Главная страница


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Dmitriy Yermakov                     2:5030/1115    01 May 2007  02:00:01
 To : All
 Subject : 03: RU.CISCO FAQ
 -------------------------------------------------------------------------------- 
 
 ===========================================================
 
                              7. TACACS,RADIUS,AAA
 ===========================================================
 
 7.1>Q: Где взять tacacs-plus/radius ? В исходниках ?
 
 >A: (Dmitriy Yermakov) См. также раздел SoftWare
 
 [119]ftp://ftpeng.cisco.com/pub/tacacs оригинальный от Cisco (ls там не работае
 т, сначала get README, потом get то, что нужно)
 ls там работает не во всех каталогах.
 
 [120]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей
 [121]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный. pppd тепе
 рь отдельно от tac+ia, но рядом - tacpppd
 
 [08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ?
 
 [122]http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания)
 Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98
 Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита,
 может быть backup-сервером, работать с несколькими CISCO, ведет группы по
 привилегиям и т.д.
 Полная версия за деньги или на варезах ;)))
 
 [23.01.2001] >A: (Oleh Hrynchuk) AV pairs -  (broken link)
 
 [123]TACACS+ Attribute-Value Pairs
 
 7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если
 
 юзер первый раз неправильно ответил на login/password то сразу сделать hangup
 а не спрашивать его еще и еще. Все равно в большинстве скриптов это не
 предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command
 Summary" успеха не принесло. Может это в такаксе надо концы искать?
 
 >A: (Alexey Kshnyakin)
 
 conf t; tacacs-server attempts N
 
 7.3>Q: Как снимать/считать статистику по интерфейсам ?
 
 >A: (Dmitriy Yermakov)
 
 снимать можно так
 
 conf t
 int X
 ip accounting
 
 разрешить rsh на киску, примерно так
 
 ip rcmd rsh-enable
 ip rcmd remote-host    enable
 
 и, по крону :)
 
 /usr/bin/rsh cisco clear ip accounting
 /usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"`
 /usr/bin/rsh cisco clear ip accounting checkpoint
 
 Поскольку возникли вопросы, то еще вариант.
 
 >A: (Konstantin D. Myshov)
 
 1) Скрипт:
 
 #!/bin/sh
 #[skip]
 
 rsh -l loger cisco.domain.adr clear ip accounting
 rsh -l loger cisco.domain.adr sh ip accounting checkpoint
 
 #[skip до конца скрипта :-)]
 
 2) Hа киске говоришь:
 
 username specloger privilege 8 password 0 plane_text_password
 ! Пароль зашифруется и через password 7 показываться будет по sh ru
 ip rcmd rsh-enable
 ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8
 privilege exec level 8 show ip accounting checkpoint
 privilege exec level 1 show ip
 privilege exec level 8 clear ip accounting
 
 P.S. (Andrey Kuksa) kuksaa@chph.ras.ru
 
 включить бы еще
 no ip rcmd domain-lookup
 
 P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста,
 с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает.
 no ip rcmd domain-lookup эту проверку выключает.
 По умолчанию - включено.
 
 P.P.P.S. см также 0.4>Q:
 
 7.4>Q: Как заменить "Username:" на "login:" ?
 
 >A: (DY)
 
 Существует 2 варианта -
 1. В tac+ia можно переопределить этот prompt.
 2. aaa authentication username-promt
 
 [03.07.2001] (Jen Linkova) И не забыть про пункт 28 из tacacs-faq
 
 >A: (Alex Shavkun)
 
 aaa authentication baner
 aaa authentication username-prompt
 aaa authentication password-prompt
 [03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error
 
 >A: (Alex Bakhtin)
 
 debug ip tcp rcmd
 
 [14.08.2000] 7.6>Q:  не работает aaa authentication banner "..." при использова
 нии tacacs
 или radius для аутентикации
 
 >A: (Alexandre Snarskii), прислал (Vladimir Kravchenko)
 
 попробовать использовать banner login "..."
 
 [08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты.
 
 >A: (DY) закрываем тему ifcico.
 
 tacacs.conf (tac+ia-0.9x)
 
 group = fido {
                 after authorization "/usr/local/tacplus/emsi $user $port"
                 login = none
                 service = exec { }
                 }
 
 user = \*\*EMSI_INQC816 { member = fido }
 user = \*\*EMSI_INQC816q { member = fido }
 user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido }
 
 cat /usr/local/tacplus/emsi
 #!/bin/sh
 if [ "X$2X" = "Xtty3X" ]
         then
                 echo noescape=true
                 echo autocmd="telnet host_1 60179 /stream"
         else
                 echo noescape=true
                 echo autocmd="telnet host_2 60179 /stream"
 fi
 exit 2
 
 >A: (Denis Shaposhnikov) Конфиг для RADIUS'a
 
 **EMSI_INQC816  Auth-Type=Accept
         Service-Type = Login-User,
         Login-Service = Telnet,
         Login-IP-Host = fido.XXXXX.ru,
         Login-TCP-Port = 60179
 
 P.S. Возможны варианты для Login-Service:
 (Vadim Mikhailov) Rlogin
 (Ilya Rubinchik) TCP-Clear
 
 [27.12.2000] 7.7>Q: Как при аутентикации на радиусе пользователю
 назначить in-out ip access-list на его интерфейсе ?
 
 >A: (Michael Korban)
 
 Framed-Filter-Id="blabla.in"
 Framed-Filter-Id="blabla.out"
 
 P.S. (DY) для TACACS'a - читать userguide, там написано.
 
 [07.05.2001] 7.8>Q: А можно ли заставить Cisco 2611 авторизовать
 RADIS-ом или TACACS-ом клиентов локалки, которые лезут в интернет
 с ethernet-порта через wic ?
 
 Q1: Существует ли возможность заставить проходить ч-з ААА
 транзитные соединения, проходящие, допустим, ч-з маршрутизатор циско?
 
 >A: (Dmitri Kalintsev)
 
 Hет.
 
 >A: (Vladimir N. Garnick)
 
 можно вот так: [124]Configuring Lock-and-Key Security (Dynamic Access Lists)
 
 пример: [125]Example of Lock-and-Key with TACACS+ Authentication
 
 >A: (Denis V. Schapov)
 
 Можно, IP/FW Feature Set, auth-proxy
 
 [19.08.2001] (Michael Smirnov) информация по получению АОH-номера модемов
 После освобождения юзером линии заходить на нее обратным телнетом:
 [126]http://info.east.ru/inet-admins/9903/msg00282.html
 В chat-скрипты использовать AT-команды? [127]http://www.j2.ru/frozenfido/ru.uni
 x/1343939200170.html
 
 [23.12.2002] 7.9>Q: Работает ли "ppp timeout idle" на асинках или нет?
 Ставиться оно ставится, но насколько оно рабочее?
 
 >A: (Denis V. Schapov)
 
 [128]How to Setup PPP Idle Timeout For Async Using RADIUS
 [129]PPP Per-User Timeouts
 
 [31.05.2002] 7.10>Q: RADIUS отдает per-user access-list  - то каким
 образом в какой последовательности это будет работать. И будет ли вообще ?
 
 >A: (Oleg V Prokofiev)
 
 Работать будет acl переданный из aaa, если из aaa acl не дается, то будет
 работать acl на dialer в случае diler profiles, в случае legacy ddr будет
 работать acl на bri
 
 [08.01.2003] 7.11>Q: Как выставить username/password для autentification
 у удаленной стороны при "encapsulation ppp"?
 
 >A: (Victor Sudakov)
 
 [130]Configuring Authentication
 
 [29.05.2003] ISDN Pre-Auth
 [131]Preauthentication with ISDN PRI
 [132]
 
 [27.02.2003] (Slawa Olhovchenkov) [133]AAA Dead-Server Detection
 
 [19.10.2004] 7.12>Q: Можно ли с RADIUS-а (TACACS+) назначить на интерфейс nat i
 nside или nat outside?
 
 >A: (Oleg Gawriloff) RADIUS:
 
 Cisco-AVPair="lcp:interface-config=ip nat inside"
 
 P.S. (DY) [134][nsp] PPPoE and NAT on the LNS
 
 >A: (Rishat N Agzamov) TACACS
 
 user = xxxx {
 member = yyyy
 global = cleartext "zzzzzz"
 service = ppp protocol = lcp {
     interface-config = "ip nat outside"
     }
 }
 ===========================================================
 
                                    8. Memory
 ===========================================================
 
 Память делают - Kingston, Transcend, Micron.
 Продают - [135]AllMemory
 [136]iBuy
 [137]Ak-Cent
 
 [2000.10.12] 8.0> Общее.
 
 >A: (Alex Bakhtin)
 
 Объем памяти, опpеделенный IOSом показывается в выводе команды sh ver
 в виде двух чисел MEM1/MEM2, где MEM1 - это объем process memory а MEM2 -
 это объем IO memory.
 
 P.S. (DY) for example
 
 6144K/2048K - всего 8Mb (2511)
 126976K/4096K - всего 128Mb (3640)
 
 Для AS5300 - 65536K/16384K - 64Mb Main Memory и 16Mb Packet Memory
 (2 отдельных DRAM SIMM)
 
 [20.05.2003] (Alexey Luckyanchikov) [138]How to Determine the SIMM Configuratio
 n of a 3620 or 3640
 
 8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один
 
 не подходит. :-(
 
 >A: (Vasily Ivanov)
 
 Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию
 сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти
 пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать:
 Размеp  Оpганизация     68      67      66      11
 4Mb     512k*8/9        X       X       X       X
 4Mb     1M*2/4/16/18    -       X       X       -
 8Mb     2M*8/9          -       X       -       X
 16Mb    2M*8/9          X       X       -       X
 16Mb    4M*2/4/16/18    -       X       -       -
 Hаны    69      70
 50ns    X       X
 60ns    -       -
 70ns    X       -
 
    Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом
 сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] -
 свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы
 с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми
 метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не
 pаботают !!! Также как и EDO RAM.
 
 NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда.
 
 >A: (Leonid Kirillov)
 
 От себя добавлю маленькую попроавку:
 1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке;
 2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в
 новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна
 пятая микросхеми памяти. Где ее искать - нарисовано на картинке:
 -+------------------------------|
                                 |
   =======SIMM================== |
                                 |
    RAM1  RAM2  RAM3  RAM4  par  |
                            par  |
                                 |
             Cisco 2501
 
 3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб
 памяти из 32 (очень было нужно:-) Работает нормально.
 
 >A: (Kirill Osovsky)
 
 Еще немного о SIMM'ах.
 Для 1600 - четность нежелательна - работать они будут, но тогда отвалится
 on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб
 Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как
 дуал банк, но работать 3620 с ним не будет (не положено по инструкции)
 3640 - работает с дуал банк.
 
 >A: (Dmitry Morozovsky)
 
     Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640
 при постановке четного количества одинаковых симмов переходит в 64разрядный
 режим, что увеличивает производительность, но также увеличивает и расход памяти
 в связи с alignment.
 
 P.S. (Basil Dolmatov)
 3620 понимает только FPM.
 3640 понимает и EDO тоже.
 
 [25.07.2001] P.P.S (Alexander Voropay)
 В 3620 и 3640 нормально работает память от 2500 и DRAM
 и FLASH модули.
 8.2>Q:  Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в
 
 2600 стоят. Или где их можно купить? За две тонны баксов не предлагать.
 
 >A: (Dmitry Morozovsky)
 
 Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать
 память у практически любого дилера Micron, Transcend, Kingston. У этих --
 просто по каталогу.
 
 P.S. Это же относится и к MC3810.
 
 P.P.S. (Vitaliy Tyulkin)
 
 Возможна ситуация:
 
 32K bytes of non-volatile configuration memory.
 16384K bytes of  System flash (Device not programmable)
 
 или
 
 2500 processor with 14336 Kbytes of main memory
 %Error: System flash bank 0 chip 0 unknown, chip id 0x9155 (reversed = 0x89AA)
 
 Ответ из Transcend:
 Upgrading Flash memory requires ROM level 10.2(8a) or higher.
 
 [04.07.2000] 8.3>Q: А не подскажет ли кто-нибудь, какая SIMM-память подходит
 к серии 4000 (конкретнее, 4500M+) и чего на ней пропаять?
 Имеется в виду: edo/fpm, четность, паритет, число чипов.
 
 >A: (Alexander Voropay)
 
  Для 4X00 подходит та же самая память, что и для 2500,
 и FLASH и DRAM. Packet DRAM та же самая, что и System
 DRAM, и чем больше тем лучше :-)
 
  А конкретно, 72-pin SIMM, NoEDO (FPM), real Parity.
 Обязательно должны стоять перемычки ID. Лучше
 брать -60ns хотя для System DRAM подойдет и -70ns.
 
 [09.04.2001] 8.4>Q: Есть DIMM (SODIMM ?) 100 pin, на нём писано 16МВ,
 SYNC, 100MHz. Подойдёт ли этот модуль к Cisco 26xx ?
 
 >A: (Gosha Zafievsky)
 
 Если sync - то скорее всего SDRAM.
 В 261x/262x не залезет, в 265x - залезет (теоретически)
 ибо 2600 (1x/2x) пользуют EDO.
 
 [01.02.2006] >A: (Alexander Voropay)
 
 CISCO 2600 и CISCO 2600XМ используют 100-pin DIMM-ы, которые одинаковы по разъе
 му,
 но используют разную технологию памяти. В CISCO 2600 применяются EDO, в CISCO 2
 600XM - SDRAM.
 Если поставить в 2600XM EDO модуль от 2600, BOOTROM напишет "Invalid SPD" и CIS
 CO не стартует.
 Модуль не сгорит
 
 [22.04.2001] (Dmitry Morozovsky) Для 366x подойдет обычный SDRAM.
 Работают SPD PC66 и быстрее.
 
 (Denis V. Schapov) [139]How to Determine the SIMM Configuration of a 3620 or 36
 40
 
 [18.03.2003] Cisco FLASH (Alexander Voropay)
 
 Для CISCO 2500, 4000, 3600, 5300 (boot и системная)
 и вероятно, некоторых других применяются FLASH в
 виде специальных SIMM-ов, несколько длиннее
 обычной PC-памяти. По GPL обозначаются
 MEM-***-1X16F; MEM-***-16FS; MEM-16F-AS53
 Как правило все они взяимозаменяемы, иногда требуется
 upgrade Boot-ROM. Выполяются на микросхемах
 FLASH Intel 28F0XX, AMD и Fujitsu.
 
  Старшие модели CISCO имеют гнездо PCMCIA.
 ВHИМАHИЕ! Существуют два стандарта на PCMCIA
 FLASH карточки, несовместимые между собой.
 Будте внимательны.
 
  Самый простой способ проверить тип FLASH -
 вставить ее в гнездо ноутбука под Windows'95/98
 или старше. Hе бойтесь, не сгорит, она для этого
 и предназначена.
 
 1) Так называемый Linear Flash - это просто несколько
 микросхем FLASH в картридже PCMCIA. В GPL обозначаются
 MEM-***-FLC20M . Под Windows требует особый драйвер
 (FFS/FTL) и не распознается. В CISCO видится как flash: или slot0:
 и выдает информацию по  show flash slot0: chips
 о чипах на которых сделана. Встречается редко, малой
 емкости и довольно дорогая (Для муз.синтезаторов, Apple Newton,
 Poqet PC, телефонных станций и т.д.).
 Идет в CISCO 1005, 805, 3600 (и еще ?)
 # show version выдает
 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write)
 
 2) Flash который прикидывается обычным IDE/ATA диском.
 Изобрела такие карты SanDisk, драйвер есть в составе
 Windows'95/98 : видится просто как диск 16..64Mb на котором
 лежат CISCO IOS(совместимая fs !). Обозначаются
 MEM-***-FLD48M. В CISCO видится как disk0:
 # show version выдает
 46976K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
 Еще полезная команда :
 # dir all-filesystems
 Используется во множестве цифровых камер, MP3-плееров и т.д.
 Стоит копейки, а особенно если взять переходник
 PCMCIA-->CompactFlash (CF и PCMCIA-ATA полностью совместимы)
 См.  http://www.compactflash.org  есть FAQ
 Встречаются емкостью до нескольких гигабайт.
 Идет в CATALYST, CISCO 7200 (и еще?)
 
 P.S. (DY) В Catalyst 5000, Cisco 7500, LS1010 используется
 свой формат записи во flash. К примеру, не получится в flash
 для 5000 записать имидж на 7200.
 
 [140]Formatting a Flash Memory Card
 
 PCMCIA Flash memory cards must either be formatted on the RSM or on an RSP-base
 d 7500 series router running software at the same level, or greater, as the RSM
 . Flash memory cards previously formatted on an RP-based Cisco 7000 series rout
 er cannot be used on the RSM. Note that Flash memory cards formatted on the RSM
  can be used on RSP-based 7500 series routers (but not on RP-based 7000 series
 routers).
 
 [141]PCMCIA Filesystem Compatibility Matrix and Filesystem Information
 
 ===========================================================
 
                                   9. NTP, TZ
 ===========================================================
 
 [24.12.2001] 9.0> (ВОЛКА)
 [142]Basic System Managment Commands - ntp server
 
 [143]Bog BOS: IOS - операционная система маршрутизаторов CISCO
 
 9.1>Q: Как правильно выставить timezone и синхронизировать время на киске
 
 >A: (Vasily Ivanov)
 
 вот пpимеp для Омска (UTC+6):
 clock timezone OMT 6
 clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00
 
 И еще:
 
 1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено
 коppектно, если же он находится в пpоцессе подведения своих часов, то циска
 будет ждать окончания этого пpоцесса.
 
 2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного.
 
 >A: (Alec Voropay) для Москвы
 
 clock timezone MSK 3
 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
 
 9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером
 
 и быть самой ntp-сервером ?
 
 >A: (Maksim Malchuk)
 
 ntp source interfaceX
 ntp master 3
 ntp server aaa.bbb.ccc.ddd
 ntp server eee.fff.ggg.hhh
 ntp server iii.jjj.kkk.lll
 
 P.S. (Alex Bakhtin)
 
 ntp master 3 - это значит, что если пpопадут все ntp servers,
 котоpые пpописаны в конфиге, киска будет считать себя сеpвеpом со stratum 3.
 
 P.P.S. (Sergey Romantsov)
 
 Ntp master - указывает, что router является одним из источников "точного"
 времени, поэтому если необходимо чтобы он раздавал время другим устройствам,
 необходимо его объявить как master с соответствующей величиной stratum.
 stratum=1 : это атомные часы
 stratum=2 : усторйство непосредственно подключено к атомным часам
 stratum=3 : устройство связано с устройством ( см выше)
 и так далее... до 15.
 stratum=16 : устройство не является авторизованным источником времени.
 
 [18.02.2003] 9.3>Q: Cisco 800 не понимает команды ntp.
 
 >A: использовать "sntp"
 
 >A: (Denis V. Schapov)
 
 или IOS IP Plus - там есть ntp
 
 ===========================================================
 
                                     10. NAT
 ===========================================================
 
 [144]NAT Technical Tips
 [145]NAT Frequently Asked Questions
 [146]Using NAT in Overlapping Networks
 
 [13.09.2001] 10.0. (Denis V. Schapov) NAT, IPSEC, ACL порядок обработки
 
 [147]NAT Order of Operation
 [148]Sample Configuration: IPSec Router-to-Router, Pre-shared, NAT Overload Bet
 ween a Private and a Public Network
 
 10.1>Q: Можно как-нибудь сделать на киске 2511 с IOS 11.3,
 
 чтобы все соединения по FTP, WWW с локальной сетки (имеющей public
 интернет адреса) устанавливались с адреса скажем 62.244.63.114,
 это связано с тем, что при установлении соединения с этого адреса
 пакеты возвращаются через спутник.
 
 >A: dimka@spy.ints.net (Dmitry Aksyonov)
 
 точно для этого случая:
 
 [..]
 ip nat inside source list 111 interface Loopback4 overload
 [..]
 interface Loopback4
  ip address 62.244.63.162 255.255.255.255
 [..]
 interface Ethernet0
  ip nat inside
 [..]
 interface Serial0
  ip nat outside
 [..]
 access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp
 access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp-data
 access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq www
 
 остальные порты по вкусу ;)
 
 посмотреть что получается - sh ip nat tra
 
 10.2>Q: Есть две сетки: 192.Х.Х.0 и 193.Х.Х.80/28 и киска 2509
 
 Hужно включить NAT, чтобы юзера из 192... сетки ходили в 193... .
 Интересует кусок(ки) конфига киски, только работающий и подробный.
 
 >A: (Eugene A. Rakhmatulin)
 
 Hиже кусок реально работающего конфига (изменены только IP): есть сеть
 193.193.193.224/29, которую дал провайдер и внутренняя сеть 192.168.1.0/24.
 Hа трансляцию всех внутренних адресов, кроме 192.168.1.2 выделяется адрес
 193.193.193.227, а на 192.168.1.2 записывается статическая трансляция адреса
 193.193.193.230.
 
 cs-2501# show running-config
 
 [ .. ]
 
 ip nat pool one 193.193.193.227 193.193.193.227 netmask 255.255.255.248
 ip nat inside source list 1 pool one overload
 ip nat inside source static 192.168.1.2 193.193.193.230
 
 [ .. ]
 !
 interface Ethernet0
  ip address 192.168.1.1 255.255.255.0
  ip broadcast-address 192.168.1.255
  ip nat inside
 
 [ .. ]
 !
 interface Serial1
  description Link to Provider
  ip address 193.193.193.226 255.255.255.248
  ip nat outside
 
 [ .. ]
 
 access-list 1 permit 192.168.1.0 0.0.0.255
 
 10.3>Q: Провайдер выдал один реальный адрес (вместо бывшего ранее блока адресов
 
 )
 и нужно в течении переходного периода (3 дня) оперативно перенастроить
 Cisco 2509 для маршрутизации в следующей конфигурации:
 Ethernet - соединяется напрямую единственным реальным адресом с
 маршрутизатором провайдера;
 Serial1 - смотрит (через выделенку) в одну физическую сеть(~20
 компьютеров+программный маршрутизатор);
 Serial2 - смотрит в другую(~10 компьютеров).
 
 >A: (Ilya Geldiev)
 
 ip nat translation timeout 1800
 ip nat translation tcp-timeout 1800
 ip nat translation udp-timeout 150
 ip nat inside source list 101 interface Async8 overload
 ' ip nat inside source static tcp {Ethernet0-ip} 80 {Async8-ip} 80
 extendable
 ' не более чем проброс веб-запросов во внутреннюю ЛАH
 !
 interface Ethernet0
  description connected to internal LAN
  ip nat inside
 !
 interface Async8
  description connected to ISP
  ip nat outside
 !
 interface Async9
  description connected to internal Remote Access
  dialer-group 1
 !
 interface Group-Async1
  description connected to Dial-inPCs_mobile
  ip nat inside
 !
 
 10.4>Q: Впустить обратно с Inet-а в локалку. Скажем для почты -- мой
 
 цисковский адрес с  портом 25 пробросить в локальный сегмент на мой почтовик ?
 
 >A: CoreDumped@CoreDumped.null.ru
 
 ip nat inside source static tcp int.ter.nsl.addr 25 ext.ter.nal.addr 25
 extendable no-alias
 
 ===========================================================
 
                                 11. Telco, ISDN
 ===========================================================
 
 [149]PBX interoperability application notes for 5300
 (Alcatel, Ericsson, Siemens Hicom 300 Series)
 [150]PBX interoperability application notes for 2600
 
 Конверторы сигнализаций
 
 [151]АТС М-200
 [152]ЛОHИИС
 [153]HПО ЮHИТЕЛ
 
 [20.10.2000] 11.0> Разборки с ISDN Layer 1,2.
 
 Компиляция нескольких вопросов и ответов.
 
 (Gosha Zafievsky)
 
 Вообщем все смотреть по доке.
 Cisco по умолчанию встает как user-side device.
 
 Если Layer 1 not UP - проверить _досконально_ все кабели и соединения,
 смотреть sh controller e1 XX на предмет наличия ошибок.
 Ошибки могут возникать только в случае непопадания в установки
 crc/no-crc, другие варианты встречаются крайне редко. Как только ошибки на
 контроллере пропадут, Layer 1 обычно становится ACTIVE.
 
 Выставить правильно isdn switch-type
 Если Layer 2 TEI_ASSIGNED - выставить правильно network side,
 должно быть MULTIPLE_FRAME_ESTABLISHED, не верьте на слово телефонистам :)
 
 Если с другой стороны тупое железо, не умеющее
 NETWORK-SIDE, поставить IOS 12.1.3T - там появилось
 isdn protocol-emulate network
 
 Как только Layer 2 MULTIPLE_FRAME_ESTABLISHED - все должно работать.
 В клинических случаях не поднятия Layer 2 -
 deb isdn q931 на бочку ближайшему гуру.
 
 P.S. (ВОЛКА) [154]E1 PRI Troubleshooting Flowchart
 (DY) [155]E1 Troubleshooting Flowchart
 [156]E1 PRI Troubleshooting
 
 (Igor Monakhov) расшифровка Q.931 disconnect cause
 [157]ISDN Switch Types, Codes, and Values
 
 11.1>Q: AS5300 и Ericsson MD-110.
 
 >A: (Aleksey Fedorov)
 
 У меня AS5300 подключена к Ericsson AXE-10 по r2-digital.
 В моем случае чтобы все было хорошо нужно сказать:
 cas-custom 0
   debounce-time 10
   seizure-ack-time 10
   country itu use-defaults
 
 >A: (DY) работает вот так, но со станцией (MD-110) долго мучались.
 
 controller E1 1
  clock source line secondary 1
  pri-group timeslots 1-31
 !
 interface Serial1:15
  isdn switch-type primary-net5
  isdn incoming-voice modem
  isdn bchan-number-order ascending
  isdn sending-complete
 !
 
 11.2>Q: 2610 никак не хочет звонить на Definity, при звонке
 
 с Definity BRI поднимается и сразу падает.
 
 >A: (Gosha Zafievsky)
 
 Hа киске isdn switch-type basic-net3,
 в Definity этот BRI надо описать как
 data module или trunk, но не как WCBRI station.
 Country protocol : etsi.
 
 11.3>Q: isdn caller number, AS5300, Alcatel S12, ISDN PRI.
 
 >A: (Victor L. Belov)
 
 interface Serial0:15
  isdn switch-type primary-net5
  isdn protocol-emulate user
  isdn incoming-voice modem
  isdn sending-complete
 
 и они приходят.
 ios 12.0.4-XH
 
 [13.06.2000] 11.4>Q: Имеем 3640 - E1R2 - AXE 10.
 
 >A: (Vladimir A. Golovnin)
 
 > controller E1 0/0
 >  framing NO-CRC4
 >  ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled
 >  cas-custom 0
 >   debounce-time 10
 >   seizure-ack-time 10
 >   dnis-digits min 1 max 2
 >   ani-digits min 3 max 6
 >  description First E1 line : connected to port 1
 
 У меня настроено так:
 controller E1 0/0
  framing NO-CRC4
  ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled
  cas-custom 0
   country easteurope
   debounce-time 10
   release-guard-time 150
   seizure-ack-time 2
   dnis-digits min 1 max 3
   ani-digits min 0 max 3
   answer-guard-time 40
   ani-timeout 1
 
 Вроде работае, но кривенько как то. Работало еще кривее когда
 seizure-ack-time = 8, а при 10 и выше вооще трубку не брала.
 
 P.S. (Gosha Zafievsky)
 
 VG>   country easteurope
 
     Вот с этим - поаккуpатнее. Я бы для начала поставил country itu
 use-defaults. R2MFC в Cisco - вещь в себе...
 
 11.5>Q: Возникла следующая необходимость - связать по ISDN две железки - Zyxel
 
 Prestige-100 (это ISDN-роутер такой) и Cisco 2522CH.
 Совершенно не получается это сделать. Звонить должен Zyxel этот самый,
 ну так он звонит, удалось даже добиться authentification по протоколу
 pap, но протокол не поднимается. Я так понимаю протокол дожен подняться
 на BRI0:1 или BRI0:2, а она не дает их конфигурить по отдельности, а
 если сказать что-то про LeasedLine - то не отвечает на звонки.
 
 Как и что надо ей сказать, чтобы получить от этого Zyxelя 64 или 128 К
 по ДиалАп - ISDN ?
 
 >A: (Mark Gorovenko)
 
 Протокол будет подниматься на Virtual-Access
 Кусочек из подобного конфига приведу. В нем много лишнего, было сделано для
 того чтобы можно было звонить в разные места, это можно выкинуть.
 
 interface Virtual-Template1
  ip unnumbered Ethernet0
  no ip directed-broadcast
  autodetect encapsulation ppp
  peer default ip address pool default
  no fair-queue
  ppp authentication chap pap callin
  ppp multilink
 !
 interface BRI0
  ip unnumbered Ethernet0
  encapsulation ppp
  no ip route-cache
  bandwidth 128
  dialer pool-member 1
  autodetect encapsulation ppp
  isdn incoming-voice modem 64
  isdn answer1 xxx
  isdn answer2 xxx
  isdn calling-number xxx
  peer default ip address pool default
  no cdp enable
  ppp authentication chap pap callin
 !
 interface Dialer0
  ip address xxxx
  encapsulation ppp
  bandwidth 64
  dialer remote-name xxx
  dialer idle-timeout 30
  dialer string xxx
  dialer load-threshold 1 either
  dialer pool 1
  dialer-group 1
  autodetect encapsulation ppp v120
  peer default ip address xxx
  no cdp enable
  ppp authentication chap pap callin
 !
 interface Dialer1
  ip unnumbered Ethernet0
  encapsulation ppp
  bandwidth 64
  dialer remote-name xxxx
  dialer idle-timeout 30
  dialer wait-for-carrier-time 15
  dialer string xxxxx
  dialer load-threshold 1 either
  dialer max-call 4
  dialer pool 1
  dialer-group 2
  peer default ip address xxx
  no cdp enable
  ppp authentication chap pap callin
 !
 ip local pool default xxx
 ip classless
 ip route 0.0.0.0 0.0.0.0 xxxxx
 ip route xxxxxxxx 255.255.255.255 Dialer1
 ip route xxxxxxxx 255.255.255.255 Dialer0
 access-list 11 permit any
 access-list 100 permit ip any host xxxxxx
 virtual-profile virtual-template 1
 dialer-list 1 protocol ip list 11
 dialer-list 2 protocol ip list 100
 
 11.6>Q: MC3810+Alcatel,  Пpимеpно pаз в 1-2 дня падает PRI линк
 
 междy станцией и гейтом:
 Layer 2 Status:
     TEI = 0, Ces = 1, SAPI = 0, State = TEI_ASSIGNED
                                         ^^^^^^^^^^^^^Layer 2 yшел в даyн
 
 >A: (Gosha Zafievsky)
 
     А это вам бальшой подарок от Алкателя, у которого весьма своеобразное
 понимание работы L2. Должно вылечиться прописыванием
 
 int sx:15
   isdn tei-negotiation first-call
 
 [30.08.2001] 11.7>Q. Сменил софт на AS5300 на 12.2(x). Через нее
 перестали проходить звонки с netmeeting'a в PSTN. Подключение через PRI.
 
 >A: (Dmitry Valdov)
 
 conf t
 voice-port 0:D
 bearer-cap Speech
 
 Ссылка: [158]Voice - Outbound ISDN Calls Fail when Originated from NetMeeting o
 r Similar Third Party H.323 Devices
 
 Проверено - работает.
 
 (Denis V. Schapov) [159]Voice - Outbound ISDN Calls Fail when Originated from N
 etMeeting or Similar Third Party H.323 Devices
 
 [21.10.2001] 11.8>Q: Есть ли способ заставить as5300 делать исходящий
 модемный звонок с использованием конкретного контроллера Е1?
 
 >A: (Denis V. Schapov)
 
 [160]Configuring a T1 or E1 Interface for Outgoing Analog Calls Using the modem
  dialout controller Command
 
 >A: (Dmitry Valdov)
 
 line 1 XXX
 modem dialout-controller e1 0
 
 [13.02.2002] 11.9>Q: Квантовский ИКМ-30 (или как его) и цискины PRI.
 
 >A: (Igor Zafievsky)
 
 Оторвать у "Кванта" все попытки набора номера (работать только по
 занятию/освобождению) на этих СЛках, на кошке - ds0 group type fxs-loop-start.
 
 [18.02.2002] 11.10>Q: AS5200 и АТС NEAX-61 sigma по пpотоколy R2.
 Станция не полyчает сигнал подтвеpжедния занятия канала (А-1 В-1).
 
 >A: (Andrey Zimin)
 
 не 52-я, но работает вот так:
 ==
 !
 controller E1 1/2
  framing NO-CRC4
  ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled ani
  cas-custom 0
   unused-abcd 1 0 0 1
   country easteurope
   release-ack
   dnis-digits min 3 max 7
   ani-digits min 0 max 16
  description DTI051602
 !
 ==
 хотя и здесь есть проблемы - некоторые B-каналы  виснут в странное состояние
 типа:
 12  cas          -        -    insvc     signaling   0 0 0 1   1 1 0 1
 23  cas          -        -                          0 0 0 1   1 0 0 1
 
 [03.07.2002] 11.10>Q: Cisco 2600 with NM-HDV-1E1-30E and Panasonic 500
 
 >A: (Igor Vorontsov)
 
 Если кому-нибудь интересно:
 1. Сигнализация карты PRI30 в Panasonic KX-TD500 - primary-net5, а не QSIG,
 сколько бы это не утверждали телефонисты. ;)
 Выбирать на АТС надо Euro-Standart.
 2. Network side ISDN PRI эта АТС не умеет. Соотвественно, на кошке надо
 ставить protocol-emulate network. Хотя мы нашли обратное утверждение в
 документациях, гору которых перелопатили.
 3. Сколько бы не говорили телефонисты по поводу метода передачи номера
 en-block в данной АТС, не верьте - там overlap. ;)
 4. Hе забывайте прописать на АТС DDI-таблицу.
 
 [05.08.2002] 11.11>Q: Где можно почитать о сигнализациях E&M, CAS ?
 
 >A: (Denis V. Schapov)
 
 [161]Voice Network Signaling and Control
 [162]Voice - Analog E&M Signaling Overview
 [163]Understanding and Troubleshooting Analog E&M Interface Types and Wiring Ar
 rangements
 
 [20.03.2003] 11.12>Q: E1/R2 Iskratel Si2000, Cisco
 
 >A: (Sergey Afonin)
 
 3640:
 
 controller E1 3/0
  framing NO-CRC4
  ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled
  cas-custom 0
   country easteurope
   dnis-digits min 1 max 6
   dnis-complete
 
 ===========================================================
 
                                    12. VoIP
 ===========================================================
 
 [164]Voice/Data Integration Technologies
 
 [165]IP Ports and Protocols used by H.323 Devices
 
 (Pavel Rodionov) [166]VoIP Traversal of NAT and Firewall
 
 [167]Understanding Codecs: Complexity, Hardware Support, MOS, and Negotiation
 
 Ссылки по настройке
 
 [26.02.2001] [168]Конфигурационные файлы для Cisco
 
 [26.02.2001] [169]Испытания и результаты Центр IP-телефонии Comptek
 
 [22.03.2001] (Andrei Ioudine) Hастройка gatekeeper'a
 [170]Конфигурационные файлы для Cisco
 [171]VoIP with Gatekeeper
 
 [172]Understanding Cisco IOS Gatekeeper Call Routing
 
 [07.03.2002] [173]Troubleshooting One Way Voice Issues
 --- FIDOGATE 4.4.4-snp19+bp5
  * Origin: Edgecity II (2:5030/1115)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 03: RU.CISCO FAQ   Dmitriy Yermakov   01 May 2007 02:00:01 
Архивное /ru.cisco/2740000064c5.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional