Ответы пользователя по тегу Cisco
  • Какой трафик передаёт гибридный порт от оконечных устройств?

    @Strabbo
    Trunk - магистральный порт, который позволяет создавать магистральное соединение между промежуточными сетевыми устройствами (коммутаторами).

    Нет, термин trunk никак не связан с магистралями и магистральными линками. Trunk - режим порта, при котором он может отправлять тегированые пакеты. Вы можете использовать транк в сторону другого роутера, комутатора, компьютера, сервера и так далее.
    Т.е. гибридные порты могут работать как в режиме портов доступа, т.е. принимать нетегированный трафик, так и в режиме приёма тегированного трафика.

    Да.

    Мне казалось, что коммутатор, принимая от компьютера нетегированный трафик (с гибридного порта), затем либо тегирует его (если этот трафик не из Native VLAN), либо передаёт его дальше нетегированным (если это Native VLAN), а телефон уже передаёт тегированный трафик. Это так?

    Всё зависит от того, что надо будет делать дальше с трафиком.

    switchport mode hybrid
    switchport hybrid pvid 33
    switchport hybrid allowed vlan add 33 untagged
    switchport hybrid allowed vlan add 34 tagged

    В вашем случае если пакет пришел не тегированый, он попадет во влан 33, если надо этот пакет послать на соседний порт с таким же конфигом, то его свич тегировать не будет и прямо отправит так как есть. Если же например этот пакет надо будет отправить на другой порт, который работает в режиме транк (например на другой комутатор или на другой порт этого же свича, только с другим конфигом(транком)), то ваш пакет будет передаваться уже тегированым.
    switchport hybrid allowed vlan add 34 tagged

    Разрешает принять пакет с вланом 34 ну и в обратную сторону, если надо будет оправить пакет на этот порт с этим вланом, то он будет тегированым. Если надо будет отправить пакет в другое место, то всё уже зависит от конфига другого порта.
    Вы можете принять пакет не тегированым, повесить на него тег и отправить уже в другое место тегированым.
    Если вы учитесть, то используйте wireshark на всех портах, там будет видно как и и с какими тегами идут пакеты.
    Всё зависит от конкретного конфига.
    Если всё это вы затеяли ради ради того, чтобы подключить к одному потрту телефон + компьютер, то для этого у cisco есть voice vlan, который легко настраивается.
    Ответ написан
  • Cisco для обучения. Что купить?

    @Strabbo
    Лучше ничего не покупать.
    Для обучение используйте Packet Tracer, GNS3, Eve-ng.
    Если всё-таки руки чешутся, то на ebay ищите CCNA LAB KIT/ CCNP LAB KIT.
    Там указаны модели, можете сразу всю лабу купить.
    Ответ написан
  • Ip телефон cisco уходит в Down - packet tracer?

    @Strabbo
    Скорее всего из-за неправильной маршрутизации.
    У вас на втором роутере
    ip route 0.0.0.0 0.0.0.0 192.168.0.2
    ip route 0.0.0.0 0.0.0.0 192.168.20.2
    это маршруты по умлочанию к первому и третьему ротуеру. С таким конфигом пакеты будут идти то к первому то к третьему роутеру. Когда вы выключаете третий роутер то ip route 0.0.0.0 0.0.0.0 192.168.20.2 эта строчка перестаёт работать и вё остальное начинает работать.
    Решение:
    1. убрать маршрут по умолчанию и прописать ститческие маршруты в зависимости от тех сетей, которые имеете.
    2. убрать маршрут по умолчанию и настроить динамическуу маршрутизацию, остальное она всё сделат за вас.

    пропробуйте решить проблему сами, если не получится пишите
    Ответ написан
  • Какие параметры VPN использовать для Mac?

    @Strabbo
    Вышеперечисленные методы вам не подойдут, на сколько я помню Cisco AnyConnect использует SSL. Вам понадобиться установить клиент. Cisco AnyConnect
    Ответ написан
  • Как добавить в LACP дополнительный порт?

    @Strabbo
    Так и надо добавлять, при добавлении нового порта надо копировать на него конфиг с физического порта(который уже работает в группе) и только после этого добавляя конфиг на portchannel, конфиг будет добавляться на всех портах.
    Ответ написан
  • Как настроить Cisco ACL для ограничения в одном влане?

    @Strabbo
    В таком случае, я думаю, что cisco вам не поможет. Если обе виртуалки находятся в одной сети и на одном сервере, то трафик между ними не выйдет за пределы сетевой карты.
    Ответ написан
  • Как настроить переброс Default Route на OSPF?

    @Strabbo
    Можно убрать default-route originate и настроить redistribution в оспф. Если деф роут будет, то он появится в оспф, а если исчезнет из таблицы маршрутизации, то в оспф он не попадет.
    Ответ написан
  • Как настроить switch, подключенный к маршрутизаторам?

    @Strabbo
    1. Все порты на свиче, которые идут к роутерам кидаете в один влан. порт аксес и конфигите бгп.
    2. Все порты на свиче, которые идут к роутерам конфигите как транк, для каждой пары создаёте на свиче влан, а на роутерах сабинтерфейс
    Ответ написан
  • Cisco как получить доступ к внешнему сайту?

    @Strabbo
    Я заметил, что между роутером и свичом порт в транке, хотя у вас нету саб интерфейсов на роутере, в таком случае нужно со стороны свича портв аксес перевести(гиг1/0/3). аксес лист отвечающий за нат содержит только сеть 192.168.1.0/24, он должен содержать все сети, которые должны иметь доступ в интернет. Дальше идёт настройка самого ната ip nat inside source list 1 pool NAT-POOLp тут без overload у вас будет работать только 1 айпи. Потом идут настройки ДНС сервера, там где у вас ya.ru. Н а всех компах вроде его используют как днс, он должен резолвить все имена, а в нем прописан только ya.ru. надо добавить туда еще cisco.com с соответствующим айпи адресом. Попробуйте всё это исправить, если не заработает завтра еще подумаем.

    P.S. Поздно уже, голова плохо варит, может быть что-то упустил
    Ответ написан
  • Как организовать защищенные соединения между подразделениями с помощью IPsec?

    @Strabbo
    В крипто меп можно засунуть мого пиров. А вообще удобнее делать без крипто меп на физическом интерфейсе. Делайте обычный гре тунель и вешай на него tunnel protection ipsec profile. Таким образом крипто меп сам будет автоматически создаваться
    Ответ написан
  • Как разобраться в access-lists cisco?

    @Strabbo
    Если у вас 192.168.2.0/24 натитится в 12.12.1.1 , то этот лист надо повесить на интерфейс (на in, а не out), который смотрит в сторону свича.

    P.S. Попробуйте сделать так, как я написал. Если всё заработает и вы не поймете почему, напишите, я объясню.
    Ответ написан
  • Как на cisco 7604 ограничить полосу пропускания?

    @Strabbo
    1.создаете class-map, можно использовать class-default, если будете резать весь трафик.
    2. создаете Policy Map и привязываете к нему созданный class-map или class-default, дальше вы должны решить чем будете резать police или shape, чем они отличаются можно посмотреть в гугле.
    3. вешаете созданный полис на интерфейс.
    конфиг примерно такой:
    Router(config)#Policy Map 45MB
    Class class-default
    police cir 45000000
    conform-action transmit
    exceed-action drop

    Router(config)# interface GigabitEthernet0/0
    Router(config-if)# service-policy output 45MB
    Ответ написан
  • Как завернуть трафик в NAT перед IPSEC в Cisco?

    @Strabbo
    1. На loopback interface > ip nat outside
    2. На интерфейсе, который смотрит в сторону 192.168.1.0/24 ip nat inside+ использовать PBR такого типа:
    route-map NEW_RM, permit, sequence 20
    Match clauses:
    ip address (access-lists): NEW_ACL
    Set clauses:
    interface Loopback250
    route-map NEW_RM, permit, sequence 25
    Match clauses:
    Set clauses:
    в ACL указываешь permit ip 192.168.1.0 0.0.0.255 10.х.х.х + wildcard
    вешаешь роут мап на итнерфейс ip policy route-map NEW_RM
    потом натишь ip nat inside source list NEW_ACL interface Loopback250 overload
    порт форвардить ip nat inside source static tcp 192.168.1.7 172.16.197.100 80 extendable
    P.S. Делал это 100 лет назад, вроде ничего не упустил.
    Ответ написан
  • Следует ли начать изучать с Cisco Home Lab?

    @Strabbo
    Сначала надо узнать для себя зачем вам изучать циску. Если вы начинаете свою карьеру сетевика и вам просто нужно научиться конфигить циску или же нужно только CCNA, то тратиться на железо не стоит. Если же вы преследуете сертификаты и на CCNA не остановитесь, то всё будет зависеть от того какой вы человек. Например в CCNP желательно много делать практических работ, нужно хорошо освоится в CLI и знать каждую команду, которая вам понадобиться во время изучения. Я, например, после пары часов за GNS3 или юнетлаб быстро утомляюсь и мне становится скучно, а вот с железом всё иначе, интерес пропадает намного медленнее, чем в виртуальной среде. Так что всё зависит от вас. Также есть темы, которые в виртуальной среде не поднимишь. Например такие фичи как stacking, UDLD, SDM templates, POE, многое из STP + STP у меня часто глючил в юнетлабе, а SNMP там вообще не работал и еще много таких вещей, щас просто все не вспомнить. CCNA сможете освоить и сдать экзамен даже с пакет трейсером, хотя и там много багов, в GNS3 поменьше. На вашем месте я бы поступил так:
    1. Начал бы учить используя GNS3
    2. Если почувствуете, что виртуализация это не для вас, то тогда можно и лабу собрать.

    P.S. Когда я говорил, что надо знать каждую команду, то я имел ввиду именно это. Многие говорят, что каждую команду знать не нужно, но если вы будете сдавать экзамен, то вам будут встречаться команды типа: какой командой надо сделать ту или иную вещь, какого куска конфига не хватает для того, чтобы всё заработало и так далее. Причем это вопросы без симлетов и лаб. там не зайдешь на устройство и не проверишь что к чему.
    Ответ написан
  • Что лучше?WS-C3750E-24TD-S или CISCO WS-C4948-S?

    @Strabbo
    Исходя из даташитов с сайта циско, WS-C4948-S производительнее, но у него нету 10ГБ портов, А в 3750 можно вставить 2 10Г порта
    Ответ написан
  • Как и что учить по сетям?

    @Strabbo
    Для cisco могу посоветовать "Сети для самых маленьких" . Отличный курс . Также у них есть свой сайт, где много интересного и не только cisco. Так же у INE есть отличные курси и по циске и по джуну.

    P.S. В packet tracer столькнётесь со многими багами, для начала вам сойдет, потом сомтрите в сторону GNS3 и Eve-ng. У них есть возможность виртуализировать и циско и микротик и джунипер и линукс сервер. Для huawei лучше использовать eNSP
    Ответ написан
  • Как настроить cisco 2921 на нового провайдера?

    @Strabbo
    Теперь осталось сделать несколько вещей:
    1. Уточнить у провайдера тип подключения.
    2. Если это пппое, то надо узнать новые параметры подключения, такие как:
    ppp chap hostname 708650_R
    ppp chap password 0 5axwUоza
    ppp pap sent-username 708650_R password 0 5axwUоza

    3. Если тип подключения ethernet, то с интерфейса gigabit0/2 убрать настройки пппое и прописать айпи или получить его по dhcp + повесить ip nat outside
    4. Не забыть поменять маршрут по умолчанию и настройки НАТ.
    надо искать ip route 0.0.0.0 0.0.0.0 и ip nat inside source и подправить под нового провайдера
    Ответ написан