http://www.anticisco.ru/ АнтиCISCO ru_ru http://www.anticisco.ru/forum/viewtopic.php?t=2933 Wed, 22 Feb 2012 08:53:21 +0400 Всем привет, надеюсь на вашу помощь. Пытаюсь подключиться к 3825 с помощью VPN Client 5.0.0.7, подключение не проходит. Судя по дебагу, ни одна из isakmp policy на 3825 не подходит к policy VPN Client. Насколько я понимаю, на клиенте я вообще не могу настроить policy, в чём же может быть дело? Ниже кусок дебага и кусок конфига. Заранее спасибо. Debug: Feb 22 09:16:02.355: ISAKMP (0:0): received packet from 192.168.22.32 dport 500 sport 60655 Global (N) NEW SA Feb 22 09:16:02.355: ISAKMP: Created a peer struct for 192.168.22.32, peer port 60655 Feb 22 09:16:02.355: ISAKMP: New peer created peer = 0x65124C7C peer_handle = 0x8000000A Feb 22 09:16:02.355: ISAKMP: Locking peer struct 0x65124C7C, refcount 1 for crypto_isakmp_process_block Feb 22 09:16:02.355: ISAKMP: local port 500, remote port 60655 Feb 22 09:16:02.355: insert sa successfully sa = 645C8538 Feb 22 09:16:02.355: ISAKMP:(0): processing SA payload. message ID = 0 Feb 22 09:16:02.355: ISAKMP:(0): processing ID payload. message ID = 0 Feb 22 09:16:02.355: ISAKMP (0:0): ID payload next-payload : 13 type : 11 group id : EZGROUP protocol : 17 port : 500 length : 15 Feb 22 09:16:02.355: ISAKMP:(0):: peer matches EZISAPROF profile Feb 22 09:16:02.355: ISAKMP:(0):Setting client config settings 65124D90 Feb 22 09:16:02.355: SHK_3825# ISAKMP:(0):(Re)Setting client xauth list and state Feb 22 09:16:02.355: ISAKMP/xauth: initializing AAA request Feb 22 09:16:02.355: ISAKMP:(0): Profile EZISAPROF assigned peer the group named EZGROUP Feb 22 09:16:02.355: ISAKMP:(0): processing vendor id payload Feb 22 09:16:02.355: ISAKMP:(0): vendor ID seems Unity/DPD but major 215 mismatch Feb 22 09:16:02.355: ISAKMP:(0): vendor ID is XAUTH Feb 22 09:16:02.355: ISAKMP:(0): processing vendor id payload Feb 22 09:16:02.355: ISAKMP:(0): vendor ID is DPD Feb 22 09:16:02.355: ISAKMP:(0): processing vendor id payload Feb 22 09:16:02.355: ISAKMP:(0): vendor ID seems Unity/DPD but major 194 mismatch Feb 22 09:16:02.355: ISAKMP:(0): processing vendor id payload Feb 22 09:16:02.355: ISAKMP:(0): vendor ID seems Unity/DPD but major 123 mismatch Feb 22 09:16:02.355: ISAKMP:(0): vendor ID is NAT-T v2 Feb 22 09:16:02.355: ISAKMP:(0): processing vendor id payload Feb 22 09:16:02.355: ISAKMP:(0): vendor ID is Unity Feb 22 09:16:02.355: ISAKMP:(0): Authentication by xauth preshared Feb 22 09:16:02.355: ISAKMP:(0):Checking ISAKMP transform 1 against priority 65535 policy Feb 22 09:16:02.355: ISAKMP: encryption AES-CBC Feb 22 09:16:02.355: ISAKMP: hash SHA Feb 22 09:16:02.355: ISAKMP: default group 2 Feb 22 09:16:02.355: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.355: ISAKMP: life type in seconds Feb 22 09:16:02.355: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.355: ISAKMP: keylength of 256 Feb 22 09:16:02.355: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.355: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.355: ISAKMP:(0):Checking ISAKMP transform 2 against priority 65535 policy Feb 22 09:16:02.355: ISAKMP: encryption AES-CBC Feb 22 09:16:02.355: ISAKMP: hash MD5 Feb 22 09:16:02.355: ISAKMP: default group 2 Feb 22 09:16:02.355: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.355: ISAKMP: life type in seconds Feb 22 09:16:02.355: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.355: ISAKMP: keylength of 256 Feb 22 09:16:02.355: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.355: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.355: ISAKMP:(0):Checking ISAKMP transform 3 against priority 65535 policy Feb 22 09:16:02.355: ISAKMP: encryption AES-CBC Feb 22 09:16:02.355: ISAKMP: hash SHA Feb 22 09:16:02.355: ISAKMP: default group 2 Feb 22 09:16:02.355: ISAKMP: auth pre-share Feb 22 09:16:02.355: ISAKMP: life type in seconds Feb 22 09:16:02.355: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.355: ISAKMP: keylength of 256 Feb 22 09:16:02.355: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.355: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.355: ISAKMP:(0):Checking ISAKMP transform 4 against priority 65535 policy Feb 22 09:16:02.355: ISAKMP: encryption AES-CBC Feb 22 09:16:02.355: ISAKMP: hash MD5 Feb 22 09:16:02.355: ISAKMP: default group 2 Feb 22 09:16:02.355: ISAKMP: auth pre-share Feb 22 09:16:02.355: ISAKMP: life type in seconds Feb 22 09:16:02.355: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.355: ISAKMP: keylength of 256 Feb 22 09:16:02.355: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.355: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 5 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption AES-CBC Feb 22 09:16:02.359: ISAKMP: hash SHA Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP: keylength of 128 Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 6 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption AES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP: keylength of 128 Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 7 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption AES-CBC Feb 22 09:16:02.359: ISAKMP: hash SHA Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth pre-share Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP: keylength of 128 Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 8 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption AES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth pre-share Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP: keylength of 128 Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 9 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption 3DES-CBC Feb 22 09:16:02.359: ISAKMP: hash SHA Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 10 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption 3DES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 11 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption 3DES-CBC Feb 22 09:16:02.359: ISAKMP: hash SHA Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth pre-share Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 12 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption 3DES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth pre-share Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Encryption algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 13 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption DES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth XAUTHInitPreShared Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Hash algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 3 Feb 22 09:16:02.359: ISAKMP:(0):Checking ISAKMP transform 14 against priority 65535 policy Feb 22 09:16:02.359: ISAKMP: encryption DES-CBC Feb 22 09:16:02.359: ISAKMP: hash MD5 Feb 22 09:16:02.359: ISAKMP: default group 2 Feb 22 09:16:02.359: ISAKMP: auth pre-share Feb 22 09:16:02.359: ISAKMP: life type in seconds Feb 22 09:16:02.359: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B Feb 22 09:16:02.359: ISAKMP:(0):Hash algorithm offered does not match policy! Feb 22 09:16:02.359: ISAKMP:(0):atts are not acceptable. Next payload is 0 Feb 22 09:16:02.359: ISAKMP:(0):no offers accepted! Feb 22 09:16:02.359: ISAKMP:(0): phase 1 SA policy not acceptable! (local 192.168.188.10 remote 192.168.22.32) Feb 22 09:16:02.359: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: construct_fail_ag_init Feb 22 09:16:02.359: ISAKMP:(0): sending packet to 192.168.22.32 my_port 500 peer_port 60655 (R) AG_NO_STATE Feb 22 09:16:02.359: ISAKMP:(0):Sending an IKE IPv4 Packet. Feb 22 09:16:02.359: ISAKMP:(0):peer does not do paranoid keepalives. Feb 22 09:16:02.359: ISAKMP:(0):deleting SA reason ';Phase1 SA policy proposal not accepted'; state (R) AG_NO_STATE (peer 192.168.22.32) Feb 22 09:16:02.359: ISAKMP:(0): processing KE payload. message ID = 0 Feb 22 09:16:02.359: ISAKMP:(0): group size changed! Should be 0, is 128 Feb 22 09:16:02.359: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: reset_retransmission Feb 22 09:16:02.359: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_AM_EXCH: state = IKE_READY Feb 22 09:16:02.359: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_AM_EXCH Feb 22 09:16:02.359: ISAKMP:(0):Old State = IKE_READY New State = IKE_READY Feb 22 09:16:02.359: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Aggressive mode failed with peer at 192.168.22.32 Feb 22 09:16:02.359: ISAKMP:(0):deleting SA reason ';Phase1 SA policy proposal not accepted'; state (R) AG_NO_STATE (peer 192.168.22.32) Feb 22 09:16:02.359: ISAKMP: Unlocking peer struct 0x65124C7C for isadb_mark_sa_deleted(), count 0 Feb 22 09:16:02.359: ISAKMP: Deleting peer node by peer_reap for 192.168.22.32: 65124C7C Feb 22 09:16:02.359: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL Feb 22 09:16:02.359: ISAKMP:(0):Old State = IKE_READY New State = IKE_DEST_SA Feb 22 09:16:07.727: ISAKMP (0:0): received packet from 192.168.22.32 dport 500 sport 60655 Global (R) MM_NO_STATE Feb 22 09:16:12.811: ISAKMP (0:0): received packet from 192.168.22.32 dport 500 sport 60655 Global (R) MM_NO_STATE SHK_3825# SHK_3825# Feb 22 09:16:17.879: ISAKMP (0:0): received packet from 192.168.22.32 dport 500 sport 60655 Global (R) MM_NO_STATE http://www.anticisco.ru/forum/viewtopic.php?t=2932 Wed, 22 Feb 2012 07:30:42 +0400 Этот простой вопрос постоянно всплывает и каждый раз вспоминаем какой траф для влана входящий а какой исходящий. Зачастую вопрос решается только опытным путем Хочется раз и навсегда где то поставить точку, допустим тут. И так допустим три свитча, соединены вланами sw1 с sw2 вланом5, а sw2 с sw3 вланом 6: ----------------sw1--------------------sw2--------------------sw3 клиент-------------- - интернет между свитчами по этим вланам динамичееская маршрутизация допустим ospf. Клиент делает трассу и видит в трассе хопы 1. ip-vlna2 2. ip-vlan5(sw2) 3. ip-vlan6(sw3) и так далее. Так вот вопрос: трафик от клиента в интернет для влана 6 на sw2 является входящим или исходящим? http://www.anticisco.ru/forum/viewtopic.php?t=2931 Wed, 22 Feb 2012 07:29:08 +0400 Доброго времени суток! Поставлена задача, подключить в биллинге модуль шейпирования. Клиенты - DVB-rcs терминалы. Трафик проходит через спутниковую часть и приземляется на железе вендора, далее входящий клиентский трафик заворачивается на мою циску 2821. трафик приходит на ! interface FastEthernet0/3/1 switchport access vlan 21 switchport trunk allowed vlan 1,2,114,301,302,1002-1005 switchport mode trunk ! ! interface Vlan301 description #-- ingress for dvb-rcs clients ip address 172.18.3.114 255.255.255.252 ip flow ingress load-interval 30 ! interface Vlan302 ip address 172.18.3.142 255.255.255.252 ip nat outside ip virtual-reassembly load-interval 30 ! возвращается обратно к вендору и уходит в паблик. Каким образом осуществить шейпирование для каждого отдельного терминала? з.ы. Изначально 2821 была настроена другим человеком http://www.anticisco.ru/forum/viewtopic.php?t=2930 Tue, 21 Feb 2012 23:18:39 +0400 Доброго времени суток, Коллеги! Дано: Аплинки - 2шт; Транзитная АС - 1шт; Клиенты - несколько; Необходимо: на каждого клиента назначать в какой аплинк транслировать входящий трафик, дабы исключить несимметричный роутинг, и реализовать автоматический переход на резерв. На данный момент на каждого клиента назначен резервный и основной аплинк. В резервный префиксы клиента анонсятся с препендом, соответственно трафик приходит только по основному. Исходящий же трафик подчиняется общей политике, что влечет асимметричный роутинг для части клиентов. Особо не достает, но не фэншуйно как посоветуете решить проблему? http://www.anticisco.ru/forum/viewtopic.php?t=2929 Tue, 21 Feb 2012 14:49:08 +0400 Коллеги, имеем сеть access-->distribution-->internet, необходимо между distribution и Internet поставить ISA server array. Нужен совет как лучше реализовать? Есть несколько мыслей: 1) Вырезаю VLAN на портах свитчей уровня дистрибуции, подключаю к ним ISA. Будет ли работать... большой вопрос?! ПК1--->asw1--->dsw1------->ISA1---->R1-->Inet1 | l2 | hsrp | l2 | NLB unicast | l2 | ПК2--->asw2--->dsw2--------ISA2---->R2-->Inet2 2) Между dsw и ISA ставлю свитч. Думаю должно работать, но как-то не каширно получается. ПК1--->asw1--->dsw1 ISA1---->R1-->Inet1 | \ / | hsrp | asw3 | NLB unicast | / \ | ПК2--->asw2--->dsw2 ISA2---->R2-->Inet2 3) По два интерфейса на ISA смотрящих в сторону dsw, два DG, маршрутизация RIP. ПК1--->asw1--->dsw1------->ISA1---->R1-->Inet1 | \ / | hsrp | \ | NLB unicast | / \ | ПК2--->asw2--->dsw2--------ISA2---->R2-->Inet2 Вообщем все схемы не однозначны и спорны, прошу поделиться опытом или знаниями, как лучше реализовать подобную схему? http://www.anticisco.ru/forum/viewtopic.php?t=2928 Tue, 21 Feb 2012 14:03:20 +0400 Всем привет! Очередной квест образовался. Излазил вот эти ресурсы: ftp://ftp.cisco.com/pub/mibs/v2/ http://tools.cisco.com/Support/SNMP/do/ ... oidContent Но так и не смог найти решение к нескольким задачам. 1) Мониторить общее колич-во SIP соединений 2) Мониторить потоки Е1 0/1/0 и 0/1/1 (2й слот), при этом первый слот порты 0/0/0 и 0/0/1 мониторятся нормально 1.3.6.1.4.1.9.10.19.1.1.9.1.3.0.X (где X это 0 или 1) соответственно. 3) по возможности ещё колич-во одновременных на каком либо peer`e что из себя представляет устройство cisco 2921 ios:c2900-universalk9_npe-mz.SPA.150-1.M7 VWIC3-2MFT-T1/E1 (два модуля, соответственно 2й вопрос про них, порты на первом мониторятся, на втором не нашёл) PVDM3-192 http://www.anticisco.ru/forum/viewtopic.php?t=2927 Tue, 21 Feb 2012 13:54:53 +0400 Всем привет, ломаю голову который день с натом, до этого ломал голову с ipsec, потому как не мог связать эти два девайса. вобщем задача простая, сделать site-to-site ipsec с компанией слиента, у клиента стоит жунипер, на который ни попасть и не посмотреть, все там настраивает страшный жуниперовод и на все запросы мороз морозом, с ответом, что проблема в циске. Первая проблема была с установкой самого туннеля, этот админ выдал Key Management: IKE Diffie-Hellman Group: Group 5 Encryption Algorithm: AES-256 Hash Algorithm: SHA-1 Authentication Method: Preshared Aggressive Mode: NO Pre-Shared Secret :blablabla Life Time: 28800s Encryption Phase 2 (IPSec): Encapsulation: ESP Encryption Algorithm used: AES-256 Hash Algorithm: SHA-1 Life Time: 3600s я это настроил, но болт.. нет связи, вторая фаза не клеится... два дня убитого времени и серфинга интернета не чего не дал, после я втупую давай переберать алгоритмы шифрования пока не подобрал то, что этот дядя настроил на жунипере . Дядя также продиктовал со своей стороны, что он пустит к себе только сетку 10.10.10.0/27. Сети у меня другие, решил поднять просто на лупбеке и потом туда занатить свои необходимые IP. Но вот тут я уперся. Если пинговать сеть клиента подписываясь лупбеком, то все пингуется, после ната, подписываюсь своими интерфейсами(шлюзы) внутри циски, тоже пингуется, а вот уже сети за этими шлюзами недостигают длиентских сервисов, в чем бага? вот нарисовано то что есть сейчас, задача моим двум сетям попасть на сервисы клиента. http://i.piccy.info/i7/542c8dd3452470fc966d4b7ee67f9f9e/1-5-4935/1401569/a2p.jpg вот пример моего конфига interface GigabitEthernet0/0.10 description INTERNET encapsulation dot1Q 10 ip address xxx.xxx.xx.x 255.255.255.248 ip nbar protocol-discovery ip nat outside ip virtual-reassembly in crypto map IPSEC_CLIENT ! interface GigabitEthernet0/1.100 description LAN01 encapsulation dot1Q 100 ip address 172.16.0.1 255.255.255.248 ip nbar protocol-discovery ip nat inside ip virtual-reassembly in ! ! interface GigabitEthernet0/1.200 description LAN02 encapsulation dot1Q 200 ip address 172.16.0.1 255.255.255.248 ip nbar protocol-discovery ip nat inside ip virtual-reassembly in ! interface Loopback1 ip address 10.10.10.1 255.255.255.224 ip address 10.10.10.2 255.255.255.224 secondary ip address 10.10.10.3 255.255.255.224 secondary ip nat outside ip virtual-reassembly in ! ip nat inside source list TO_CLIENT interface Loopback1 overload ip nat inside source list TO_INTERNET interface GigabitEthernet0/0.10 overload ip access-list extended TO_CLIENT permit ip 172.16.0.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 172.16.1.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 172.16.1.0 0.0.0.255 any deny ip 172.16.0.0 0.0.0.255 any p access-list extended TO_INTERNET deny ip 172.16.0.0 0.0.0.255 10.20.20.0 0.0.0.255 deny ip 172.16.1.0 0.0.0.255 10.20.20.0 0.0.0.255 permit ip 172.16.0.0 0.0.0.255 any permit ip 172.16.1.0 0.0.0.255 any ! ip route 10.20.20.0 255.255.255.0 GigabitEthernet0/0.10 ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0.10 пример пингов BR#ping 10.20.20.4 source loopback 1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.20.20.4, timeout is 2 seconds: Packet sent with a source address of 10.10.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 64/64/68 ms BR#ping 10.20.20.4 source GigabitEthernet0/1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.20.20.4, timeout is 2 seconds: Packet sent with a source address of 172.16.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 64/65/68 ms BR#ping 10.20.20.4 source GigabitEthernet0/1.200 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.20.20.4, timeout is 2 seconds: Packet sent with a source address of 172.16.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 64/64/68 ms а вот если пробую это делать с сетей куда смотрят G0/1.100, G0/1.200б не чего не получается в чем затык? спасибо http://www.anticisco.ru/forum/viewtopic.php?t=2926 Tue, 21 Feb 2012 13:11:37 +0400 Помогите оживить девайс... http://www.anticisco.ru/forum/viewtopic.php?t=2923 Mon, 20 Feb 2012 14:25:24 +0400 Всем доброго дня! Подскажите, пожалуйста, кто может по моей проблеме. У нас есть Cisco Secure ACS SE 1112. На нем работает ACS версии 3.3.3.11. Старая версия. Но работает. Это самое главное. Так вот мы решили удалить один хост. Точнее даже не удалить, в переименовать. После манипуляций с GUI получили вот такое сообщение: Failed to edit XXXX. Reason: The Host no longer exists. где ХХХХХ - имя проблемного хоста. Удалить не дал. После этого создали другой хост, указав этот же адрес, но другое имя. Как бы проблемы нет. Но хотелось бы удалить этот ХХХХХ. Может кто-нибудь с таким уже сталкивался? Как удали? Создал аналогичный запрос на 'Cisco Support Community'. Пока нет ответу. С уважением. http://www.anticisco.ru/forum/viewtopic.php?t=2922 Mon, 20 Feb 2012 13:29:49 +0400 Следующий вопрос. Настроил резервное переключение каналов. Один канал имеет постоянный адрес, резервный получает по DHCP в сети 192.168.1.0/24 Каналы переключаются, но пакеты до шлюза основного канала 192.168.43.1 доходят, а вот по резервному каналу шлюз недоступен. Логи: inet#sh track brief Track Object Parameter Value 1 rtr 1 reachability Up 2 rtr 2 reachability Down inet#sh ip route Gateway of last resort is 192.168.43.1 to network 0.0.0.0 C 192.168.43.0/24 is directly connected, FastEthernet0/0 C 192.168.11.0/24 is directly connected, Vlan1 S* 0.0.0.0/0 via 192.168.43.1 inet#sh track brief Track Object Parameter Value 1 rtr 1 reachability Down 2 rtr 2 reachability Up inet#sh ip route Gateway of last resort is 0.0.0.0 to network 0.0.0.0 C 192.168.11.0/24 is directly connected, Vlan1 C 192.168.1.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 is directly connected, FastEthernet0/1 Конфиг Building configuration... Current configuration : 2148 bytes ! version 12.4 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname PSB_inet ! boot-start-marker boot-end-marker ! enable secret 5 $1$1U6Q$ZdowyXUu4BD1aqGWEUV9e/ enable password 9099867324 ! no aaa new-model ip cef ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.11.1 192.168.11.99 ! ip dhcp pool PSB import all network 192.168.11.0 255.255.255.0 dns-server 192.168.11.1 default-router 192.168.11.1 ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ip sla monitor 1 type echo protocol ipIcmpEcho 192.168.43.1 source-interface FastEthernet0/0 timeout 40 frequency 4 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 192.168.1.1 source-interface FastEthernet0/1 timeout 40 frequency 4 ip sla monitor schedule 2 life forever start-time now ! ! ! ! ! ! track 1 rtr 1 reachability delay down 2 up 5 ! track 2 rtr 2 reachability delay down 2 up 5 ! ! ! ! interface FastEthernet0/0 ip address 192.168.43.64 255.255.255.0 ip nat outside ip virtual-reassembly speed auto half-duplex no mop enabled ! interface FastEthernet0/1 ip dhcp client route track 2 ip address dhcp ip nat outside ip virtual-reassembly duplex auto speed auto no mop enabled ! interface FastEthernet0/1/0 ! interface FastEthernet0/1/1 ! interface FastEthernet0/1/2 ! interface FastEthernet0/1/3 ! interface Vlan1 ip address 192.168.11.1 255.255.255.0 ip nat inside ip virtual-reassembly ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.43.1 10 track 1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 20 track 2 ! ! ip http server no ip http secure-server ip nat inside source list 1 interface FastEthernet0/0 overload ip nat inside source list 2 interface FastEthernet0/1 overload ! access-list 1 remark CCP_ACL Category=2 access-list 1 permit 192.168.11.0 0.0.0.255 access-list 2 remark CCP_ACL Category=2 access-list 2 permit 192.168.11.0 0.0.0.255 ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password 9099867324 login ! scheduler allocate 20000 1000 end