FAQ-17.html 41. ftp://ftpeng.cisco.com/pub/tacacs 42. ftp://ftp.east.ru/pub/inet-admins 43. ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs/tac+ia-0.96pre6.tgz 44. http://www.employees.org/~dpeng/per_user_timeout.htm 45. http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/x25anxg.htm 46. http://infoblast.comptek.ru/cpqrg/cpqrg2.htm#xtocid2097032 47. http://online.comptek.ru/cisco/index.html 48. http://www.cisco.com/warp/public/cc/cisco/mkt/gen/2000/prodlit/cptbl_ov.htm 49. http://knot.pu.ru/faq/pppd.html

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру