) 5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ? >A: (Alex Bakhtin) Hекоторое время назад мне понадобился шейпер на BVI интерфейсе в связи с чем я достаточно серьезно занимался этой проблемой. Итак. 1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии. 2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это как раз причина того, что шейпер на группу асинков через policy-route работает) 3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и Tunnel) unsupported by Cisco. То есть официально его нет. То, что он раньше был - это баг такой в парсере конфигов/командной строки, который позволял его включать. Я открывал по этому поводу кейс в циске - мне предложили послать реквест на фичу. Так что, боюсь, про замечательный способ шейпить на лупбаке придется забыть если используется 11.3 или 12.x:-(( 5.6>Q: Как зажать фтп ? >A: (Alexander Kazakov) В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает. фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке. как обещал - pабочий конфиг: === Cut === interface Serial2/0 description xxx XXX ip address aaa.bbb.ccc.ddd 255.255.255.0 no ip route-cache no ip mroute-cache bandwidth 128 ipx network B021 ipx accounting priority-group 2 traffic-shape group 191 32000 8000 8000 1000 ! access-list 191 permit tcp any any eq ftp access-list 191 permit tcp any any eq ftp-data priority-list 2 protocol ip medium list 101 priority-list 2 protocol ipx low priority-list 2 protocol ip high tcp telnet priority-list 2 protocol ip high udp snmp priority-list 2 protocol ip high tcp echo priority-list 2 protocol ip high udp echo ===========================================================

6. Routing

=========================================================== 6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками, один через serial, второй через async, оба линка по выделенках. В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую линию. То есть надо, что бы бакап поднимался только тогда когда ОБА линка пропадут. >A: (Vasily Ivanov) ip route <адpес куда надо попасть> <маска> <адpес на коммутиpуемом int.> 216 Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы. 6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом на Ethernet ppp-линки с маской /32, а не аггрегатировала их в подсеть. >A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky router rip version 2 ! просто полезно redistribute static subnets no auto-summary ! Тоже не помешает redistribute connected subnets 6.3>Q: OSPF, RIP >A: (Alex Bakhtin) router ospf 10 redistribute connected metric 1 subnets route-map only_public_net redistribute static metric 1 subnets route-map only_public_net redistribute rip network 194.186.108.0 0.0.0.63 area 0 ! router rip version 2 redistribute connected route-map only_public_net redistribute static route-map ony_public_net redistribute ospf 10 metric 4 redistribute ospf 200 metric 4 network 194.186.108.0 neighbor 194.186.108.10 neighbor 194.186.108.138 ! Разумеется, стоит ip classless и ip subnet-zero. 6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера) то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться. Почему это и как от этого избавиться. >A: (Basil (Vasily) Dolmatov) У провайдера стоит route на весь ваш класс C. В следующей (вашей) Cisco прописаны только routes, которые она выяснила из адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное роутится по default route, то есть на провайдера. Как этого избежать? В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной командой: int Null0 ip unreachables Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим, что сеть класса C - 193.193.193.0/24) ip route 193.193.193.0 255.255.255.0 Null 0 100 В этом случае, если адрес используется, и route на него известен Cisco, то именно этот route и будет активен (поскольку его метрика меньше), если же адрес неизвестен, то активным станет route на Null0 и Null0 ответит на пришедший пакет icmp !H. То есть, никакого пинг-понга на канале уже не будет. Кстати, рекомендуется еще прописать такие же routes для private-networks, это предотвратит их случайное выбрасывание в сторону провайдера. ip route 10.0.0.0 255.0.0.0 Null0 100 ip route 172.16.0.0 255.240.0.0 Null0 100 ip route 192.168.0.0 255.255.0.0 Null0 100 6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы каждая сеть ходила по своему каналу ? >A: (Dmitriy Yermakov) policy-routing, пример есть на CD. Для примера ( в очень простом случае ) access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any route-map XXXX permit 10 match ip address 110 set default interface Serial 0 route-map XXXX permit 20 match ip address 111 set default interface Serial 1 int eth 0 ip policy route-map XXXX 6.6>Q: Не поделится ли кто-нибудь URL или просто секретом запуска OSPF между Gated и Cisco ? >A: (Alex Bakhtin) В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы. Лечится выставлением соответствующих интервалов в gated. P.S. (DY) в последних GateD может и поправили, deb ip ospf поможет выяснить. >A: (Basil (Vasily) Dolmatov) Ospf yes { backbone { authtype none; interface aaa.bbb.ccc.ddd cost 1 { retransmitinterval 5; transitdelay 1; priority 0; hellointerval 10; routerdeadinterval 40; }; }; }; import proto ospfase { ALL ; }; export proto ospfase type 1 { proto ospfase { ALL metric 1; }; proto static { All metric 1; }; proto direct { ALL metric 1; }; }; 6.7>Q: Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0 Как мне исключить его из ospf'ных анонсов? Убрать redistribute static - не предлагать ;) >A: (Dmitry Morozovsky) 1. Убрать default-information originate always, или заменить его на default-information originate , если таки нужно его куда-то анонсить 2. Отфильтровать ;) distribute-list out [interface name] access-list permit 0.0.0.0 0.0.0.0 6.8>Q: Не мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки зрения практики (с небольшим примерчиком), что такое stubby areas и в каких случаях их введение оправдано? Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера? >A: (Alex Mikoutsky), прислал (Oleh Hrynchuk) В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby. Про последние две Халлаби мог и не написать. Stub - это такая ария, роутерам в которой не нужно знать, куда кидать пакеты, предназначенные external адресам. Заметь - только external, т.е. тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов. Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой - вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1 default-cost где ария 1 - типа stub. Все остальные маршруты, приходящие из других арий, кроме external будут анонсироваться. Totally stub и Not-so-stubby - это специфические цисочные прилады, помогающие фильтровать также анонсы маршрутов из других арий типа interdoman (totally stub), однако, только в том случае, если в этой тотально тупиковой арии нет ни одного external маршрута. Чтобы преодолеть последнее ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В последних случаях в арию вообще будет анонсироваться только дефолт по команде default-information originate. Так же, как и в предыдущем случае, ASBRов может быть несколько. Я понятно написал? [03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется, чтобы дружили по frame-relay и ospf. >A: (Sergey Y. Afonin) Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0 Фрагмент конфига ARN (as-boundary-router true к делу не относится, он говорит то том, что роутер может редистрибутить все, что есть и не зафильтровано специально; если false - то редистрибутится только только ospf): ospf router-id xxx.xxx.xxx.234 as-boundary-router true area area-id 0.0.0.0 back back serial slot 1 connector 1 cable-type v35 bofl disabled promiscuous enabled service transparent circuit-name S11 frame-relay dlcmi management-type none back default-service pvc dlci 16 vc-state active back ip address xxx.xxx.xxx.218 mask 255.255.255.252 address-resolution arp-in-arp ospf area 0.0.0.0 mtu 1480 back arp back back back back Фрагмент конфика 3640 (тут тоже лишнее есть, правда): ! interface Serial2/0 ip address xxx.xxx.xxx.217 255.255.255.252 ip access-group nasprotect out ip directed-broadcast encapsulation frame-relay ip ospf network broadcast no ip mroute-cache no keepalive no fair-queue frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF ! router ospf 13227 router-id aaa.aaa.aaa.234 redistribute connected subnets redistribute static subnets network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0 ! Под управлением BayRS у Nortel работают так же ASN и роутеры серии BN, та что, полагаю, и для них подойдет. ===========================================================

7. TACACS,RADIUS,AAA

=========================================================== 7.1>Q: Где взять tacas-plus ? В исходниках ? >A: (Dmitriy Yermakov) Хором :)) ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригинальный от Cisco (ls там не работает, сначала get README, потом get то, что нужно) Недавно там был - ls работает. ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный pppd теперь отдельно от tac+ia, но рядом - tacpppd [08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ? http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания) Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98 Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита, может быть backup-сервером, работать с несколькими CISCO, ведет группы по привилегиям и т.д. Полная версия за деньги или на варезах ;))) 7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если юзер первый раз неправильно ответил на login/password то сразу сделать hangup а не спрашивать его еще и еще. Все равно в большинстве скриптов это не предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command Summary" успеха не принесло. Может это в такаксе надо концы искать? >A: (Alexey Kshnyakin) conf t; tacacs-server attempts N 7.3>Q: Как снимать/считать статистику по интерфейсам ? >A: (Dmitriy Yermakov) считать можно так conf t int X ip accounting разрешить rsh на киску, примерно так ip rcmd rsh-enable ip rcmd remote-host enable и, по крону :) /usr/bin/rsh cisco clear ip accounting /usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"` /usr/bin/rsh cisco clear ip accounting checkpoint Поскольку возникли вопросы, то еще вариант. >A: (Konstantin D. Myshov) 1) Скрипт: #!/bin/sh #[skip] rsh -l loger cisco.domain.adr clear ip accounting rsh -l loger cisco.domain.adr sh ip accounting checkpoint #[skip до конца скрипта :-)] 2) Hа киске говоришь: username specloger privilege 8 password 0 plane_text_password ! Пароль зашифруется и через password 7 показываться будет по sh ru ip rcmd rsh-enable ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8 privilege exec level 8 show ip accounting checkpoint privilege exec level 1 show ip privilege exec level 8 clear ip accounting P.S. (Andrey Kuksa) kuksaa@chph.ras.ru включить бы еще no ip rcmd domain-lookup P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста, с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает. no ip rcmd domain-lookup эту проверку выключает. По умолчанию - включено. P.P.P.S. см также 0.4>Q: 7.4>Q: Как заменить "Username:" на "login:" ? >A: (DY) Существует 2 варианта - 1. В tac+ia можно переопределить этот prompt. 2. aaa authentication username-promt [03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error >A: (Alex Bakhtin) debug ip tcp rcmd [14.08.2000] 7.6>Q: не работает aaa authentication banner "..." при использовании tacacs или radius для аутентикации >A: (Alexandre Snarskii), прислал (Vladimir Kravchenko) попробовать использовать banner login "..." [08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты. >A: (DY) закрываем тему ifcico. tacacs.conf group = fido { after authorization "/usr/local/tacplus/emsi $user $port" login = none service = exec { } } user = \*\*EMSI_INQC816 { member = fido } user = \*\*EMSI_INQC816q { member = fido } user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido } cat /usr/local/tacplus/emsi #!/bin/sh if [ "X$2X" = "Xtty3X" ] then echo noescape=true echo autocmd="telnet host_1 60179 /stream" else echo noescape=true echo autocmd="telnet host_2 60179 /stream" fi exit 2 [27.12.2000] 7.7>Q: Как при аутентикации на радиусе пользователю назначить in-out ip access-list на его интерфейсе ? >A: (Michael Korban) Framed-Filter-Id="blabla.in" Framed-Filter-Id="blabla.out" ===========================================================

8. Memory

=========================================================== [2000.10.12] 8.0> >A: (Alex Bakhtin) Объем памяти, опpеделенный IOSом показывается в выводе команды sh ver в виде двух чисел MEM1/MEM2, где MEM1 - это объем process memory а MEM2 - это объем IO memory. p.s. (DY) for example 6144K/2048K - всего 8Mb 126976K/4096K - всего 128Mb 8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один не подходит. :-( >A: (Vasily Ivanov) Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать: Размеp Оpганизация 68 67 66 11 4Mb 512k*8/9 X X X X 4Mb 1M*2/4/16/18 - X X - 8Mb 2M*8/9 - X - X 16Mb 2M*8/9 X X - X 16Mb 4M*2/4/16/18 - X - - Hаны 69 70 50ns X X 60ns - - 70ns X - Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] - свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не pаботают !!! Также как и EDO RAM. NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда. >A: (Leonid Kirillov) От себя добавлю маленькую попроавку: 1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке; 2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна пятая микросхеми памяти. Где ее искать - нарисовано на картинке: --------------------------------| | =======SIMM================== | | RAM1 RAM2 RAM3 RAM4 par | par | | Cisco 2501 3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб памяти из 32 (очень было нужно:-) Работает нормально. >A: (Kirill Osovsky) Еще немного о SIMM'ах. Для 1600 - четность нежелательна - работать они будут, но тогда отвалится on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как дуал банк, но работать 3620 с ним не будет (не положено по инструкции) 3640 - работает с дуал банк. >A: (Dmitry Morozovsky) Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640 при постановке четного количества одинаковых симмов переходит в 64разрядный режим, что увеличивает производительность, но также увеличивает и расход памяти в связи с alignment. P.S. (Basil Dolmatov) 3620 понимает только FPM. 3640 понимает и EDO тоже. 8.2>Q: Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в 2600 стоят. Или где их можно купить? За две тонны баксов не предлагать. >A: (Dmitry Morozovsky) Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать память у практически любого дилера Micron, Transcend, Kingston. У этих -- просто по каталогу. P.S. Это же относится и к MC3810. [04.07.2000] 8.3>Q: А не подскажет ли кто-нибудь, какая SIMM-память подходит к серии 4000 (конкретнее, 4500M+) и чего на ней пропаять? Имеется в виду: edo/fpm, четность, паритет, число чипов. >A: (Alexander Voropay) Для 4500 подходит та же самая память, что и для 2500, и FLASH и DRAM. Packet DRAM та же самая, что и System DRAM, и чем больше тем лучше :-) А конкретно, 72-pin SIMM, NoEDO (FPM), real Parity. Обязательно должны стоять перемычки ID. Лучше брать -60ns хотя для System DRAM подойдет и -70ns. ===========================================================

9. NTP, TZ

=========================================================== 9.1>Q: Как правильно выставить timezone и синхронизировать время на киске >A: (Vasily Ivanov) вот пpимеp для Омска (UTC+6): clock timezone OMT 6 clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00 И еще: 1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено коppектно, если же он находится в пpоцессе подведения своих часов, то циска будет ждать окончания этого пpоцесса. 2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного. >A: (Alec Voropay) для Москвы clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00 9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером и быть самой ntp-сервером ? >A: (Maksim Malchuk) ntp source interfaceX ntp master 3 ntp server aaa.bbb.ccc.ddd ntp server eee.fff.ggg.hhh ntp server iii.jjj.kkk.lll P.S. (Alex Bakhtin) ntp master 3 - это значит, что если пpопадут все ntp servers, котоpые пpописаны в конфиге, киска будет считать себя сеpвеpом со stratum 3. P.P.S. (Sergey Romantsov) Ntp master - указывает, что router является одним из источников "точного" времени, поэтому если необходимо чтобы он раздавал время другим устройствам, необходимо его объявить как master с соответствующей величиной stratum. stratum=1 : это атомные часы stratum=2 : усторйство непосредственно подключено к атомным часам stratum=3 : устройство связано с устройством ( см выше) и так далее... до 15. stratum=16 : устройство не является авторизованным источником времени. ===========================================================

10. NAT

=========================================================== 10.1>Q: Можно как-нибудь сделать на киске 2511 с IOS 11.3, чтобы все соединения по FTP, WWW с локальной сетки (имеющей public интернет адреса) устанавливались с адреса скажем 62.244.63.114, это связано с тем, что при установлении соединения с этого адреса пакеты возвращаются через спутник. >A: dimka@spy.ints.net (Dmitry Aksyonov) точно для этого случая: [..] ip nat inside source list 111 interface Loopback4 overload [..] interface Loopback4 ip address 62.244.63.162 255.255.255.255 [..] interface Ethernet0 ip nat inside [..] interface Serial0 ip nat outside [..] access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp-data access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq www остальные порты по вкусу ;) посмотреть что получается - sh ip nat tra 10.2>Q: Есть две сетки: 192.Х.Х.0 и 193.Х.Х.80/28 и киска 2509 Hужно включить NAT, чтобы юзера из 192... сетки ходили в 193... . Интересует кусок(ки) конфига киски, только работающий и подробный. >A: (Eugene A. Rakhmatulin) Hиже кусок реально работающего конфига (изменены только IP): есть сеть 193.193.193.224/29, которую дал провайдер и внутренняя сеть 192.168.1.0/24. Hа трансляцию всех внутренних адресов, кроме 192.168.1.2 выделяется адрес 193.193.193.227, а на 192.168.1.2 записывается статическая трансляция адреса 193.193.193.230. cs-2501# show running-config [ .. ] ip nat pool one 193.193.193.227 193.193.193.227 netmask 255.255.255.248 ip nat inside source list 1 pool one overload ip nat inside source static 192.168.1.2 193.193.193.230 [ .. ] ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip broadcast-address 192.168.1.255 ip nat inside [ .. ] ! interface Serial1 description Link to Provider ip address 193.193.193.226 255.255.255.248 ip nat outside [ .. ] access-list 1 permit 192.168.1.0 0.0.0.255 10.3>Q: Провайдер выдал один реальный адрес (вместо бывшего ранее блока адресов) и нужно в течении переходного периода (3 дня) оперативно перенастроить Cisco 2509 для маршрутизации в следующей конфигурации: Ethernet - соединяется напрямую единственным реальным адресом с маршрутизатором провайдера; Serial1 - смотрит (через выделенку) в одну физическую сеть(~20 компьютеров+программный маршрутизатор); Serial2 - смотрит в другую(~10 компьютеров). >A: (Ilya Geldiev) ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat inside source list 101 interface Async8 overload ' ip nat inside source static tcp {Ethernet0-ip} 80 {Async8-ip} 80 extendable ' не более чем проброс веб-запросов во внутреннюю ЛАH ! interface Ethernet0 description connected to internal LAN ip nat inside ! interface Async8 description connected to ISP ip nat outside ! interface Async9 description connected to internal Remote Access dialer-group 1 ! interface Group-Async1 description connected to Dial-inPCs_mobile ip nat inside ! 10.4>Q: Впустить обратно с Inet-а в локалку. Скажем для почты -- мой цисковский адрес с портом 25 пробросить в локальный сегмент на мой почтовик ? >A: CoreDumped@CoreDumped.null.ru ip nat inside source static tcp int.ter.nsl.addr 25 ext.ter.nal.addr 25 extendable no-alias ===========================================================

11. Telco, ISDN

=========================================================== [20.10.2000] 11.0> Разборки с ISDN Layer 1,2. Компиляция нескольких вопросов и ответов. (Gosha Zafievsky) Вообщем все смотреть по доке. Cisco по умолчанию встает как user-side device. Если Layer 1 not UP - проверить _досконально_ все кабели и соединения, смотреть sh controller e1 XX на предмет наличия ошибок. Ошибки могут возникать только в случае непопадания в установки crc/no-crc, другие варианты встречаются крайне редко. Как только ошибки на контроллере пропадут, Layer 1 обычно становится ACTIVE. Выставить правильно isdn switch-type Если Layer 2 TEI_ASSIGNED - выставить правильно network side, должно быть MULTIPLE_FRAME_ESTABLISHED, не верьте на слово телефонистам :) Если с другой стороны тупое железо, не умеющее NETWORK-SIDE, поставить IOS 12.1.3T - там появилось isdn protocol-emulate network Как только Layer 2 MULTIPLE_FRAME_ESTABLISHED - все должно работать. В клинических случаях не поднятия Layer 2 - deb isdn q931 на бочку ближайшему гуру. 11.1>Q: AS5300 и Ericsson MD-110. >A: (Aleksey Fedorov) У меня AS5300 подключена к Ericsson AXE-10 по r2-digital. В моем случае чтобы все было хорошо нужно сказать: cas-custom 0 debounce-time 10 seizure-ack-time 10 country itu use-defaults >A: (DY) работает вот так, но со станцией долго мучались. controller E1 1 clock source line secondary 1 pri-group timeslots 1-31 ! interface Serial1:15 isdn switch-type primary-net5 isdn incoming-voice modem isdn bchan-number-order ascending isdn sending-complete ! 11.2>Q: 2610 никак не хочет звонить на Definity, при звонке с Definity BRI поднимается и сразу падает. >A: (Gosha Zafievsky) Hа киске isdn switch-type basic-net3, в Definity этот BRI надо описать как data module или trunk, но не как WCBRI station. Country protocol : etsi. 11.3>Q: isdn caller number, AS5300, Alcatel S12, ISDN PRI. >A: "Victor L. Belov" interface Serial0:15 isdn switch-type primary-net5 isdn protocol-emulate user isdn incoming-voice modem isdn sending-complete и они приходят. ios 12.0.4-XH [13.06.2000] 11.4>Q: Имеем 3640 - E1R2 - AXE 10. >A: (Vladimir A. Golovnin) > controller E1 0/0 > framing NO-CRC4 > ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled > cas-custom 0 > debounce-time 10 > seizure-ack-time 10 > dnis-digits min 1 max 2 > ani-digits min 3 max 6 > description First E1 line : connected to port 1 У меня настроено так: controller E1 0/0 framing NO-CRC4 ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled cas-custom 0 country easteurope debounce-time 10 release-guard-time 150 seizure-ack-time 2 dnis-digits min 1 max 3 ani-digits min 0 max 3 answer-guard-time 40 ani-timeout 1 Вроде работае, но кривенько как то. Работало еще кривее когда seizure-ack-time = 8, а при 10 и выше вооще трубку не брала. P.S. (Gosha Zafievsky) VG> country easteurope Вот с этим - поаккуpатнее. Я бы для начала поставил country itu use-defaults. R2MFC в Cisco - вещь в себе... 11.5>Q: Возникла следующая необходимость - связать по ISDN две железки - Zyxel Prestige-100 (это ISDN-роутер такой) и Cisco 2522CH. Совершенно не получается это сделать. Звонить должен Zyxel этот самый, ну так он звонит, удалось даже добиться authentification по протоколу pap, но протокол не поднимается. Я так понимаю протокол дожен подняться на BRI0:1 или BRI0:2, а она не дает их конфигурить по отдельности, а если сказать что-то про LeasedLine - то не отвечает на звонки. Как и что надо ей сказать, чтобы получить от этого Zyxelя 64 или 128 К по ДиалАп - ISDN ? >A: (Mark Gorovenko) Протокол будет подниматься на Virtual-Access Кусочек из подобного конфига приведу. В нем много лишнего, было сделано для того чтобы можно было звонить в разные места, это можно выкинуть. interface Virtual-Template1 ip unnumbered Ethernet0 no ip directed-broadcast autodetect encapsulation ppp peer default ip address pool default no fair-queue ppp authentication chap pap callin ppp multilink ! interface BRI0 ip unnumbered Ethernet0 encapsulation ppp no ip route-cache bandwidth 128 dialer pool-member 1 autodetect encapsulation ppp isdn incoming-voice modem 64 isdn answer1 xxx isdn answer2 xxx isdn calling-number xxx peer default ip address pool default no cdp enable ppp authentication chap pap callin ! interface Dialer0 ip address xxxx encapsulation ppp bandwidth 64 dialer remote-name xxx dialer idle-timeout 30 dialer string xxx dialer load-threshold 1 either dialer pool 1 dialer-group 1 autodetect encapsulation ppp v120 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! interface Dialer1 ip unnumbered Ethernet0 encapsulation ppp bandwidth 64 dialer remote-name xxxx dialer idle-timeout 30 dialer wait-for-carrier-time 15 dialer string xxxxx dialer load-threshold 1 either dialer max-call 4 dialer pool 1 dialer-group 2 peer default ip address xxx no cdp enable ppp authentication chap pap callin ! ip local pool default xxx ip classless ip route 0.0.0.0 0.0.0.0 xxxxx ip route xxxxxxxx 255.255.255.255 Dialer1 ip route xxxxxxxx 255.255.255.255 Dialer0 access-list 11 permit any access-list 100 permit ip any host xxxxxx virtual-profile virtual-template 1 dialer-list 1 protocol ip list 11 dialer-list 2 protocol ip list 100 =========================================================== 13. SNMP =========================================================== 13.1>Q: Ребут киски по snmp ? >A: (Oleh Hrynchuk) snmp-server system-shutdown and after that.... snmpset -c community -t 70 ip.addr.of.router .1.3.6.1.4.1.9.2.9.9.0 i 2 13.1>Q: Download cisco config via SNMP. >A: Прислал (Oleh Hrynchuk) Using SNMP and the appropriate OID .1.3.6.1.4.1.9.2.1.55, postfix the IP address as the index for the OID. Use this "OID" as a string set value. The string value will be the name of the file. snmpset .1.3.6.1.4.1.9.2.1.55.10.10.20.20 string "" The router will reward you with a nice log message and the file should appear on the tftp server (in this example, 10.10.20.20). Be careful as some UN*X tftp servers will not create files, but can only write to existing files (little security precaution). A much more interesting exercise is to get a router to read a config from a tftp server using only snmp...but we'll cover that some other time. Tod Daniels Greymatter, Inc. [17.01.2001] >A: (Joe Hishon) I use a UNIX shell script. You need to have a tftp server also running. For example if your tftp server is at 192.168.1.1, and your target router is IP "$IP" and read-write community "$RW" then the important lines are: 'wr mem' snmpset -c $RW $IP .1.3.6.1.4.1.9.2.1.54.0 integer 1 'wr net' snmpset -c $RW $IP .1.3.6.1.4.1.9.2.1.55.192.168.1.1 octetstring routername-confg for COS switches... 'wr net' snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.1.0 octetstring 192.168.1.1 snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.2.0 octetstring routername-confg snmpset -c $RW $IP .1.3.6.1.4.1.9.5.1.5.4.0 integer 3 =========================================================== 14. Cables =========================================================== 14.1>Q: Слышал, что есть кабель для соединения двух цисок DB60M <-> DB60M но нигде на cisco.com не смог его найти ? >A: (Yuri Yuferev) http://www.pacificable.com/PicFrames/CABMMXHD60PicFrame.htm? =========================================================== 15. TROUBLESHOOTING =========================================================== ты собираешьсф "это" лечить??? :) показывать надо - "sho mem" ;) в FAQ надо писать, что память либо кончилась, либо отфрагментировалась.. :) лечить можно разными способами, в зависимости от реальной причины... начиная от банальной добивки памяти или выключения яункций, которые данный кошак с данной памятью не тянет, продолжая оптимизацией функций, жрущих память с применением головы, и заканчивая сменой IOS на тот, в котором ... данный конкретный memory leak устранен (или еще не внесен :) I/O mem в 25-й серии _всегда_ 2 мега... :) ===========================================================

97. Software

=========================================================== Здесь ссылки на различный софт для Cisco и не только. Некоторые могут дублироваться из других разделов. Accounting ipaccounting ipanalize ipacc from ss23 Yura Pismerov http://www.mcs-cityline.net/~lf/ctm/ http://www.ts.infn.it/computing/IPaccounting/ http://linux.uatel.net/soft/iptrafsnmp/iptrafsnmp.phtml NetFlow [27.12.2000] http://www.auckland.ac.nz/net/NeTraMet http://www.caida.org/Tools/Cflowd IPMeter OSU flow-tools NFC/java by John Gladkih MONITORING mrtg rrdtool ROUTING GateD Конфиги - snapshot GNU Zebra mrt TACACS,RADIUS [27.12.2000] ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригина льный от Cisco ftp://ftp.east.ru/pub/inet-admins ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs http://www.nttacplus.com - TACACS for NT cistron livingston merit freeradius xtradius radius by vl TUNNELs [27.12.2000] for FreeBSD (просто как-то нашел) ftp://ftp.sut.ru/pub/dyer/tunnel (nos-tun есть в самой системе) (Alexander A. Karpoff) - http://mike.spottydogs.org/projects/gre-tun TOOLS dialout subnet calculator tftpd for !nix ===========================================================

98. IOS Black List/White List/Recommendations

=========================================================== [14.06.2000] 12.0(5)Tx. Добpый совет. Выкиньте это оно для использования _совеpшенно_ не пpигодно. Alex Bakhtin [15.06.2000] 3640 12.0(4)T - CEF глючный. Сильно. Dmitri Kalintsev [05.09.2000] Vladislav Nebolsine 12.1 (без буковки) - это проверенная и обкатанная 12.0Т (с буковкой), в которую перешли все ее фичи. А в 12.1Т (с буковкой) добавлены новые фичи (и поддержка новых платформ), которые со временем перейдут в 12.2. Есть фичи, которые не вошли в 12.1, так как были не в 12.0Т, а в 12.0XK. Hапример, поддержка Q.SIG, которая была в 12.0(5)XK и 12.0(7)XK), перешла не в 12.1(1), а в 12.1(2)T. И еще ряд фич из различных не-T имаджей. Выбирать надо по потребностям (и размеру флэша) и наличию требуемых фич в имадже. Перечень фич в каждой версии есть в документации на www.cisco.com: http://www.cisco.com/univercd/cc/td/doc/product/index.htm 12.1(2a) - хорошая работающая версия ИОСа с полноценной поддержкой голоса. Не помню кто сообщал. 12.1(3)T - разные SNMP индексы на sub-if VLAN/ISL. -is- - уже не лезет в 8Mb Flash Basil (Vasily) Dolmatov - Ммм... Я не стал бы пользовать IRB в ранних версиях 11.2 mainline ;) [17.01.2001] Vladislav Nebolsine. Самый стабильный _голосовой_ IOS на сегодняшний день - 12.1(3a)XI5 [17.01.2001] в 90% софта 12.1(x)T на 7206VXR не работает export netflow ===========================================================

99. Misc

=========================================================== 99.1>Q: Как послать киске break ? 03 это скорая, 02 - милиция, а break - это не символ, а очень длинный старт-бит (c) Michael Shestyriov >A: (DY) RTFM по терминалке :) cu,tip - ~#, ~% DOS Navigator - F4 >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/61.html 99.2>Q: Как восстановить забытый (не мной, а администратором) пароль или сменить его на какой-то другой? Можно ли сделать это без потери конфигурации? >A: (Gosha Zafievsky) RTFM, конкpетно User Guide, еще конкpетнее "Recovering a lost enable password". Да. P.S. (DY) про Break - см. выше >A: (Alec Voropay) http://www.cisco.com/warp/customer/701/22.html [25.07.2000] >A: (Konstantin Gribakh) Cisco собрала все эти процедуры на одной страничке http://www.cisco.com/warp/public/474/index.shtml 99.3>Q: Сертифицировано ли в Минсвязи оборудование Cisco ? >A: (Serge Turchin) Да, номера сертификатов ОС/1-СПД-59 - ОС/1-СПД-91 http://www.amt.ru/products/cisco/certificates/index_tmp.phtml >A: (Denis Golovenko ) ОС/1-СПД-70 -- для моделей 2505/07/09/11/18 >A: (Vladislav Nebolsine) ЦИИИС было сертифицировано следующее оборудование: Маршрутизаторы Cisco 761, 765, 771, 775 1001, 1003, 1005, 1601, 1603 2501, 2503, 2505, 2507, 2509, 2511, 2512, 2514, 2518, 2520, 2522 26xx 3620, 3640 4000, 4000M, 4500, 4500M, 4700, 4700M 7204, 7206, 7505, 7507, 7513 AS5200, AS5300 MC3810 Cache Engine LDIR-410, LDIR-420 LAN коммутаторы Catalyst 1400, 1900, 2820, 29xx 3000, 3100, 3200 5000, 5002, 5500, 5505 WAN коммутаторы LightStream 1010 IGX8, IGX16, IGX32, IGX8410, IGX8420, IGX8430 BPX8600 MGX8220 Сетевые экраны Cisco PIX Firewall (3 класс защищенности по системе сертификации средств защиты информации по требованиям безопасности информации) P.S. (DY) Список соответствия оборудования и сертификатов http://www.comptek.ru/cisco/teach/certif.html [05.01.2001] >A: Ilia Zubkov - про сертификацию Catalyst На эту тему -- вот у меня на столе лежит копия письма зам. министра МинСвязи Волокитина (б/н, от 02.11.2000) в московский офис киски о том, что, мол, "На Ваш запрос о необходимости сертификации коммутаторов" типа Catalyst 1900,2900XL,3500XL,4000,6000,8500CSR "Минсвязи сообщает, что указанное оборудование не подлежит сертификации в системе "Электросвязь", и его применение не запрещает коммерческую эксплуатацию сети при установке на узлах связи для соединения оборудования во взаимоувязанной сети по протоколам Ethernet, FastEthernet, GigabitEthernet". По моему разумению, желающим в МинСвязи не должны отказывать в выдаче копии этого письма. P.S. (DY) поскольку это письмо б/н (без исходящего номера) то статус этого письма до конца не ясен. [13.06.2000] 99.4>Q: Как по названию файла опpеделить веpсию иоса, IP-only он, IP/IPX или enterprise? >A: (Serge Turchin) *-i-* - IP *-is-* - IP Plus *-d-* - Desktop *-ds-* - Desktop Plus *-j-* - Enterprise. и т.д. В 11.2 нет IP/IPX, а только Desktop, на него цена снижена в сравнении с 11.1. Суффикс - a - appn. Вообще, где-то есть на сервере расшифровка. У 1000-ных ядер система другая. n-Novell, b - Apple Talk, y - IP, q - асинхронный вариант. > И еще - на сайте для веpсий были файлы pазмеpом в 2-4pаза меньше иосов и > с > загадочным словом boot в названии - это bootstrap only? :-) У 7500, 4500-4700 нет прошитых намертво бутовых систем. Hо есть специальный т.н. bootflash в котором записана укороченная версия системы. >A: (Dmitriy Yermakov) Кажется все описано тут - http://www.cisco.com/warp/public/620/1.html 99.5>Q: Есть ли поддержка R2 для 3600 ? >A: Vladislav Nebolsine ***Hot News*** Announcing R2 support for the 3600 Digital Modems!! Hot News!!! =========== Announcing R2 support for the 3600 family of Digital Modems ================================================= The 3600 team is pleased to announce R2 support for integrated Digital Modems on the popular Cisco 3600 series platform. This feature is available with the introduction of IOS 12.0(1)T This new feature supports the use of R2 signalling with the 3600 internal digital modems, enabling high-speed (up to 56kbps) remote access for branch offices and small/mid size ISP's who utilize this specific line-signalling protocol. This announcement extends the range of connectivity options available for the 3600 Digital Modems, now supporting: PRI CAS(CT1) R2 (CE1)) By supporting this flexible range of signalling protocols , the 3600 digital modem solutions can now be deployed on a world-wide basis! A Country list and Mini Q&A follow. Countries configurable with R2 on the 3600: (this is a subset of the supported 5300 R2 countries) ================================= Argentina Australia Brazil * China * Columbia Costa Rica Eastern Europe mode supports: Croatia Russia * Ecuador (ITU and LME) Greece Guatemala Hong Kong (China & ITU Variants) India Indonesia Israel * ITU mode supports: Denmark Finland Germany Russia (ITU variant) * Hong Kong (ITU variant) South Africa (ITU variant) Korea * Malaysia * Mexico (Telmex and Telnor) * New Zealand * Paraguay Peru Philippines Saudi Arabia Note: All countries listed have been tested in house. Countries marked with a * have also been successfully tested in-country. Mini Q&A ========= Q. What is R2 ? A. R2 is a signaling system (Q.422) used by a number of countries worldwide. This signaling system runs over an E1 Carrier (2.048Mb/s), containing 32 64Kb/s timeslots, of which, 30 timeslots can be used for digi