Добрый день.

Сабж подключена проводом к коммутатору Cisco Linksys SPS224G4.
Работает в автономном режиме и раздает wifi клиентам с выходом в Инет.
Естественно, все ее клиенты получают адреса в той же сетке от внешнего роутера.

Возможно ли организовать на сабже свою раздачу адресов в своей локальной сетке (что бы у клиентов этой точки не было выхода в основную сеть), но с выходом в Инет и БЕЗ дополнительных настроек как коммутатора, к которому подключена сабж, так и внешнего роутера?
Дело в том, что роутер и коммутатор управляются извне и связываться с ними очень проблематично.

Спасибо.

На всякий случай, эта AP двухдиапазонная и поддерживает:
- Access Point
- Access Point(Fallback to Radio Shutdown)
- Access Point (Fallback to Repeater)
- Repeater
- Root Bridge
- Non-Root Bridge
- Root Bridge with Wireless Clients
- Non-Root Bridge with Wireless Clients
- Workgroup Bridge
- Universal Workgroup Bridge
- Scanner

Сейчас, как уже написал выше, AP прошита автономной прошивкой c1140-k9w7-tar.124-25d.JA1
Есть возможность прошить более новой прошивкой c1140-k9w7-tar.153-3.JD14

Доброго времени суток!
Уважаемые спецы помогите решить мою задачу
Главный офис:
Роутер CISCO ISR 4331/K9
Внутренний подсеть 10.0.120.0/24
Удаленный офис:
Роутер CISCO 891/K9
Внутренний подсеть 10.92.32.0/24
Настроил Site-to-Site VPN, сам VPN пашет, пакеты бегают, но, когда с филиального офиса пытаюсь открыть через web-браузер страничку (tcp\80) страничка не загружается. Что-то не правильность в настройках ZBF т.к если с интерфейсов главного роутера (ISR4331) снимаю членство zone-member все работает. Для теста в филиальном офисе поднял web-сервер, там все работает. В главном офисе ZBF, на филиальном роутере CBAC.
Прилагается конфиги двух роутеров.
Заранее спасибо!

Main Office Router config:
--------------------------
Building configuration...
!
Current configuration : 14897 bytes
!
! No configuration change since last restart
!
version 15.5
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
no platform punt-keepalive disable-kernel-core
!
hostname MAIN-ROUTER
!
boot-start-marker
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
aaa new-model
!
aaa authentication login default local
!
aaa session-id common
clock timezone KGT 6 0
no ip source-route
!
no ip bootp server
ip name-server 8.8.8.8

ip domain name domain.ru
!
subscriber templating
!
multilink bundle-name authenticated
!
license udi pid ISR4331/K9
!
spanning-tree extend system-id
!
redundancy
mode none
!
vlan internal allocation policy ascending
no cdp run
!
class-map type inspect match-any Outside-self_Services
match access-group name OSPF-2-self_ACL
match access-group name VPN-2-self_ACL
match access-group name MGMT-2-self_ACL
class-map type inspect match-any self-Outside_Services
match access-group name OSPF-From-self_ACL
match access-group name VPN-From-self_ACL
match access-group name MGMT-From-self_ACL
class-map type inspect match-any self-Services
match protocol ntp
class-map type inspect match-any Outside-Inside_Services
match access-group name MGMT-2-Inside_ACL
match access-group name VPN-Tunnels-Traffics_ACL
class-map type inspect match-any Users-Services
match protocol http
match protocol https
match protocol dns
match protocol icmp
match protocol ssh
match protocol smtp
match protocol echo
match protocol ntp
match protocol snmp
match protocol imap
match protocol imaps
match protocol imap3
class-map type inspect match-any Inside-self_Services
match access-group name Inside-2-self_ACL
class-map type inspect match-any self-Inside_Services
match access-group name self-2-Inside_ACL
class-map type inspect match-any Inside-Outside_Services
match class-map Users-Services
match access-group name RDP-In-2-Out_ACL
!
policy-map type inspect Outside-self_Policy
class type inspect Outside-self_Services
  pass
class type inspect self-Services
  inspect
class class-default
  drop
policy-map type inspect Inside-Outside_Policy
class type inspect Inside-Outside_Services
  inspect
class class-default
policy-map type inspect self-Outside_Policy
class type inspect self-Outside_Services
  pass
class type inspect self-Services
  inspect
class class-default
  drop
policy-map type inspect self-Inside_Policy
class type inspect self-Inside_Services
  inspect
class class-default
  drop
policy-map type inspect Inside-self_Policy
class type inspect Inside-self_Services
  inspect
class class-default
  drop
policy-map type inspect Outside-Inside_Policy
class type inspect Outside-Inside_Services
  inspect
class class-default
  drop
!
zone security Outside
zone security Inside
zone-pair security Inside-Outside source Inside destination Outside
service-policy type inspect Inside-Outside_Policy
zone-pair security Inside-self source Inside destination self
service-policy type inspect Inside-self_Policy
zone-pair security Outside-Inside source Outside destination Inside
service-policy type inspect Outside-Inside_Policy
zone-pair security Outside-self source Outside destination self
service-policy type inspect Outside-self_Policy
zone-pair security self-Inside source self destination Inside
service-policy type inspect self-Inside_Policy
zone-pair security self-Outside source self destination Outside
service-policy type inspect self-Outside_Policy
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
!
crypto isakmp key Ksdmskd8238@n$2oij&1n!d$hd@8dj33jSnd&2jd address 2.2.2.2
!
crypto ipsec transform-set set1 esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto map CMAP 1 ipsec-isakmp
description =Tunnel to Adilet-Sot=
set peer 2.2.2.2
set transform-set set1
set pfs group2
match address VPN-TRAFFIC-BRANCH-OFFICE_ACL
!
interface GigabitEthernet0/0/0
description =OUTSIDE=
ip address 1.1.1.1 255.255.255.224
no ip redirects
no ip proxy-arp
ip nat outside
ip verify unicast reverse-path
zone-member security Outside
negotiation auto
no cdp enable
crypto map CMAP
ip virtual-reassembly
!
interface GigabitEthernet0/0/1
description =INSIDE=
ip address 10.0.120.1 255.255.255.0
ip nat inside
zone-member security Inside
negotiation auto
!
interface GigabitEthernet0/0/2
no ip address
shutdown
negotiation auto
!
interface Vlan1
no ip address
shutdown
!
ip nat inside source list NAT_ACL interface GigabitEthernet0/0/0 overload
ip forward-protocol nd
no ip http server
no ip http secure-server
ip tftp source-interface GigabitEthernet0
ip dns server
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
ip access-list standard VTY_ACL
permit 10.0.120.7
deny   any
!
ip access-list extended Inside-2-self_ACL
permit ip any any
ip access-list extended MGMT-2-Inside_ACL
permit tcp any host 10.0.120.5 eq 3389
ip access-list extended MGMT-2-self_ACL
permit tcp any host 1.1.1.1 eq 22
ip access-list extended MGMT-From-self_ACL
permit tcp host 1.1.1.1 eq 22 any
ip access-list extended NAT_ACL
deny   ip 10.0.120.0 0.0.0.255 10.92.32.0 0.0.0.255
permit ip 10.0.120.0 0.0.0.255 any
ip access-list extended OSPF-2-self_ACL
permit ospf any host 1.1.1.1
ip access-list extended OSPF-From-self_ACL
permit ospf host 1.1.1.1 any
ip access-list extended Outside-2-self_ACL
permit tcp any any eq 22
permit ospf any any
permit eigrp any any
permit tcp any any eq 3389
ip access-list extended RDP-In-2-Out_ACL
permit tcp host 10.0.120.7 any
ip access-list extended VPN-2-self_ACL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
ip access-list extended VPN-From-self_ACL
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
permit ahp any any
ip access-list extended VPN-TRAFFIC-BRANCH-OFFICE_ACL
permit ip 10.0.120.0 0.0.0.255 10.92.32.0 0.0.0.255
ip access-list extended VPN-Tunnels-Traffics_ACL
permit ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
ip access-list extended self-2-Inside_ACL
permit ip any any
!
logging origin-id ip
logging facility local6
logging host 10.0.120.9
!
snmp-server community Shd#629Sh%7h@73SbS2sh$3 RO SNMP_ACL
snmp-server location MAIL-OFFICE
snmp-server contact ZEROCOOL
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class VTY_ACL in vrf-also
exec-timeout 120 0
privilege level 15
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class VTY_ACL in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!
ntp server 176.126.165.80 source GigabitEthernet0/0/0
ntp server 80.241.0.72 source GigabitEthernet0/0/0
!
end

----------------------------------------------------------
Branch Office Router config:
----------------------------------------------------------
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname BRANCH-OFFICE
!
boot-start-marker
boot-end-marker
!
aqm-register-fnf
!
aaa new-model
!
aaa authentication login default local
aaa authentication ppp default local
no ip source-route
!
no ip bootp server
ip domain name domain.ru
ip name-server 8.8.8.8
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
vpdn enable
!
license udi pid C891F-K9
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh logging events
ip ssh version 2
!
crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2
crypto isakmp key Ksdmskd8238@n$2oij&1n!d$hd@8dj33jSnd&2jd address 1.1.1.1
!
crypto ipsec transform-set set1 esp-aes 256 esp-sha-hmac
mode tunnel
!
crypto map CMAP 1 ipsec-isakmp
description =Tunnel to Main OFFICE=
set peer 1.1.1.1
set transform-set set1
set pfs group2
match address VPN-TRAFFIC-MAIN-OFFICE_ACL
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet0
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0
no ip address
!
interface GigabitEthernet1
no ip address
!
interface GigabitEthernet2
no ip address
shutdown
!
interface GigabitEthernet3
no ip address
shutdown
!
interface GigabitEthernet4
no ip address
!
interface GigabitEthernet5
no ip address
shutdown
!
interface GigabitEthernet6
no ip address
shutdown
!
interface GigabitEthernet7
no ip address
shutdown
!
interface GigabitEthernet8
description =OUTSIDE=
ip address 2.2.2.2 255.255.255.224
ip access-group OUT_2_IN_ACL in
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
no cdp enable
crypto map CMAP
!
interface Vlan1
ip address 10.92.32.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Async3
no ip address
encapsulation slip
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list NAT_ACL interface GigabitEthernet8 overload
ip route 0.0.0.0 0.0.0.0 2.2.2.3
!
ip access-list standard VTY_ACL
permit 10.92.32.7
deny   any
!
ip access-list extended NAT_ACL
deny   ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
permit ip 10.92.32.0 0.0.0.255 any
ip access-list extended OUT_2_IN_ACL
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any traceroute
permit esp any any
permit ahp any any
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
ip access-list extended VPN-TRAFFIC-MAIN-OFFICE_ACL
permit ip 10.92.32.0 0.0.0.255 10.0.120.0 0.0.0.255
!
control-plane
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
no modem enable
line aux 0
line 3
modem InOut
speed 115200
flowcontrol hardware
line vty 0 4
access-class VTY_ACL in vrf-also
exec-timeout 120 0
privilege level 15
logging synchronous
history size 256
transport input ssh
transport output all
line vty 5 15
access-class VTY_ACL in vrf-also
exec-timeout 120 0
logging synchronous
history size 256
transport input ssh
transport output all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 85.114.26.194
ntp server 198.55.111.50 minpoll 10
!
end

Собственно ситуация:
Провайдер, допустим севастопольский Севстар, выдает динамический адрес. При этом он периодически меняет адрес шлюза! Каждый раз руками прописывать шлюх надоело. Что делать? Что прописать?
Маршрутизатор 1841

interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 100.65.240.1
!

Подскажите, пожалуйста, я в тупик попал :(

Не могу найти в инете сведений, что этот коммутатор WS-C2960X-24TD-L вообще поддерживает iSCSI.
Беру примеры настройки iscsi и не нахожу ни одной из этих команд у себя на коммутаторе ( ios C2960X-UNIVERSALK9-M), Version 15.2(2)E6)

Если все же оно поддерживается, посоветуйте какие оптические модули купить? СХД HPE MSA 1040 2Prt 10G iSCSI DC SFF Strg (E7W04A)

Добрый день. Просьба сразу ногами не пинать.
Есть сеть разбитая на vlan. Настроенные свичи под это.

На замену пришла -ISR 4451.
По хорошему надо было только добавить sub-interface

Влан добавить не могу. Команд нет.
При добавлении sub-interface он создается. Но дальше толку нет.

#sh ver
Cisco IOS XE Software, Version 16.05.01b
Cisco IOS Software [Everest], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9_NPE-M), Version 16.5.1b, RELEASE SOFTWARE (fc1)

System image file is "bootflash:isr4400-universalk9_npe.16.05.01b.SPA.bin"

#sh vtp status
VTP Version capable             : 1 to 3
VTP version running             : 1
VTP Domain Name                 :
VTP Pruning Mode                : Disabled
VTP Traps Generation            : Disabled

Feature VLAN:
--------------
VTP Operating Mode                : Server
Maximum VLANs supported locally   : 64
Number of existing VLANs          : 5
Configuration Revision            : 0

GigabitEthernet0/0/1.5 172.16.0.111    YES manual up                    up      
Gi0/0/1.60             unassigned      YES unset  up                    up      
Gi0/0/1.63             172.17.63.254   YES manual up                    up      
Gi0/0/1.64             172.17.64.254   YES manual up                    up      
Gi0/0/1.66             172.17.66.254   YES manual up                    up      
Gi0/0/1.106            172.17.106.254  YES manual up                    up

#sh run interface gigabitEthernet 0/0/1.106
Building configuration...

Current configuration : 184 bytes
!
interface GigabitEthernet0/0/1.106
encapsulation dot1Q 106
ip address 172.17.106.254 255.255.255.0

Может подскажет кто?

Добрый день всем! Подскажите пожалуйста,есть ASA с настроенным Ipsec. Туппель поднимается,клиенты снаружи пингуют внутренню сеть за VPN шлюзом,но в интренет выйти не могут,все внешние IP недоступны. Я думаю что надо дописывать ACL, но как правльно написать не знаю. И еще проблема,почему то не резолвятся внутрение имена внутренних ПК.Подскажеите пожалуйста.

ip local pool vpn_pool 10.47.1.10-10.47.1.20 mask 255.255.255.224

dns server-group DefaultDNS
name-server 109.195.225.1
name-server 109.195.224.1
domain-name workgroup
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network LAN
subnet 192.168.1.0 255.255.255.0
object network ASA
host 192.168.1.1
object network NETWORK_OBJ_10.47.1.0_27
subnet 10.47.1.0 255.255.255.224
object-group network nat1
network-object object ASA
network-object object NETWORK_OBJ_10.47.1.0_27

access-list inside_access_out extended permit ip any any
access-list outside_access_in extended permit object-group
access-list outside_access_in extended deny ip any 192.168.1.0 255.255.255.0 log errors
access-list outside_access_in extended deny object-group TCPUDP any 192.168.1.0 255.255.255.0 log errors
access-list home_splitTunnelAcl standard permit any4
!
tcp-map Test
  reserved-bits drop
!

nat (outside,inside) after-auto source static NETWORK_OBJ_10.47.1.0_27 NETWORK_OBJ_10.47.1.0_27 no-proxy-arp
nat (inside,outside) after-auto source dynamic nat1 interface dns
access-group outside_access_in in interface outside

crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpool policy

group-policy home internal
group-policy home attributes
dns-server value 192.168.1.2
vpn-tunnel-protocol ikev1 ikev2
split-tunnel-policy tunnelspecified
split-tunnel-network-list value home_splitTunnelAcl
default-domain value workgroup
split-tunnel-all-dns disable
tunnel-group home type remote-access
tunnel-group home general-attributes
address-pool vpn_pool
default-group-policy home
tunnel-group home ipsec-attributes
ikev1 pre-shared-key Ki2013Pr
tunnel-group-map default-group home
!

Добрый день.
Имеется схема организации каналов связи с удаленным объектом с использованием трех каналов с трех разных маршрутизаторов (R2, R3, R4) через серийные интерфейсы. Маршруты до подсети удаленного объекта прописаны статикой на каждом из трех роутеров с разными метриками. Маршрутизация в пределах офиса организована с использованием протокола OSPF. Конфигурация транзитных роутеров ниже:

=== R2 ===
interface Loopback0
ip address 172.25.3.2 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.2 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.1 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.2
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.2 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0
==========

=== R3 ===
interface Loopback0
ip address 172.25.3.3 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.3 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.5 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.3
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.3 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0 200
==========

=== R4 ===
interface Loopback0
ip address 172.25.3.4 255.255.255.255
!
interface Ethernet0/0
ip address 172.19.97.4 255.255.255.240
!
interface Serial1/0
ip address 172.24.111.9 255.255.255.252
keepalive 2
serial restart-delay 0
!
router ospf 1
router-id 172.25.3.4
redistribute static subnets
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.4 0.0.0.0 area 1
!
ip route 10.99.43.0 255.255.255.240 Serial1/0 250
==========

Проблема в том, что если в работе только два канала (с R2 и R3), то при обрыве канала по R2 передача данных переключается на канал через R3, при восстановлении канала с R2 - переключается на канал на R2. То есть метрика статических маршрутов вроде бы отрабатывает.

Если же в работе все три канала, то при обрыве канала на R2 переключение выполняется произвольно (либо на R3, либо на R4), что при переключении на R4 приводит к асинхронной передаче, т.к. на стороне объекта резервирование каналов настроено другим образом и отрабатывает согласно приоритетам R2-R3-R4.

Суть вопроса - играют ли роли метрики статических маршрутов при перераспределении в OSPF?
Пробовал в настройках OSPF на R3 и R4 задавать метрики для перераспределенных статических подсетей:

!
router ospf 1
router-id 172.25.3.3
redistribute static subnets metric 50
network 172.19.97.0 0.0.0.15 area 1
network 172.25.3.3 0.0.0.0 area 1
!

результат тот же, при обрыве канала на R2 роутеры R3 и R4 не могут между собой договориться, при этом в дебаге OSPF отображается заданные мной при редистрибуции метрики для каждого из роутеров.
Использование route-map для задания метрик приводит к аналогичному результату.
Можно ли заставить работать указанную схему с тремя каналами?

Здравствуйте.
Есть старенькая cisco 1760, долгое время все работало корректно, некоторое время появилась следующая проблема - после сброса питания загружается с первого только до rommon. Если в rommon написать reset загрузится и будет работать корректно до очередного отключения электричества. Проблема решаема?

Добрый день!

Стоит задача изолировать влан (46), но при этом разрешить доступ на хосты данной подсети с сетей: 192.168.40.0/24 (влан 40) и 192.168.43.0/24 (влан 43).

Создаю ACL правила:
ip access-list extended education
permit ip 192.168.46.0 0.0.0.255 192.168.46.0 0.0.0.255
permit ip 192.168.40.0 0.0.0.255 192.168.46.0 0.0.0.255
permit ip 192.168.43.0 0.0.0.255 192.168.46.0 0.0.0.255
deny ip any any

Вешаю на интерфейс:
interface Vlan46
ip address 192.168.46.1 255.255.255.0
ip access-group education in
ip access-group education out

Проверяю:
Core6509#ping 192.168.46.1 source 192.168.43.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.46.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.43.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Core6509#ping 192.168.46.1 source 192.168.44.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.46.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.44.1
U.U.U
Success rate is 0 percent (0/5)

Вроде работает, но стоит отправить пинги с компьютера, у которого IP адрес 192.168.44.20:
C:\Users\net09>ping 192.168.46.1

Обмен пакетами с 192.168.46.1 по с 32 байтами данных:
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255
Ответ от 192.168.46.1: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.46.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Пакеты проходят.

Получается с коммутатора пакеты не проходят, а с компьютера проходят.
Прошу помочь и подсказать, может что то не дописал? Возможно есть другие решения данной задачи?

Core6509#sh ip access-lists education
Extended IP access list education
10 permit ip 192.168.46.0 0.0.0.255 192.168.46.0 0.0.0.255 (5 matches)
20 permit ip 192.168.40.0 0.0.0.255 192.168.46.0 0.0.0.255
30 permit ip 192.168.43.0 0.0.0.255 192.168.46.0 0.0.0.255 (10 matches)
50 deny ip any any (28 matches)

Заранее спасибо.

Всем привет! Есть маршрутизатор cisco 891 на ней поднят GRE без шифрования. До смены провайдера все работало отлично. Старый провайдер закрылся (передал свои линии другому прову). Новый провайдер сохранил белый ip адреса, но сменилась подсеть с \27 на \25. Внес изменения в конфиг туннеля. Туннель и протокол в up, но трафик не бежит. Разговаривал с представителем провайдера, он уверяет, что все открыто все доступно. С маршрутизатора пингую все внешние адреса, проблем нет, но пинги не пролетают внутри туннеля на другой конец. На другом стороне стоит juniper к нему подключены остальные филиалы, все работают. Со стороны juniper мой белый адрес пингуют.

y.y.y.y - мой белый адрес
x.x.x.x - белый адрес конечного оборудования

interface Tunnel201
ip address 10.24.108.126 255.255.255.252
ip mtu 1400
qos pre-classify
tunnel source GigabitEthernet0
tunnel destination x.x.x.x

interface GigabitEthernet0
description Link_to_GU
ip address y.y.y.y 255.255.255.128
duplex auto
speed auto
no cdp enable
service-policy output QOS-OUT-SHAPER-2M

no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip forward-protocol nd
!
!
ip route 0.0.0.0 0.0.0.0 ip шлюз провайдера
ip route 10.0.0.0 255.0.0.0 10.24.108.125
ip route 10.115.1.0 255.255.255.0 10.24.108.125
ip route 10.116.3.32 255.255.255.240 10.24.108.125
ip route 10.116.3.48 255.255.255.240 10.24.108.58
ip route 172.16.0.0 255.240.0.0 10.24.108.125
!
ip sla auto discovery
ip sla 10
icmp-echo 10.116.3.49 source-interface FastEthernet1
access-list 101 permit ip 10.24.108.32 0.0.0.7 any
access-list 102 permit ip 10.24.108.40 0.0.0.7 any
!
!
!
Tunnel201 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 10.24.108.126/30
  MTU 17916 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 91.238.34.35 (GigabitEthernet0), destination 195.112.255.102
   Tunnel Subblocks:
      src-track:
         Tunnel201 source tracking subblock associated with GigabitEthernet0
          Set of tunnels with source GigabitEthernet0, 1 member (includes iterators), on interface <OK>
  Tunnel protocol/transport GRE/IP
    Key disabled, sequencing disabled
    Checksumming of packets disabled
  Tunnel TTL 255, Fast tunneling enabled
  Tunnel transport MTU 1476 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Last input never, output 00:54:07, output hang never
  Last clearing of "show interface" counters 01:14:53
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3858 packets output, 471787 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is ip шлюз провайдера to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via ip шлюз провайдера
      10.0.0.0/8 is variably subnetted, 16 subnets, 7 masks
S        10.0.0.0/8 [1/0] via 10.24.108.125
C        10.24.108.0/27 is directly connected, Vlan100
L        10.24.108.1/32 is directly connected, Vlan100
C        10.24.108.32/29 is directly connected, Vlan101
L        10.24.108.33/32 is directly connected, Vlan101
C        10.24.108.40/29 is directly connected, Vlan102
L        10.24.108.41/32 is directly connected, Vlan102
C        10.24.108.56/30 is directly connected, Vlan104
L        10.24.108.57/32 is directly connected, Vlan104
C        10.24.108.60/30 is directly connected, Vlan105
L        10.24.108.61/32 is directly connected, Vlan105
C        10.24.108.124/30 is directly connected, Tunnel201
L        10.24.108.126/32 is directly connected, Tunnel201
S        10.115.1.0/24 [1/0] via 10.24.108.125
S        10.116.3.32/28 [1/0] via 10.24.108.125
S        10.116.3.48/28 [1/0] via 10.24.108.58
      y.y.y.0/8 is variably subnetted, 2 subnets, 2 masks
C        y.y.y.0/25 is directly connected, GigabitEthernet0
L        y.y.y.y/32 is directly connected, GigabitEthernet0
S     172.16.0.0/12 [1/0] via 10.24.108.125

      

Здравствуйте на роутере 2951 поднят СМЕ 12.0
ПОльзователи регистрируются по sip, звонят друг другу и во внешку через sip trunk. Но вот при постановке на удержание тишина у всех, настройки такие (стандартные)
telephony-service

moh enable-g711 "flash0:music-on-hold.au"
multicast moh 239.23.4.10 port 2000

файл лежит на флешке flash0

  326  -rw-      496521   Nov 8 2016 16:57:24 +04:00  music-on-hold.au

Добрый день,

Подскажите, какую модельку от Циско можно приобрести для домашнего интернета по технологии телефон/ADSL.
Вот к примеру Cisco 1801 там есть порт v.92 - он подойдет? Хотелось бы компактную модель с малым энергопотреблением, сеть примерно такая - маршрутизатор-свич-автономныеAP все одного производителя.

Маршрутизатор (C3825-ADVIPSERVICESK9-M), Version 15.1(4)M12a
Два интерфейса gi0/0 и gi0/1 заняты транками на другое оборудование, их лучше не трогать.
Есть еще 4 порта на модуле  HWIC-4ESW , они L2.

Как из них сделать порт маршрутизатора?
создать VLAN, дать ему ip, порту назначить этот vlan? прокатит так?

Подскажите пожалуйста из за чего могут быть такие проблемы при рисовании графиков портов 1-10G в МРТГ?Причем некоторые порты рисует правильно некоторые провально.  В логах ошибок нет SNMPv3. Спасибо
http://transfiles.ru/y0o1g -ссылка на рисунки графиков примеры...

Есть команда выключаем Proxy ARP глобально
ip arp proxy disable

Какая команда обратная этой? Т.е. включаем Proxy ARP глобально.

Есть два коммутатора:

################
    первый CORE-1
################
interface Vlan28
description *** 28 ***
ip address 192.168.28.4 255.255.255.0
standby version 2
standby 5 ip 192.168.28.1
standby 5 priority 120
standby 5 preempt
!
interface Vlan29
description *** 29 ***
ip address 192.168.29.4 255.255.255.248
standby version 2
standby 5 ip 192.168.29.1
standby 5 priority 120
standby 5 preempt
!
interface Vlan30
description *** 30 ***
ip address 192.168.30.4 255.255.255.248
standby version 2
standby 5 ip 192.168.30.1
standby 5 priority 120
standby 5 preempt
!
################
    второй CORE-2
################
interface Vlan28
description *** 28 ***
ip address 192.168.28.5 255.255.255.0
standby version 2
standby 5 ip 192.168.28.1
standby 5 priority 90
!
interface Vlan29
description *** 29 ***
ip address 192.168.29.5 255.255.255.0
standby version 2
standby 5 ip 192.168.29.1
standby 5 priority 90
!
interface Vlan30
description *** 30 ***
ip address 192.168.30.5 255.255.255.0
standby version 2
standby 5 ip 192.168.30.1
standby 5 priority 90
!

##############################################
Схема

[ CORE-1 ]<-----[ коммутатор Lv2 VLAN28 ]------>[CORE-2]
[ CORE-1 ]<-----[ коммутатор Lv2 VLAN29 ]------>[CORE-2]
[ CORE-1 ]<-----[ коммутатор Lv2 VLAN30 ]------>[CORE-2]

##############################################

Сейчас все работает. Если CORE-1 отключается по питанию то, все юзверя переключаются на резервный и все прекрасно.

Не знаю как настроить треки, что-бы если хотя-бы один линк отключается из VLAN 28,29,30 снизить priority коммутатора CORE-1 группы 5 и трафик переключать на CORE-2. т.е. при отключении хотя-бы одного линка добиться переключения всего трафика на CORE-2 понижением priority, подскажите идеи?

Может кто помочь по настройке сервера wireguard на openwrt? В качестве клиента использую tunsafe.

https://imgur.com/a/LUh5mG1 - конфиг в openwrt.

https://pastebin.com/dYRaWt5U - конфиг в tunsafe.

Не откажусь от краткого объяснения как вообще это работает?
Ключи я вроде понял где брать, можно генерировать из клиента.
А по поводу заполнения полей в openwrt и в клиенте не могу понять, зачем они дублируются и как их заполнять?
В итоге мне нужно получить доступ во внутреннюю сеть маршрутизатора (опционально хотелось бы иметь доступ из сети-сервера к сети клиента), где собственно и пытаюсь поднять сервер wireguard.
На данный момент имею в логе tunsafe:
[21:46:45] Loading file: C:\Program Files\TunSafe\Config\TunSafe.conf
[21:46:45] TAP Driver Version 9.21
[21:46:45] Sending handshake...
[21:46:50] Retrying handshake, attempt 2...
[21:46:56] Retrying handshake, attempt 3...

Добрый день!

Хочу собрать Stack из 2-х коммутаторов Cisco Catalyst 3750
1-й ws-c3750x-24p (версия IOS - C3750E-universalk9npe-m 15.0(2) SE, лицензия IPBASE)
2-й ws-c3750v2-48ps (версия IOS - C3750-ipbasek9-m 15.0(2) SE4)

У 1-го поставил приоритет 15 , у второго 10.

Соединяю их CAB-STACK и наблюдаю следующую ситуацию, оба коммутатора при загрузке пытаются стать Master, но при этом, после загрузке ws-c3750x-24p не поднимает порты. Удаленно доступен только ws-c3750v2-48ps, но в конфигах нет нигде данных от ws-c3750x-24p.

У кого есть опыт объедения таких коммутаторв в Stack? В чем может быть проблема?

В понедельник буду пробовать еще раз объединить и буду смотреть каждый из коммутаторов консольником.

p.s. Однородные коммутаторы объединял в Stack много раз.

#имеем

##cisco2811-1:
int Vlan1
  ip address 192.168.90.1
int Tun 1
  ip address 172.16.31.14 255.255.255.252
sh ip route | inc 192.168.27
D    192.168.27.0/24 [90/297246976] via 172.16.31.13, 00:33:09, Tunnel1

##cisco2811-2:
int Vlan1
  ip address 192.168.27.1
int Tun 1
  ip address 172.16.31.13 255.255.255.252
c2811-ins-27.1#sh ip route | inc 192.168.90
D    192.168.90.0/24 [90/297246976] via 172.16.31.14, 00:34:59, Tunnel1

##cisco2811-1 и cisco2811-2 соединены gre тунелем

##w2k12:
ip address 192.168.27.10
defailt route 192.168.27.2

#делаем

##с cisco2811-1 пинг
ping 192.168.27.10
Sending 5, 100-byte ICMP Echos to 192.168.27.10, timeout is 2 seconds:
.....

##с cisco2811-1 трейс
traceroute 192.168.27.10
Type escape sequence to abort.
Tracing the route to nps1.irito.ru (192.168.27.10)
  1 172.16.31.13 84 msec 24 msec 32 msec
  2 * * *
...

##с w2k12 пинг
ping 192.168.90.1
Пакетов: отправлено = 4, получено = 4, потеряно = 0

#выводы
##пинги с cisco2811-1 до win машины не доходят, а в трейсе видим ip туннеля
##wireshark показал что пакеты приходят с 172.16.31.14
##*нужно* что бы пакеты прилетали не с 172.16.31.14, а с 192.168.90.1

если чего то не хватает в объяснении готов пояснить
кто то может что то посоветовать?

Доброго времени суток.. Подскажите пожалуйста из за чего могут быть такие проблемы? В МРТГ и первой и второй версии графики с моментами без причин резко падают и через обновления опять нормально рисуют... В логах ничего нету да и в логах оборудований тоже чисто... Может кто столкнулся с  этим? рисунок по ссылке: https://ru.files.fm/u/23x3vheg#/

Выявил место проблемы по графикам observium: на внутреннем интерфейсе роутера начинают копиться input errors прямо пропорционально трафику через него, если начинают качать/отдавать под 60Мбит/с, то на внутреннем интерфейсе, идущего к пользователям лавинообразно растут input errors, делал debug ip error detail, не вижу ошибок на консоли. Если трафик 60-80Мбит/с, то применять SPAN тяжело, будет куча мусора. Может еще какие-то дебаги помогут?

В сети обычно говорят, что input errors чаще всего связаны с физическими проблемами в проводе, порту eth. Но я думаю это не тот случай.

Доброе время суток всем!

Продолжаю настройку микротика. Подскажите, как мне нужно его согнуть, чтобы получилось следующее: есть несколько точек, объединённых через eoip. Всё везде внутри оформлено как бридж (исторически от предыдущего админа, ломать пока не готов). Есть центральный dhcp-сервер. Нужно на одной из точек отдать wifi клиентам и гостям. Сейчас пока настроил AP и отдал клиентам, адрес получают от центрального dhcpd. Как мне дальше настраивать? Поднимать virtual ap с новым адресом и вешать на него dhcpd? Или как-то иначе? Кто подскажет правильное направление? Спасибо!..

Здравствуйте работает nhrp между офисами, один из споков имеет резервный канал, в котором оператор держит его за NAT'ом. Когда падает основной канал в резервном туннель не поднимается. Читал, что в cisco ios старше 15 реализован автоматический nat-t. Но на хабе вижу, что этот спок зависает с флагами DN (dynamic, nated)

     1 X.X.178.228      192.168.35.6    UP 06:11:21     DN

На хабе порты udp 500, udo 4500 открыты, но полноценно хаб подключиться не может, сам роутер и ресурсы за ним недоступны.
Настройка спока за натом:

interface Tunnel1
ip address 192.168.35.6 255.255.255.240
no ip redirects
ip nhrp authentication 123
ip nhrp map multicast X.X.88.114
ip nhrp map 192.168.35.1 X.X.88.114
ip nhrp network-id 123
ip nhrp nhs 192.168.35.1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
ip ospf mtu-ignore
cdp enable
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 123

Что надо еще добавить, чтобы туннель заработал через NAT?

Есть к примеру 2960.

К нему подключены пользователи.
Нужно сделать так, чтобы между собой они не имели доступа.
Рабочая сеть 192.168.0.0
Сервера находятся в 192.168.1.0
Коммутатор ядра 192.168.0.1

То есть компьютер 192.168.0.5 имел доступ к 192.168.0.1 и к 192.168.1.0 но не имел доступа к остальной сети 192.168.0.0.
Соответственно компьютер 192.168.0.6, компьютер 192.168.0.7 и т.д.  
имели доступ к 192.168.0.1 и к 192.168.1.0 но не имел доступа к остальной сети 192.168.0.0.

И компьютер 192.168.0.10 имел доступ ко всему.

Как правильней прописать acl?

Здравсвтвуйте, настроено несколько офисов в nhrp, недавно заметили, что один удаленный офис, который выходит в интернет через vdsl начинает терять пакеты в туннеле. Причем белый адрес роутера этого офиса пингуется без потерь, а вот серый, который в туннеле, может испытывать до 40% потерь, возникает это в середине рабочего дня, потом внезапно прекращается, в логах ошибок нет. Настройка интерфейса этого роутера:

interface GigabitEthernet0/0
description WAN via ext VDSL modem
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable

interface Dialer0
mtu 1492
ip address negotiated
ip access-group incoming in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in max-fragments 64 max-reassemblies 1024
ip virtual-reassembly out max-fragments 64 max-reassemblies 1024
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp pap sent-username XXXXXX password 7 YYYYYYY
ppp ipcp dns request
ppp ipcp route default
no cdp enable

НАстройка туннеля на этом интерфейсе:
interface Tunnel1
ip address 192.168.35.5 255.255.255.240
no ip redirects
ip mtu 1400
ip nhrp authentication 123
ip nhrp map multicast X.X.88.114
ip nhrp map 192.168.35.1 X.X.88.114
ip nhrp network-id 123
ip nhrp holdtime 60
ip nhrp nhs 192.168.35.1
ip nhrp registration timeout 60
ip tcp adjust-mss 1360
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
ip ospf mtu-ignore
cdp enable
tunnel source Dialer0
tunnel mode gre multipoint
tunnel key 123
tunnel bandwidth transmit 16000
tunnel bandwidth receive 16000

Последнее, что добавлял в интерфейсе туннеля, это
ip mtu 1400
ip tcp adjust-mss 1360

В момент потерь процессор роутера загружен всего на 3-6%.  И канал интернет не нагружен и в половину в этот момент. МОжно ли еще как-то попытаться продиагностировать порблему, может что посоветуете?

Есть сеть магазинов(cisco 871) с центральным офисом(cisco 2911). Подключаються по впн с ipsec. В магазинах закрыт доступ ко всему, только сервер и внутрешняя сеть. Весь трафик проходит через центральный офис с proxy squid. Поставили задачу открыть доступ к сайтам поиска работников. Сайт work.ua без проблем работает через прокси, а вот rabota.ua какая то ахинея-без картинок. Пробовал и мимо прокси ганять, в ацл прописывал
permit ip host xxx.xxx.xxx.xxx host 62.149.24.180 -тоже самое
а когда пишу permit ip host xxx.xxx.xxx.xxx any то все норм отображатся. Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться. Помогите плз

r-ka#sh run
Building configuration...

Current configuration : 7715 bytes
!
! Last configuration change at 07:09:22 UTC Mon Jul 23 2018 by toor
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r-ka
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
memory-size iomem 10
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-2830144771
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2830144771
revocation-check none
rsakeypair TP-self-signed-2830144771
!
!
crypto pki certificate chain TP-self-signed-2830144771
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32383330 31343437 3731301E 170D3133 30313239 31383335
30385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38333031
34343737 3130819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AEDF 6C8BEDF9 E2E122FE 2305146B 2355C9F9 91FF2E9E B226534B F7F115D5
1B2B6805 E1094EA2 70AD455C AF250BB8 9228E497 09716712 E14447FF B33319BF
262F3268 2D482E03 13B43BDF 66813DA5 1A2C87F0 AD1713DD D3D04BDF 2AC84613
241009AD 08EF9BAD 03214195 6DBA231B 02407B39 8DD6F1B9 E882B188 8D736DB2
FB870203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14B6B672 CAE7836C C0B2AA87 98E7FA36 64A8626E A8301D06
03551D0E 04160414 B6B672CA E7836CC0 B2AA8798 E7FA3664 A8626EA8 300D0609
2A864886 F70D0101 05050003 81810061 D09C20BA 3E773B30 291E80CF 9A57F622
27C21153 0398402A DFCCB763 D4FDD82F EC36C76A CC5EF940 ABB01CA4 9E52FBF9
AB128E4A E80E4C5C A2075E62 434F0E3F 9AFC21CD 1C59C63D C69A63CC 82EA0856
737DC6F4 5F741050 30E169EB AF282532 0F37BFD2 43B97F28 1215C32F A58C27F4
C95DA3C6 A39D9DF7 946F98B8 56D2D8
quit
ip source-route
!
!
!
!
!
ip cef
ip domain name 11111
ip name-server 192.168.0.11
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO881-SEC-K9 sn FCZ1705C1Z0
!
!
username toor privilege 15 secret 4 Z36zR.KjAhQVbjJ7b0bCDVGU3IZeQILto.3Cqjd17g6
!
!
!
!
!
!
crypto isakmp policy 2
encr aes
authentication pre-share
group 2
crypto isakmp key 11111111111 address XXX.XXX.XXX.XXX
!
!
crypto ipsec transform-set IPSEC-TRANS esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile IPSEC-VTI-PROF
set transform-set IPSEC-TRANS
!
!
!
!
!
!
interface Tunnel0
description TO-OFFICE
ip address 10.1.1.42 255.255.255.252
ip mtu 1400
ip virtual-reassembly in
ip tcp adjust-mss 1360
keepalive 10 3
tunnel source FastEthernet4
tunnel mode ipsec ipv4
tunnel destination XXX.XXX.XXX.XXX
tunnel protection ipsec profile IPSEC-VTI-PROF
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
description $ETH-WAN$
ip address YYY.YYY.YYY.YYY 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
description $ETH_LAN$
ip address 192.168.1.161 255.255.255.240
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
ip nat inside source route-map SDM_RMAP_2 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 ZZZ.ZZZ.ZZZ.ZZZ permanent
ip route 192.168.0.0 255.255.0.0 Tunnel0
!
access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit ip host 192.168.1.162 89.184.64.0 0.0.21.255
access-list 101 permit ip any host AAA.AAA.AAA.AAA
access-list 101 permit ip any host 62.149.24.180
access-list 101 remark office
access-list 101 permit ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any host 185.157.77.177
access-list 102 permit ip host 192.168.1.162 89.184.64.0 0.0.21.255
access-list 102 permit ip any 192.168.0.0 0.0.255.255
access-list 102 deny ip 192.168.3.0 0.0.0.255 any
access-list 102 deny ip 10.1.1.0 0.0.0.3 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit ip 192.168.1.160 0.0.0.15 any
no cdp run
!
!
!
!
route-map SDM_RMAP_2 permit 1
match ip address 104

Добрый день. Поднят VPN сервер - Dynamic Virtual Tunnel Interface Easy VPN Server
Для того, чтоб у пользователей не пропадал интернет во время vpn сессий (он необходим пользователям во время работы), есть access-list 120 permit ip 192.168.3.0 0.0.0.255 any
Для того, чтоб пользователи не забывали разъединятся после работы, я хочу ограничить им скорость выхода в интернет. Будет ли работать ограничение, если я сделаю на интерфейс rate-limit output access-group 120 ................?

Здравствуйте, в удаленном офисе есть роутер 2951 с настроенным CUCME. Внутренний интерфейс роутера 192.168.32.18, внешний 192.168.35.1.
В том офисе софтфоны регистрируются на внутреннем адресе 192.168.32.18, на роутере настройка:
voice register global
mode cme
source-address 192.168.32.18 port 5060
no outbound-proxy
max-dn 50
max-pool 50
authenticate register
authenticate realm corp.west-ru.com
olsontimezone Europe/Moscow version 2017b
timezone 32
time-format 24
date-format D/M/Y
url directory http://192.168.90.5/VoIP/MicroSipContacts.xml
tftp-path flash:
file text
create profile sync 100537716457457
network-locale RU
user-locale RU load CME-locale-ru_RU-Russian-11.6.11.6.tar
ntp-server 192.168.32.18 mode unicast
conference hardware
auto-register
  no service-enable

Я со своего офиса вижу этот роутер через dmvpn, пытаюсь зарегистрироваться, отправляю REGISTER на 192.168.32.18, а ответы мне приходят от 192.168.35.1. Хотя с моей стороны 32.18 пингуется. В результате регистрация софтфона проходит, но звонки на него не идут, т.к. INVITE приходят с адреса 192.168.35.1. Софтфон на этот адоес просто не отвечает. Уже и маршруты пересмотрел и фильтры. Не поймуЮ почему CME отвечает с внешнего адреса по sip. (именно по sip, по icmp ответы приходят с 32.18, если на него отправлять запрос)