From Dmitriy.Yermakov@f1115.n5030.z2.fidonet.org Wed Aug 16 15:47:55 2000
Path: tenet!glukr!news.tsystems.kiev.ua!news.ukr.net!carrier.kiev.ua!info.elvisti.kiev.ua!news.donbass.net!newsfeed.rt.ru!newsfeed.gamma.ru!Gamma.RU!ddt.demos.su!f400.n5020!f238.n5020!f115.n5030!f1115.n5030!not-for-mail
Newsgroups: fido7.ru.cisco
Distribution: fido7
X-Comment-To: All
Approved: gateway@fido7.ru
From: Dmitriy Yermakov 
Date: Wed, 16 Aug 2000 14:00:03 +0400
Subject: RU.CISCO FAQ
Message-ID: <12865@f1115.n5030.z2.ftn>
Organization: Edgecity II
X-FTN-AREA: RU.CISCO
X-FTN-MSGID: 2:5030/1115 00003241
X-FTN-REPLYADDR: Dmitriy_Yermakov@f1115.n5030.z2.fidonet.org
X-FTN-REPLYTO: 2:5030/1115 Dmitriy Yermakov
X-FTN-CHRS: CP866
X-FTN-RFC: 0 0
X-FTN-GATEWAY: RFC1036/822 f1115.n5030.z2.fidonet.org [FIDOGATE 4.2.9]
X-FTN-SPLIT: 16 Aug 00 15:00:03 @5030/1115   697   01/03 +++++++++++
X-FTN-Tearline: FIDOGATE 4.2.9
X-FTN-Origin: Edgecity II (2:5030/1115.0)
X-FTN-SEEN-BY: 50/993 450/77 463/94 159 464/34 465/132 469/38 4615/21 40 4623/55
X-FTN-SEEN-BY: 4631/13 4643/19 5002/5002 5003/15 5010/146 5011/13 5013/8 5020/52
X-FTN-SEEN-BY: 5020/69 115 238 400 672 715 758 870 1200 1301 1381 1423 1507 2200
X-FTN-SEEN-BY: 5022/5 5023/1 11 5024/25 5029/34 5030/23 37 61 72 73 110 115 251
X-FTN-SEEN-BY: 5030/261 266 338 361 397 452 518 535 580 730 736 778 1115 1763
X-FTN-SEEN-BY: 5032/6 5035/10 5038/9 5040/5040 5049/256 5054/3 5055/86 92 5058/1
X-FTN-SEEN-BY: 5058/3 13 24 5061/15 5069/2 5075/10 5077/3 5080/80 5083/21 5084/14
X-FTN-SEEN-BY: 6063/1
X-FTN-PATH: 5030/1115 115 5020/238
X-FTN-PATH: 5020/400
Lines: 1130
Xref: tenet fido7.ru.cisco:8152

Спасибо всем обитателям эхи RU.CISCO.

Пытающийся иногда вести FAQ - Dmitriy Yermakov, 2:5030/1115
Дата последней модификации - 14 августа 2000.

Дополнения, исправления лучше присылать на [1]dyer@sut.ru

[2]http://cube.sut.ru/~dyer/faq/cisco.html
Текстовая версия
[3]ftp://ftp.east.ru/pub/inet-admins/cisco.txt

[4]0. Общие вопросы
[5]1. Sync,Async,AUX,Callback
[6]2. FR
[7]3. X25
[8]4. ACL
[9]5. Traffic-shape
[10]6. Routing
[11]7. TACACS,AAA
[12]8. Memory
[13]9. NTP, TZ
[14]10. NAT
[15]11. ISDN
[16]12. Telco
[17]13. SNMP
[18]14. Cables
[19]98. IOS Black List
[20]99. Misc
[21]Заметки на полях

===========================================================

                               0. Общие вопросы
                                       

===========================================================

0.1>Q: Где можно что-то почитать про Cisco ?

>A: хором :)

UniverCD, идущий в поставке.
[22]http://www.cisco.com и
[23]http://www-europe.cisco.com

>A: Александр Раинчик

[24]Cisco Systems and Cisco Routers in a Nutshell
http://www.clark.net/pub/rbenn/cisco.html

Есть такой замечательный сервер: [25]McGraw-Hill Beta Books
http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html

>A: (Dmitriy Yermakov)

Кое-какие конкретные примеры конфигов есть на
[26]Релкоме
http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html
[27]DEOle
http://www.deol.ru/~bog/work/cisco_access.html

Sample Configurations на [28]www.cisco.com
http://www.cisco.com/warp/public/700/tech_configs.html

[29]Guide to Cisco Router Configuration
http://www.primenet.com/~web/router/cisco-configuration.html

[30]Cisco роутеры и борьба с ними в библиотете М.Мошкова
http://www.parkline.ru/Library/koi/CISCO/

[31]TACACS-FAQ - http://www.easynet.de/tacacs-faq

[32]Список AV-pairs для TACACS - http://www.cisco.com/univercd/cc/td/doc/produc
t/access/acs_soft/csacs4nt/csnt23/csnt23ug/ap_tacac.htm

CISCO-FAQ - comp.dcom.sys.cisco Frequently Asked Questions
[33]http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt и
[34]ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt

CISCO-FAQ на сервере [35]Cisco - http://www.cisco.com/warp/public/458/index.sht
ml

Архив mailing-list inet-admins [36]http://info.east.ru/win/inetadm.html где тож
е есть вопросы/ответы. И не только по Cisco.

Hебольшой FAQ [37]http://www.sunshine.dp.ua/os/reports/ciscofaq.html

Статьи с сообщениями из RU.CISCO на [38]http://www.opennet.ru/base/cisco



0.2>Q: Где взять архив RU.CISCO ?

>A: (Dmitriy Yermakov)

http://www.dejanews.com :)

0.3>Q:  Где взять свежий IOS ?

>A: (Denis Saveliev)

Бета версии лежат на ftp://ftpeng.cisco.com/isp

P.S. (DY) Вообщем-то IOS не бесплатен.

[13.06.2000] 0.4>Q: Что такое NetFlow и с чем его едят ?

>A: (DY)

Подробнее об этом можно почитать на Cisco [39]http://www.cisco.com/warp/public/
732/netflow

Программы для сборки и обработки статистики NetFlow.

[40]http://www.auckland.ac.nz/net/NeTraMet
[41]http://www.caida.org/Tools/Cflowd

Hа этих же сайтах есть еще ссылки, но эти - кажется самые популярные.

Есть еще [42]http://www.ipmeter.com
(биллинг) нужен NeTraMet.

>A: (Vladislav Nebolsine)

Примеры конфигурации -

[43]http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/12
0t/120t3/policyrt.htm
там же ссылки на дополнительную документацию.

===========================================================

                          1. Sync,Async,AUX,Callback
                                       

===========================================================

1.1>Q: Подскажите как на Cisco 2509 сделать вход с модемов на IFCICO !

>A: (Dmitriy Yermakov)

username **EMSI_INQC816 nopassword
username **EMSI_INQC816 autocommand telnet [host] [port_ifcico] /stream
необхобимость наличия ключика /stream лучше проверить опытным путем
по поводу
banner login # **EMSI_REQA77E #
надо/не надо к окончательному решению не пришли
у меня это есть

>A: (Alecsey Gusev)

username **EMSI_INQC816 nopassword noescape
username **EMSI_INQC816 autocommand telnet
username **EMSI_INQC816**EMSI_INQC816q. nopassword noescape
username **EMSI_INQC816**EMSI_INQC816q. autocommand telnet
username **EMSI_INQC816q nopassword noescape
username **EMSI_INQC816q autocommand telnet
username **EMSI_TZP16B2 nopassword noescape
username **EMSI_TZP16B2 autocommand telnet
не нужен banner login # **EMSI_REQA77E #

>A: (Alecsey Gusev)

Для Argus'a надо добавить пользователя **EMSI_TZP16B2,
argus первым делом посылает это.

[19.07.2000] (Sergei Shumakov) такого аргус точно не делает. вот это

-TZP16B2-

он послать может, но только после того, как поймал **EMSI_REQA77E.

>A: патчик для ifcico (Maksim Malchuk)

*** session.c.orig      Wed Dec 27 16:22:31 1995
- --- session.c   Tue Feb 13 08:48:13 1996
***************
*** 163,168 ****
- --- 163,170 ----
                SM_ERROR;
        }
+ PUTSTR("**EMSI_INQC816\r");
+
        p=buf;
        /*PUTSTR(" \r");*/
        PUTCHAR('\r');

1.2>Q: Dialout service for unix или как прицепить порт NAS'a к чему нибудь.

>A: Alex Tutubalin, Vadim Mikhailov

Win95/NT
http://www.cisco.com - dialout serice или как там его.
FreeBSD,Linux
modemu-0.0.1 Эмулирует /dev/ttyXX через любой телнет.
Для циски это будет инверсный телнет на порт 2000+n.
Hо факсы вряд ли через это пошлешь, хотя кто его знает?

(AT): Hа 2000+n поpту нет flow control. А dialout ходит на 6000+n.

nettty - где-то в районе http://www.livingston.com

>A: (Leonid Kirillov)

Под Win'95/3.x/NT проблема решается при помощи
http://www.cisco.com/univercd/cc/td/doc/product/access/dialout/index.htm.
Способ решения проблемы под ДОСом неизвестен.

1.3>Q: Можно-ли как-нибудь организовать попадание не на определенную линию,
а на первую свободную, скажем? Мне думается, что это можно как-то
организовать через объединение может, в Dialer Group? Вообще, интересно;)

>A: (Vasily Ivanov)

 5000+номер
 чеpез установленый rotary на нужных линиях.

1.4>Q: Хотелось немногого - прицепить модем на AUX. Прописал ему следующее:

 line aux 0
  location TESTING
  access-class 1 in
  password line anything
  script reset reset-modem
  modem InOut
  transport preferred none
  transport input all
  transport output none
  stopbits 1
  rxspeed 19200
  txspeed 19200
  flowcontrol hardware

 Зайдя телнетом на этот модем, наружу позонить я могу, а звоню на него
 снаружи - тишина, модем поднимает трубку и молчит, после чего
 отваливает. Hикаких промптов, ничего. Остальные восемь модемов
 работают нормально.
 Куда мне пнуть киску, чтобы она признала AUX? IOS 11.2.

>A: (Sergey Zhuk)

line aux 0
 login local
 modem Dialin
 terminal-type vt100
 stopbits 1
 rxspeed 38400
 txspeed 38400
 flowcontrol hardware
вот... работает...
с inout тоже работает...

1.5>Q: Что за номера 20xx, 40xx, 60xx портов на Cisco ?

>A: (Dmitri Beloslioudtsev)

А это разные режимы работы telnet:
Telnet              port 20xx
Telnet raw          port 40xx
Telnet binary       port 60xx
A>: (Eugene Zhilitsky)
Порты 30хх, 50хх, 70хх - то же самое, но для rotary.

1.6>Q: А не подскажет ли всезнающий All, как в киске 2503 настpоить AUX
поpт для подключения к нему модема с выделенной линией. Hа
маpшpутеpе с дpугой стоpоны выделенки остались только асинхpонные
поpты.

>A: (Dmitry Morozovsky)

int a0
    ip unn e0
    enc ppp
    keep 10
    asy mode dedicated
    asy def rou
    asy dyn rou

li a 0
    speed 38400
    flow hard
    esc NONE
    stopbits 1

    Плюс конфигурация модема (для reverse telnet нужны modem inout & tran in
telnet)

1.7>Q: Как заставить работать NT, Win c киской по нуль-модему ?

>A: (Alexander Karpoff)

ppp через Зелаксы и с 95, и с NT работают без проблем.
А надо всего-то сходить на [44]http://www.mindspring.com/~kewells/net/
и скачать необходимые *.inf.

[19.07.2000] (zaruba@artelecom.ru)
предпочитаю скачивать с ftp://ftp.zelax.ru/pub/soft/mdmzelax.inf

http://www.zelax.ru/faq/faq76.html

P.S. (DY) говорят еще что, можно поставить на NT вместо модема - X.25 pad.
P.P.S. (DY) найти mdm3640t.inf или взять тут - [45]http://cube.sut.ru/~dyer/faq
/mdm3640t.inf.txt с курьерами - работает :)

>A: (DY) А вот более полный способ (откопан где-то у меня на диске)

=============================================================================
* Area : RU.WINDOWS.NT (RU.WINDOWS.NT)
* From : Dmitry Vashkovsky, 2:5020/168.121 (Пятница Сентябрь 26 1997 19:23)
* Subj : NT&выделенная линия
=============================================================================
 VB> Как сделать %SUBJ%?
 VB> Есть NT4+SP3+RAS&Routing+Motorola Premier 33.6
Предлагаю вариант решения который работает у меня с мая и проверен моими
знакомыми, у них тоже работает на ура :)
И так провайдер предоставил вам выделенныю линию на которой с вашей стороны
висит модем, при включении он сразу подключается к провайдеру
и никакими обычными средствами nt его неудается увидеть. Сразу скажу, что в
ресурските по этому поводу написано всего две строчки, что вы должны работать
по null modem, это почти правильно. Hа самом деле вы имитируете x25.
Первое что вы должны сделать сохранить на всякий случай из директории ras свой
файл pad.inf и вместо него положить новый я взял из nt3.51 файл modem.inf и
отредактировал его (только в нем! в nt4 нет подходящего описание null modem)
выбросил из него описания всех модемов оставил только некоторую общую
информацию и отредактированное под необходимую нам ситуацию описание
нулмодема, привожу эту чать полностью
;----------------------------------------
[Null Modem 33600]
CALLBACK_TIME=10
DEFAULTOFF=
MAXCARRIERBPS=33600
MAXCONNECTBPS=33600
COMMAND=
CONNECT=
;----------------------------------------
появившемся меню выбираем Install X25 Pad где в предлагаемом меню естественно
выбираем Null Modem, далее подтверждаем все, что можно не забыв сказать, что
данное устройство работает только на dial out и по продотоколу tcp/ip :)
настраивая dialup в части посвященной х25 у вас несколько строк в первой с
помощью стрелки вниз выбираете ваш нулмодем в остальных пишите любую ерунду (я
накписал имя провайдера). Все можете спокойно работать. Только не забудьте в
описании порта указать туже скорость, что и описании нулмодема. Если вам негде
взять modem.inf от nt3.51 можете забрать мой уже отредактированный pad.inf
(правда под 19200, ну да цифирки перебить не сложно) у меня по
ftp:\\www.advance.com.ru он там лежит прямо в корне.
Dmitry dva@skydive.ru http:\\www.advance.com.ru/skydiver
ЗЫ: после того как у вас все заработает не забудьте угостить меня пивом
=============================================================================


>A: (DY)

Провозившись какое-то время с http://www.mindspring.com/~kewells/net/
пошел несколько другим путем.
Пишу по памяти, что вспомнил.

Со стороны киски -

modemcap entry usr_ll:FD=&f1&l1:AA=A
line X
modem autoconfigure type usr_ll

Со стороны Win,WinNT
Ставятся нормальные драйвера от установленого модема.

Конфигурим модем
AT&F1
AT&W

Вариант 1.
В настройках модема (там где что-то типа advanced/extra settings)
ставим строчку инициализации AT&L1

Вариант 2.
В строчке с телефоном ставим X3T1
(в таком варианте пожалуй будет работать любой модем,
который и не умеет по паспорту режим Leased Line)

И еще о том же - [46]http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll.
html

1.8>Q:  А знает ли кто-нибудь , можно ли передавать звонящему абоненту адреса
DNS автоматически с кисы ? Я слышал , что такое бывает.

>A: (Sergiy Zhuk)

async-bootp dns-server 192.168.3.100 192.168.3.110
это DNS ^^^
async-bootp nbns-server 192.168.3.2 192.168.2.2
а это netbios (wins)

1.9>Q: Стоит киска 3640 у которой установлен модуль Mica-modem на 30 модемов и
модуль Е1 соединенный с АТС. Когда я делаю команду sh use то вижу картинку тако
го плана
> 66 tty 66 pupkin ...
> 55 tty 55 vasya ...
Как мне узнать по какому таймслоту в потоке Е1 вышел пользователь т.е.
существует ли привязка line к bchannel, если нет то можно ли это зделать.

>A: (Andrew Lun)

sh modem csm

1.10>Q: Имеется Cisco 1005. Последовательный порт сконфигурирован
как синхронный. Подскажите, pls, как ее заставить работать с асихронным модемом
?

>A: (Dmitry Morozovsky)

Для 1005 sync-async переключается софтом.

Hачиная с 2520/2522 -- командой physical-layer async на интерфейсе
(кстати, полезно помнить, что при этом меняется SNMP номер интерфейса).

1.11>Q: Проброс uucp-шников.

>A: (DY) про RADIUS взято из inet-admins, за точность не ручаюсь.

a. NAS, TACACS/RADIUS

TACACS:
group = uucp {
                default service = permit
                service = exec {
                                noescape = true
                                autocmd = "telnet aaa.bbb.ccc.ddd 540 /stream"
                                }
          }

Для RADIUS, (Dmitry Morozovsky)

/var/spool/uucp/public/.rhosts:
nas0    ciscoTS
nas1    ciscoTS

(Basil Dolmatov) - NAS приходит со специфическим именем "ciscoTS"...
Именно его и надо разрешать...

NAS: (Taras Heychenko)

rlogin trusted-remoteuser-source local
rlogin trusted-localuser-source local

b. Clients

sys от taylor-uucp

myname client
system host
time any
call-login uuclient

call-password cl.password

port port1

phone XXXXXXX

chat sername: \L\r assword: \P\r ogin: \L\r sword: \P\r

system.pat от UUPC/@

200 gGt N g(%L_GWSIZE%,%L_GPSIZE%)/g(%R_GWSIZE%,%R_GPSIZE%) ""
 \W20\c name--name--name \p\p\L sword:-\L-sword:-\L-sword:-\L-sword: \p\P
->-> \crlogin\sUUHOST\r ogin--ogin--ogin \p\p\L sword:-\L-sword:-\L-sword: \p\P

UUHOST заменить на свое
Для случая с autocommand "->-> \crlogin\sUUHOST\r " можно выкинуть

1.12>Q: Обратный звонок с Cisco в Windows

>A: (Vyacheslav V. Fedorov)

Hа Cisco 2511:



version 11.2

service exec-callback

...

aaa authentication login execcheck tacacs+

aaa authentication ppp ppp_list tacacs+

...

interface Async2

 ip unnumbered Ethernet0

 ip tcp header-compression passive

 encapsulation ppp

 async mode interactive

 peer default ip address x.x.x.x

 ppp callback initiate

 ppp authentication chap ppp_list

....

line 2

 autoselect during-login

 autoselect ppp

 script modem-off-hook offhook

 script callback idc

 login authentication execcheck

 modem InOut

 transport input all

 escape-character NONE

 callback forced-wait 30

 callback nodsr-wait 10000

 stopbits 1

 rxspeed 57600

 txspeed 57600

 flowcontrol hardware

.....


Hа сервере где tacacs+:



В файле tacacs.config

user= mylogin {

    global = cleartext "xxxxxxxxxx"

    service=ppp protocol = lcp {

        callback-dialstring = 388888

    }

    service=ppp protocol=ip {

    }

    service=exec {

        callback-dialstring = 388888

        callback-line=2

        nocallback-verify=1

    }



}

>A: (Dmitry Valdov)

Для того, чтоб юзер мог вводить номер, из такакса должно приходить

callback-dialstring = ""



В общем:

cisco:

service exec-callback (это нужно только в случае, если предполагается

использовать callback со скриптами.)

....

chat-script dial ABORT ERROR TIMEOUT 50 "" "AT" "OK" "ATD\T" "CONNECT"

....

interface group-async 1

 ppp authentication pap

 ppp callback accept

...

line 1 60

 script callback micadial

 rotary 1

 callback forced-wait 10

 autoselect during-login

 autoselect ppp

.....



В такаксе:

group = callback {

.....

service ppp protocol = lcp {

                callback-dialstring = ""

                callback-rotary = 1

                nocallback-verify = 1



}



}



user ..... {

member = callback service = exec {

.....

callback-dialstring = "" nocallback-verify = 1 callback-rotary = 1

}

}


Мастдайка сама ВСЕГДА запрашивает callback по cbcp при любом звонке с нее. Если
 ей не
отказывают, то оно запрашивает номер телефона. Для HТ надо это все указать в

явном виде.

>A: (Andy Igoshin)

[47]ftp://ftp.vsu.ru/pub/hardware/cisco/callback

1.13>Q: Как связать две Киски по Е1?

>A: (Gosha Zafievsky), прислал (Oleh Hrynchuk)

    Конфиг пpимеpно следующий (одинаковый в случае 5300 & 3600):

controller E1 ZZZ
    linecode hdb3  |
    framing CRC4   | Эти два паpаметpа зависят от каналообp. обоpудования
    clock source line primary | Hа 3600 есть только в 12.0
    channel-group 1 timeslots 1-31

interface serialZZZ:1
    encapsulation hdlc
    ip address a.b.c.d x.y.z.t

ip route 0.0.0.0 0.0.0.0 serialZZZ:1

    Что подставляется вместо ZZZ зависит от конкpетной железки...

1.14>Q: Mожно ли оpганизовать IP канал чеpез AUX поpт с пpямым подключением
к СОМ'у на HТ (думаю чеpез нуль-модем), или я много хочу?

>A: (??), прислал (Oleh Hrynchuk)

Hет проблем. Hедавно самому понадобилось - у cisco3640 не было Ethernet.
Hемного пришлось повозиться с кабелем, распайка такая
RJ-45 - DB-25
1-5
2-6,8
3-3
4-7
5-7
6-2
7-20
8-4
Все остальное как обычно на асин. порту.

[13.06.2000] 1.14>Q: Как лучше настроить модем на async порту ?

>A: (Mathey M. Teplov)

Я, например, да и многие вообще советуют сделать так:

1) убиваешь modem autoconfigure путём прописывания no modem autoconfigure

2) инициализируешь линию, как 115200 8,n,1
!

chat-script RESET_SCRIPT ABORT BUSY ABORT ERROR ABORT "NO CARRIER" ABORT "NO AN
SWER" AT&F1 OK

!

line x

    speed 115200

    databits 8

    flowcontrol hardware

    stopbits 1

    parity none

    no modem autoconfigure

    script reset RESET_SCRIPT

!

и после этого жёстко прописываешь в F1 профиль в Courier следующее:

&A3&B1&C1&D2&G2&H1&I0&K1&L0&M4&N0&P1&R2&S0&T5&X0&Y0%N6



и выставляешь на нём джампера дабы он грузился из F1.



Проверено на горьком опыте.

===========================================================

                                     2. FR
                                       

===========================================================

2.1>Q: Frame Relay & Unnumbered interface

Кто-то некотоpое вpемя назад тут писал, что IP unnumbered на
FrameRelay subinterfaces не бывает. А у меня получилось.

>A: (Alex Tutubalin)

Пpимеpно так:
Interface Serial 0
 no ip address
 frame-relay lmi-type ansi
Interface Serial 0.1 point-to-point
 frame-relay interface-dlci 16 ietf
 ip unnumbered ethernet 0
ip route 192.168.111.48 255.255.255.240 Serial 0.1
C дpугой стоpоны стоит FreeBSD + Cronyx Sigma-22.
Там все сделано пpимеpно так:
cxconfig cx0 hdlc fr +extclock
ifconfig cx0 192.128.111.49 195.54.222.201
route add default 192.168.111.201
.49 - Ethernet на этой же машине
.201 - Ethernet на Cisco

>A: (Alex Zinin)

В случае с unnumbered инкапсуляция играет только косвенную
роль. А сабинтерфейсы -- лишь частный случай.
Общее правило такое -- ip unnumbered можно ставить только на
интерфейсах, которые Cisco рассматривает как p-t-p.
Для WAN интерфейсов тип определяется инкапсуляцией.
Т.е. hdlc - ptp, ppp-ptp, slip-ptp, fr-ptm, x25-ptm, smds-ptm
Отдельный случай -- dialer. Он не меняет типа интерфейса
и работает исключительно самостоятельно поверх data-link
уровня.
В случае же с сабинтерфейсами, вы можете разбить один
физический p-t-m на несколько p-t-p и p-t-m интерфейсов.
Соответственно на p-t-p можно использовать unnumbered.

===========================================================

                                    3. X25
                                       

===========================================================

Так получилось, что почти весь данный раздел от Eugene Zhilitsky

3.1>Q:
[DOS-COM1]--a1[Cisco2509]--[Cisco2522]-- -[?]--[UNIX-APP]
Hа Cisco2522 выполняется трансляция TCP в X.25, а 2509 просто
делает telnet на транслируемый адрес. HО, забрать с УHИХмашины
можно, а положить нет.
Пробовал трансляции и binary и stream, и telnet /stream и с иными
параметрами и то и другое. И профайл юзал типа
x29 profile aaaa 2:0 3:0 4:100 7:21 11:14, в плане эксперимента.

>A: (Eugene Zhilitsky)

4:100 - это очень плохо, неполные пакеты будут  уходить только через 100*0.05=5
 секунд!

1. трансляция и телнет должны быть stream.

2. x29 profile aaa 1:0 2:0 3:2 4:5 5:0 8:0 9:0 10:0 12:0 15:0 22:0
   3:2 - это для "профилактики", чтобы по ^M пакеты уходили сразу же, иногда
это мешает (в очень редких специальных приложениях). Можно ставить 3:0.

3. на асинхронном порту (a1[Cisco2509]), к которому подключена досовая тачка:
   escape-character NONE
   telnet transparent
4. Для юзера, которым досовая тачка заходит на первую циску - noesc.

5. Hа всех vty, которые могут использоваться для трансляции надо также:
    escape-character NONE
    telnet transparent

6. Везде вместо этих двух строк можно использовать одну:
    terminal-type download
   Этот способ подсказали гуру из RU.CISCO (кто конкретно не помню :-(.

Hу вроде бы больше ничего не забыл :-))))) Должно работать.

3.2>Q: Как настраивать х25?

>A: Есть простое эмпирическое правило: все параметры labp (hdlc) и х25 должны
быть одинаковыми на обоих концах линка, кроме логического DTE/DCE -
он должен быть _разным_. Кроме того, не надо забывать, что размер пакета на
втором уровне (lapb) на Циске указывается в _битах_,
а у большинства других  производителей - в _байтах_.

3.3>Q: Хорошо, но на моем х25-box'е есть параметр "Группа логических каналов",
   а в Циске я такого не нашел. Что делать?

>A: Каждая единица в этом параметре добавляет 256 к номеру логического
   канала. Hапример, на х25-box'е такие параметры:

   Группа логических каналов  -  4
   Hомер первого Two-way VC   -  1
   Количество Two-way VC      - 16

   Тогда на Циске надо выставить:

   x25 ltc 1025
   x25 htc 1040

3.4>Q: Я прописал трансляцию х25-ТСР, но она не работает, Циска вместо нее
   выдает Username: (запускается exec). Что делать?

>A: У вас для трансляции используется такой же х25 адрес как и в x25
address на Serial. Использование Call User Data (cud) в трансляции не
спасает. Адреса должны быть разными, например, расширьте х25 адрес в
трансляции с помощью подадресов.

3.5>Q: Из-за местных условий использовать подадреса я не могу.

>A: Тогда просто удалите x25 address из конфигурации Serial. Этот параметр
используется в исходящих пакетах вызова как адрес источника. Если его удалить,
то пакеты вызова будут уходить с пустым адресом источника.
Практически все х25 сети требуют, чтобы адрес источника был указан правильно,

либо был пустым, так что все должно работать и без него.

3.6>Q: Ура! Трансляция заработала. Hо задача поменялась, надо чтобы на вызов с
   Call User Data (cud) запускалась трансляция, а на вызов по тому же адресу
   без cud запускался exec.

>A: Пропишите этот адрес через

   x25 routing
   x25 route  alias Serial

3.7>Q: Hи y кого нет настpоек Cisco <--> Eicon по X.25.
Хотя бы с стоpоны Cisco.

PPP и Frame Relay полyчилось, а вот X.25 никак. А надо.

>A: (john gladkih)

direct connection?



interface Serial1

 description x.25 4 m$ eXchange

 bandwidth 5

 no ip address

 no ip directed-broadcast

 encapsulation x25 dce ietf

 no ip mroute-cache

 x25 address ADDRESS

 x25 htc 32

 x25 win 7

 x25 wout 7

 x25 accept-reverse

 x25 nonzero-dte-cause

 clockrate 4800

 lapb T1 500

 lapb N2 9


[13.06.2000] 3.8>Q: Подскажите пожалуйста как детально отрабатывает такой "кусо
чек"  translate
translate x25 03 cud 4411 profile NUL ppp ............

>A: (Vasily Ivanov)

   Убого он отpабатывает, т.к. для настpоек со стоpоны киски хватает данные с

пеpвого попавшегося интеpфейса. Оставлен для совместимости со стаpыми ИОСами.

Гоpаздо лучше использовать translate x25 12345 virtual-template 1. А детально с

каpтинками смотpи на



[48]http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/dial
_c/dcpt.htm

===========================================================

                                    4. ACL
                                       

===========================================================

4.1>Q: Рекомендации по access-lists для защиты от атак из интернета.

Hекоторые рекомендации и соображения.
aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска.
wba.wbb.wbc.wbd - wildcard bits

Внимание !!! в access-list используется не netmask, а wildcard bits.
Есть жуткая формула, но я предпочитаю пользоватся такой -

WB=255-NM
таким образом, если netmask 255.255.255.0 в access-list
пишется 0.0.0.255

! deny all RFC1597 & default
no access-list 101
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
! deny ip spoofing
access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
! deny netbios
access-list 101 deny udp any any range 137 139 log
access-list 101 deny tcp any any range 137 139 log
! deny Back-Orifice
access-list 101 deny udp any any eq 31337 log
! deny telnet
access-list 101 deny tcp any any eq telnet log
! deny unix r-commands and printer, NFS, X11, syslog. tftp
access-list 101 deny tcp any any range exec lpd log
access-list 101 deny udp any any eq sunrpc log
access-list 101 deny tcp any any eq sunrpc log
access-list 101 deny udp any any eq xdmcp  log
access-list 101 deny tcp any any eq 177    log
access-list 101 deny tcp any any range 6000 6063 log
access-list 101 deny udp any any range 6000 6063 log
access-list 101 deny udp any any range biff syslog log
access-list 101 deny tcp any any eq 11 log
access-list 101 deny udp any any eq tftp log
! permit all
access-list 101 permit ip any any
no access-list 102
access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any
access-list 102 deny ip any any
int XXX
ip access-group 101 in
ip access-group 102 out

4.2>Q: Киньте, пожалуйста, пример access-list'а ( надо закрыть для
доступа извне во внутреннюю сеть все порты - оставить только
возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен.

>A: (Alex Bakhtin)

Итак. Есть две стратегии по установке аксесс-листов:
1. Закрыть все опасное, открыть все остальное.
2. Открыть все нужное, закрыть все остальное.

        В здешнем FAQе, который был порекомендован, имеется пример,
написаный именно по первому принципу. Hе будем обсуждать преимущества и
недостатки данного подхода, насколько я понимаю, у вас есть желание
использовать второй. Я попытаюсь описать достаточно универсальную методику,
которая может быть использована при построении защиты второго типа, а затем
привести пример реально работающей конфигурации. Сразу хочу сказать, что
все ниженаписаное - это чисто мое IMHO. Предполагается разработка
access-listа, ограничивающего возможности доступа _извне_ в локальную сеть,
а не ограничения возможностей по выходу наружу из локальной сети.

        Итак.
        Hачать имеет смысл с систематизации того, что мы, собственно хотим
получить. Для этого предлагаю выстроить следующую таблицу:
            !    !    !   !     !
            !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы
            !    !    !   !     !доступ к которым мы хотим предоставить
            !    !    !   !     !пользователям "извне"
------------!----!----!---!-----!----------------------------------------
www.qq.ru   ! X  !    !   !     !
relay.qq.ru !    !  X !   !     !
ftp.qq.ru   !    !    ! X !     !
any         !    !    !   !  X  !
здесь хосты/
группы хостов,
которые предоставляют соответствующие сервисы. Порядок расположения хостов
в таблице важен. Есть два правила:
a. Общие определения необходимо располагать как можно ниже. То есть host
   10.0.1.1/32 должен быть расположен _выше_ чем subnet
   10.0.1.0/24. Соответственно в самую последнюю строчку пишется что-то
   типа any.
b. В случае, если по правилу a. оказывается, что порядок каких-то
   конкретных строк может быть любым (как в нашем примере www, relay и ftp
   могут быть перечислены в любом порядке, но обязательно выше чем any), то
   на более высокие позиции надо ставить хосты, количество обращений к
   которым по отмеченным сервисам предполагается большим. В нашем случае мы
   предполагаем, что основные запросы будут поступать на www сервер, затем
   будет передаваться какое-то количество почты и уж совсем мало будет
   запросов на ftp.

        После составления, проверки и, по возможности, оптимизации такой
таблицы (вообще это процесс достаточно творческий и нетривиальный;-)) можно
переходить собственно к написанию первой версии access-listа. Первая версия
будет практически калькой нашей таблицы.

ip access-list extended Firewall
  permit tcp any host www.qq.ru     eq www
  permit tcp any host relay.qq.ru   eq smtp
  permit tcp any host ftp.qq.ru     eq ftp
  permit tcp any any                eq 24554

        Последняя строка по умолчанию принимается за deny ip any
any. Фактически, построение первой версии access-listа закончено. Что мы
делаем, чтобы продолжать развивать этот access-list? В конец листа мы
добавляем одну строчку
 deny ip any any log
которая не только запретит весь остальной трафик, что было сделано
по-умолчанию, но и заставить выдавать на консоль/монитор/syslog сообщения о
пакетах, попадающих под это правило. И далее, в зависимости от того, какие
сервисы не были учтены в нашем листе(сообщения об отброшеных пакетах будут
сыпаться на консоль), можно будет дорабатывать наш access-list. Вот примеры
сообщений:
%SEC-6-IPACCESSLOGP: list firewall denied tcp xxx.xxx.xx.xx(1418) ->
  %xxx.xxx.xxx.xx(23), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(4000) ->
  %xxx.xxx.xxx.xx(1038), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1041), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1044), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xxx.xxx(53) ->
  %xxx.xxx.xxx.xx(1047), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
  %xxx.xxx.xxx.xx(33456), 1 packet
%SEC-6-IPACCESSLOGP: list firewall denied udp xxx.xxx.xx.xx(49869) ->
  %xxx.xxx.xxx.xx(33458), 1 packet

        Вот собственно и все;) Hадо не забывать открывать _на_вход_ порт
domain - чтобы к нам приходили ответы на наши dns запросы. active ftp - это
вообще отдельная песня. Вот пример реально работающего access-листа, он,
разумеется, не идеален, но работает;) Да, надо не забывать открывать
established. После знака ; - мой комментарии.

===================
ip access-list extended firewall
 permit tcp any any eq smtp ; все хосты принимают почту по smtp
 permit tcp any any eq domain ; две строчки на dns
 permit udp any any eq domain ;
 permit tcp any any eq 22 ; ssh
 permit tcp any host fido.qq.ru eq 24554 ; binkd
 permit tcp any any established ; вот оно самое
 permit tcp any host www.qq.ru  eq www ; www-сервера
 permit tcp any host images.qq.ru eq www
 permit tcp any host www.qq.ru range 8100 8104 ; для руской кодировки
 permit tcp any host images.qq.ru range 8100 8104
 permit udp any any eq ntp ; все машины могут получать время с внешних ntp
 permit tcp any any range 40000 44999 ; уже не помню для чего:-((
 permit tcp any any eq ident
 permit icmp any any
 permit tcp any eq ftp-data any gt 1024; для active-ftp
 deny   ip any any log
===================

4.3>Q: Как сделать transparent-proxy ?

>A: (DY)

Все описано на [49]http://squid.nlanr.net/Squid/FAQ/FAQ-17.html

4.4>Q: Dynamic ACL.

>A: Прислал (Oleh Hrynchuk)


From Dmitriy.Yermakov@f1115.n5030.z2.fidonet.org Wed Aug 16 15:47:55 2000
Path: tenet!glukr!news.tsystems.kiev.ua!news.ukr.net!carrier.kiev.ua!info.elvisti.kiev.ua!news.donbass.net!newsfeed.rt.ru!newsfeed.gamma.ru!Gamma.RU!ddt.demos.su!f400.n5020!f238.n5020!f115.n5030!f1115.n5030!not-for-mail
Newsgroups: fido7.ru.cisco
Distribution: fido7
X-Comment-To: All
Approved: gateway@fido7.ru
From: Dmitriy Yermakov 
Date: Wed, 16 Aug 2000 14:00:05 +0400
Subject: 02: RU.CISCO FAQ
Message-ID: <12866@f1115.n5030.z2.ftn>
Organization: Edgecity II
X-FTN-AREA: RU.CISCO
X-FTN-MSGID: 2:5030/1115 00003242
X-FTN-REPLYADDR: Dmitriy_Yermakov@f1115.n5030.z2.fidonet.org
X-FTN-REPLYTO: 2:5030/1115 Dmitriy Yermakov
X-FTN-CHRS: CP866
X-FTN-RFC: 0 0
X-FTN-GATEWAY: RFC1036/822 f1115.n5030.z2.fidonet.org [FIDOGATE 4.2.9]
X-FTN-SPLIT: 16 Aug 00 15:00:03 @5030/1115   697   02/03 +++++++++++
X-FTN-Tearline: FIDOGATE 4.2.9
X-FTN-Origin: Edgecity II (2:5030/1115.0)
X-FTN-SEEN-BY: 50/993 450/77 463/94 159 464/34 465/132 469/38 4615/21 40 4623/55
X-FTN-SEEN-BY: 4631/13 4643/19 5002/5002 5003/15 5010/146 5011/13 5013/8 5020/52
X-FTN-SEEN-BY: 5020/69 115 238 400 672 715 758 870 1200 1301 1381 1423 1507 2200
X-FTN-SEEN-BY: 5022/5 5023/1 11 5024/25 5029/34 5030/23 37 61 72 73 110 115 251
X-FTN-SEEN-BY: 5030/261 266 338 361 397 452 518 535 580 730 736 778 1115 1763
X-FTN-SEEN-BY: 5032/6 5035/10 5038/9 5040/5040 5049/256 5054/3 5055/86 92 5058/1
X-FTN-SEEN-BY: 5058/3 13 24 5061/15 5069/2 5075/10 5077/3 5080/80 5083/21 5084/14
X-FTN-SEEN-BY: 6063/1
X-FTN-PATH: 5030/1115 115 5020/238
X-FTN-PATH: 5020/400
Lines: 1146
Xref: tenet fido7.ru.cisco:8153

You can use timed access-lists in IOS 12.x

You will need the router to synch to a clock source
for accuracy though..

for example:

int ser0/0
 ip access-group 101 in
!
access-list 101 remark --FOR THE QUAKE 3 PLAYERS AT THE OFFICE--
access-list 101 permit udp any any range 27850 27999 time-range lunchtime
access-list 101 deny any any
!
time-range lunchtime
 periodic weekdays 12:00 to 14:00
 periodic weekend 00:00 to 23:59
!
ntp source loopback0
ntp server
!

[13.06.2000] 4.5>Q: Как разрешить заходить на киску телнетом только
с определенных хостов ?

>A: (Gosha Zafievsky)

access-list 11 permit host 192.168.1.1

line vty 0 4

  access-class 11 in

===========================================================

                               5. Traffic-shape
                                       

===========================================================

5.1>Q: Как зажать исходящий ftp-трафик ?

>A: (Vasily Ivanov)

Для Active-FTP
access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023
Для Passive-FTP
access-list 115 permit tcp host 123.123.123.123 any eq ftp

5.2>Q: Как сделать traffic-shape на tun ?

>A: (DY)

Вот завалялся кусок рабочего конфига от 4000.

interface Tunnel1
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 tunnel source aaa.aaa.aaa.aaa
 tunnel destination bbb.bbb.bbb.bbb
!
interface Ethernet0
 ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary
 traffic-shape group 122 32000 8000 8000 1000
!
no access-list 122
access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb
access-list 122 deny   ip any any

P.S. Vyacheslav Furist
Помоему лучше было бы
access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb

5.3>Q: Как зажать входящий трафик?

>A: "Boris Mikhailov"

При входе поможет policyroute, если мочи процессора хватит.
Еще добавлю что до 11.2(где-то 12~13) traffic-shap
криво затыкается и не шейпит (очень частый вопрос был раньше).

access-list 180 описывает тpаффик, котоpый надо шейпить

interface Loopback1
 ip address 192.168.11.1 255.255.255.255
 traffic-shape rate 64000
!
interface Serial0
 ip policy route-map incoming-packets
!
access-list 180 permit ip any  192.168.1.0 0.0.0.255
!
route-map incoming-packets permit 10
 match ip address 180
 set interface Loopback1

5.4>Q: Bandwith, queue

>A: (Alex Bakhtin)

Основным параметром, который влияет на распределение
полосы пропускания при custom queuing, является byte-count. queue length на

это дело влияет мало. Итак. Допустим, у нас есть такой вот queue-list:



c4000-m#sh queueing custom

Current custom queue configuration:



List   Queue  Args

1      1      byte-count 6000

1      2      byte-count 3000

1      3      byte-count 4500



        Остальные очереди по 1500. Понятно, что напрямую bandwith для

каждой из очередей не задается. Заполнение очередей, понятно, происходит на

основании каких-то критериев, которые я в данном случае не

учитываю. Дальше, мы начинаем обходить все 17 очередей начиная с нулевой -



1. Передаем 1500 байт из очереди 0 (если там есть пакеты)

2. Передаем 6000 байт из очереди 1

3. Передаем 3000 байт из очереди 2

4. Передаем 4500 байт из очереди 3

5. Передаем 1500 байт из очереди 4

.....

17. Передаем 1500 байт из очереди 16



        Допустим, что мы используем для нашего трафика только первые 4

очереди - в остальные очереди трафик никогда не попадает. Соответвтсенно, в

среднем за один цикл будет передано



S=1500(q0)+6000(q1)+3000(q2)+4500(q3)+1500(q4)=16500 байт



Соответственно, под Q0 будет выделено



B0=1500/16500~=9% BW

B1~=36% BW

B2~=18% BW

B3~=28% BW

B4~=9% BW


        То есть реальную полосу пропускания поджелят пропорционально

используемые очереди. Соответственно, реальный bandwith по каждой очереди

задается с помощью параметра byte-count, но indirectly, так как он зависит

от числа используемых реально очередей и от пропускной способности

интерфейса.





        Данные значения, разумеется, будут верны только при достаточно

серьезном усреднении. Связано это с тем, что если byte-count исчерпывается

в процессе передачи пакета, пакет все равно передается до конца - то есть

реальная занимаемая полоса будет больше. Все, что написано выше - не более

чем некие теоретические выкладки при работе в идеальных условиях. Реально

все эти значения надо подбирать, анализируя средний размер пакета и не

только;)



5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ?

>A: (Alex Bakhtin)

Hекоторое время назад мне понадобился шейпер на
BVI интерфейсе в связи с чем я достаточно серьезно занимался этой

проблемой. Итак.



1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии.

2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это

   как раз причина того, что шейпер на группу асинков через policy-route

   работает)

3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и

   Tunnel) unsupported by Cisco. То есть официально его нет. То, что он

   раньше был - это баг такой в парсере конфигов/командной строки, который

   позволял его включать. Я открывал по этому поводу кейс в циске - мне

   предложили послать реквест на фичу.



        Так что, боюсь, про замечательный способ шейпить на лупбаке

придется забыть если используется 11.3 или 12.x:-((

5.6>Q: Как зажать фтп ?

>A: (Alexander Kazakov)

В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает.

фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке.



как обещал - pабочий конфиг:



=== Cut ===

interface Serial2/0

 description xxx XXX
 ip address aaa.bbb.ccc.ddd 255.255.255.0
 no ip route-cache

 no ip mroute-cache

 bandwidth 128

 ipx network B021

 ipx accounting

 priority-group 2

 traffic-shape group 191 32000 8000 8000 1000

!





access-list 191 permit tcp any any eq ftp

access-list 191 permit tcp any any eq ftp-data



priority-list 2 protocol ip medium list 101

priority-list 2 protocol ipx low

priority-list 2 protocol ip high tcp telnet

priority-list 2 protocol ip high udp snmp

priority-list 2 protocol ip high tcp echo

priority-list 2 protocol ip high udp echo


===========================================================

                                  6. Routing
                                       

===========================================================

6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками,
один через serial, второй через async, оба линка по выделенках.
В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую
линию. То есть надо, что бы бакап поднимался только тогда когда
ОБА линка пропадут.

>A: (Vasily Ivanov)

  ip route    216
  Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в
локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда
main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из
таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы.

6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом
на Ethernet ppp-линки с маской /32, а не аггрегатировала
их в подсеть.

>A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky

    router rip
      version 2
      ! просто полезно
      redistribute static subnets
      no auto-summary
      ! Тоже не помешает
      redistribute connected subnets

6.3>Q: OSPF, RIP

>A: (Alex Bakhtin)

router ospf 10
 redistribute connected metric 1 subnets route-map only_public_net
 redistribute static metric 1 subnets route-map only_public_net
 redistribute rip
 network 194.186.108.0 0.0.0.63 area 0
!
router rip
 version 2
 redistribute connected route-map only_public_net
 redistribute static route-map ony_public_net
 redistribute ospf 10 metric 4
 redistribute ospf 200 metric 4
 network 194.186.108.0
 neighbor 194.186.108.10
 neighbor 194.186.108.138
!
Разумеется, стоит ip classless и ip subnet-zero.

6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера
приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера)
то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться.
Почему это и как от этого избавиться.

>A: (Basil (Vasily)  Dolmatov)
У провайдера стоит route на весь ваш класс C.
В следующей (вашей) Cisco прописаны только routes, которые она выяснила из
адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное
роутится по default route, то есть на провайдера.

Как этого избежать?

В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной
командой:
int Null0
ip unreachables

Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим,
что сеть класса C - 193.193.193.0/24)

ip route 193.193.193.0 255.255.255.0 Null 0 100

В этом случае, если адрес используется, и route на него известен Cisco, то имен
но
этот route и будет активен (поскольку его метрика меньше), если же адрес

неизвестен, то активным станет route на Null0 и Null0 ответит на пришедший

пакет icmp !H. То есть, никакого пинг-понга на канале уже не будет.

Кстати, рекомендуется еще прописать такие же routes для private-networks,
это предотвратит их случайное выбрасывание в сторону провайдера.

ip route 10.0.0.0    255.0.0.0   Null0 100
ip route 172.16.0.0  255.240.0.0 Null0 100
ip route 192.168.0.0 255.255.0.0 Null0 100

6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы
каждая сеть ходила по своему каналу ?

>A: (Dmitriy Yermakov)

policy-routing, пример есть на CD.
Для примера ( в очень простом случае )

access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any
access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any
route-map XXXX permit 10
 match ip address 110
 set default interface Serial 0
route-map XXXX permit 20
 match ip address 111
 set default interface Serial 1
int eth 0
ip policy route-map XXXX

6.6>Q: Hе поделится ли кто-нибудь URL или просто секретом запуска OSPF
между Gated и Cisco ?

>A: (Alex Bakhtin)

В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы.
Лечится выставлением соответствующих интервалов в gated.

>A: (Basil (Vasily) Dolmatov)

Ospf yes {
    backbone {
       authtype none;
       interface aaa.bbb.ccc.ddd
                 cost 1 {
                         retransmitinterval 5;
                         transitdelay 1;
                         priority 0;
                         hellointerval 10;
                         routerdeadinterval 40;
                        };
        };
};

import proto ospfase {
        ALL ;
};


export proto ospfase type 1 {

        proto ospfase {
                ALL

                metric 1; };
        proto static {
                All

                metric 1; };
        proto direct {
                ALL
                metric 1; };

};

6.7>Q:  Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0
Как мне исключить его из ospf'ных анонсов?

Убрать redistribute static - не предлагать ;)

>A: (Dmitry Morozovsky)

1. Убрать

    default-information originate always, или заменить его на

    default-information originate , если таки нужно его куда-то анонсить



2. Отфильтровать ;)

    distribute-list  out [interface name]

    access-list  permit 0.0.0.0 0.0.0.0

6.8>Q: Hе мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки
зрения практики (с небольшим примерчиком), что такое stubby areas и в каких
случаях их введение оправдано?

Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера?

>A: (Alex Mikoutsky), прислал (Oleh Hrynchuk)

В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby.

Про последние две Халлаби мог и не написать.
Stub - это такая ария, роутерам в которой не нужно знать, куда кидать
пакеты, предназначенные external адресам. Заметь - только external, т.е.
тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR
будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов.
Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать
свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой -
вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1
default-cost  где ария 1 - типа stub.
Все остальные маршруты, приходящие из других арий, кроме external будут
анонсироваться.

Totally stub и Not-so-stubby - это специфические цисочные прилады,
помогающие фильтровать также анонсы маршрутов из других арий типа interdoman
(totally stub), однако, только в том случае, если в этой тотально тупиковой
арии нет ни одного external маршрута. Чтобы преодолеть последнее
ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В
последних случаях в арию вообще будет анонсироваться только дефолт по
команде default-information originate. Так же, как и в предыдущем случае,
ASBRов может быть несколько.
Я понятно написал?

[03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры
Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется,
чтобы дружили по frame-relay и ospf.

>A: (Sergey Y. Afonin)

Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0

Фрагмент конфига ARN (as-boundary-router true к делу не относится,
он говорит то том, что роутер может редистрибутить все, что есть и
не зафильтровано специально; если false - то редистрибутится только
только ospf):

ospf router-id xxx.xxx.xxx.234
    as-boundary-router true
  area area-id 0.0.0.0
  back
back
serial slot 1 connector 1
    cable-type v35
    bofl disabled
    promiscuous enabled
    service transparent
    circuit-name S11
  frame-relay
    dlcmi
        management-type none
    back
    default-service
      pvc dlci 16
          vc-state active
      back
      ip address xxx.xxx.xxx.218 mask 255.255.255.252
          address-resolution arp-in-arp
        ospf area 0.0.0.0
            mtu 1480
        back
        arp
        back
      back
    back
  back

Фрагмент конфика 3640 (тут тоже лишнее есть, правда):
!
interface Serial2/0
 ip address xxx.xxx.xxx.217 255.255.255.252
 ip access-group nasprotect out
 ip directed-broadcast
 encapsulation frame-relay
 ip ospf network broadcast
 no ip mroute-cache
 no keepalive
 no fair-queue
 frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF
!
router ospf 13227
 router-id aaa.aaa.aaa.234
 redistribute connected subnets
 redistribute static subnets
 network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0
!

Под управлением BayRS у Nortel работают так же ASN и роутеры
серии BN, та что, полагаю, и для них подойдет.

===========================================================

                                 7. TACACS,AAA
                                       

===========================================================

7.1>Q: Где взять tacas-plus ? В исходниках ?

>A: (Dmitriy Yermakov)

Хором :))

[50]ftp://ftpeng.cisco.com/pub/tacacs оригинальный оригинальный от Cisco (ls та
м не работает,
сначала get README, потом get то, что нужно)
Hедавно там был - ls работает.

[51]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей
[52]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный
pppd теперь отдельно от tac+ia, но рядом - tacpppd

7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если
юзер первый раз неправильно ответил на login/password то сразу сделать hangup
а не спрашивать его еще и еще. Все равно в большинстве скриптов это не
предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command
Summary" успеха не принесло. Может это в такаксе надо концы искать?

>A: (Alexey Kshnyakin)

conf t; tacacs-server attempts N

7.3>Q: Как снимать/считать статистику по интерфейсам ?

>A: (Dmitriy Yermakov)

считать можно так

conf t
int X
ip accounting

разрешить rsh на киску, примерно так

ip rcmd rsh-enable
ip rcmd remote-host    enable

и, по крону :)

/usr/bin/rsh cisco clear ip accounting
/usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"`
/usr/bin/rsh cisco clear ip accounting checkpoint

Поскольку возникли вопросы, то еще вариант.

>A: (Konstantin D. Myshov)

1) Скрипт:

#!/bin/sh
#[skip]

rsh -l loger cisco.domain.adr clear ip accounting
rsh -l loger cisco.domain.adr sh ip accounting checkpoint

#[skip до конца скрипта :-)]

2) Hа киске говоришь:

username specloger privilege 8 password 0 plane_text_password
! Пароль зашифруется и через password 7 показываться будет по sh ru
ip rcmd rsh-enable
ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8
privilege exec level 8 show ip accounting checkpoint
privilege exec level 1 show ip
privilege exec level 8 clear ip accounting

P.S. (Andrey Kuksa) kuksaa@chph.ras.ru

включить бы еще
no ip rcmd domain-lookup

P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста,
с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает.
no ip rcmd domain-lookup эту проверку выключает.
По умолчанию - включено.

P.P.P.S. см также 0.4>Q:

7.4>Q: Как заменить "Username:" на "login:" ?

>A: (DY)

Существует 2 варианта -
1. В tac+ia можно переопределить этот prompt.
2. aaa authentication username-promt

[03.08.2000] 7.5>Q:  rsh cisco show version получаю что-то типа Undefined error

>A: (Alex Bakhtin)

debug ip tcp rcmd

[14.08.2000] 7.6>Q:  не работает aaa authentication banner "..." при использова
нии tacacs
или radius для аутентикации

>A: (Alexandre Snarskii), прислал (Vladimir Kravchenko)

попробовать использовать banner login "..."

===========================================================

                                   8. Memory
                                       

===========================================================

8.1>Q: А какие симы можно ставить в CISCO ? А то я все пеpепpобовал, ни один
не подходит. :-(

>A: (Vasily Ivanov)

Hа симах должны быть пpавильно pаспаяны пеpемычки, указывающие оpганизацию
сима и скоpость чипов в наносекундах (большинство китайских пpоизводителей эти
пеpемычки не pаспаивают). Вот табличка, котоpая поможет вам это сделать:
Размеp  Оpганизация     68      67      66      11
4Mb     512k*8/9        X       X       X       X
4Mb     1M*2/4/16/18    -       X       X       -
8Mb     2M*8/9          -       X       -       X
16Mb    2M*8/9          X       X       -       X
16Mb    4M*2/4/16/18    -       X       -       -
Hаны    69      70
50ns    X       X
60ns    -       -
70ns    X       -

   Знаком [X] помечены контакты, котоpые необходимо соеденить с 72м контактом
сима, обычно он выведен уже в непосpедственной близости от пеpемычек. [-] -
свободный контакт. В настоящее вpемя можно без пpоблем купить 4х метpовые симы
с оpганизацией 1M*2/4/16/18 и 16ти метpовые с оpганизацией 4M*2/4/16/18. 8ми
метpовые симы со стандаpтной оpганизацией 1M*2/4/16/18 в pутеpах CISCO не
pаботают !!! Также как и EDO RAM.

NB !!! В 25хх симы без паpитета _pаботать_не_будут_ ! Hикогда.

>A: (Leonid Kirillov)

От себя добавлю маленькую попроавку:
1. SIMM должен иметь скорость меньшую либо равную скорости RAM на мамке;
2. Имеются мамки 2 видов: старые и новые. В старых нужны SIMM с четностью, в
новых - нет, так как это выключено на мамке. Отличие очень простое - не запаяна
пятая микросхеми памяти. Где ее искать - нарисовано на картинке:
--------------------------------|
                                |
  =======SIMM================== |
                                |
   RAM1  RAM2  RAM3  RAM4  par  |
                           par  |
                                |
            Cisco 2501

3. Двухбанковый SIMM видится как однобанковый. Таким образом я делал себе 16Мб
памяти из 32 (очень было нужно:-) Работает нормально.

>A: (Kirill Osovsky)

Еще немного о SIMM'ах.
Для 1600 - четность нежелательна - работать они будут, но тогда отвалится
on-board DRAM. Dual bank 8 Mb видится и работается как 8 Мб
Для 3620 - четность (насколько я понял) безразлична. Дуал банк 8 Мб видится как
дуал банк, но работать 3620 с ним не будет (не положено по инструкции)
3640 - работает с дуал банк.

>A: (Dmitry Morozovsky)

    Еще дополнение: 36xx работает с EDO (3640 точно, 3620. кажется, тоже). 3640
при постановке четного количества одинаковых симмов переходит в 64разрядный
режим, что увеличивает производительность, но также увеличивает и расход памяти
в связи с alignment.

8.2>Q:  Подскажите где еще встречаются эти 100-пиновые DIMM'ы, которые в
2600 стоят. Или где их можно купить? За две тонны баксов не предлагать.

>A: (Dmitry Morozovsky)

Подходит память для HP LJ 4000 (100pin EDO SODIMM). Кроме того, можно брать
память у практически любого дилера Micron, Transcend, Kingston. У этих --
просто по каталогу.

P.S. Это же относится и к MC3810.

[04.07.2000] 8.3>Q: А не подскажет ли кто-нибудь, какая SIMM-память подходит
к серии 4000 (конкретнее, 4500M+) и чего на ней пропаять?
Имеется в виду: edo/fpm, четность, паритет, число чипов.

>A: (Alexander Voropay)

 Для 4500 подходит та же самая память, что и для 2500,
и FLASH и DRAM. Packet DRAM та же самая, что и System
DRAM, и чем больше тем лучше :-)

 А конкретно, 72-pin SIMM, NoEDO (FPM), real Parity.
Обязательно должны стоять перемычки ID. Лучше
брать -60ns хотя для System DRAM подойдет и -70ns.


===========================================================

                                  9. NTP, TZ
                                       

===========================================================

9.1>Q: Как правильно выставить timezone и синхронизировать время на киске

>A: (Vasily Ivanov)

вот пpимеp для Омска (UTC+6):
clock timezone OMT 6
clock summer-time OMTS recurring last Sun Mar 3:00 last Sun Oct 3:00

И еще:

1) часы устанавливаются, если только на тайм-сеpвеpе вpемя выставлено
коppектно, если же он находится в пpоцессе подведения своих часов, то циска
будет ждать окончания этого пpоцесса.

2) выставление часов пpоисходит не сpазу, а 5-10 минут. Подожди немного.

>A: (Alec Voropay) для Москвы

clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

9.2>Q: А как заставить киску синхронизировать время с каким-либо сервером и быт
ь
самой ntp-сервером ?

>A: (Maksim Malchuk)

ntp source interfaceX
ntp master 3
ntp server aaa.bbb.ccc.ddd
ntp server eee.fff.ggg.hhh
ntp server iii.jjj.kkk.lll

P.S. (Alex Bakhtin)

ntp master 3 - это значит, что если пpопадут все ntp servers, котоpые пpописаны
 в конфиге,
киска будет считать себя сеpвеpом со stratum 3.

P.P.S. (Sergey Romantsov)

Ntp master - указывает, что router является одним из источников "точного"
времени, поэтому если необходимо чтобы он раздавал время другим устройствам,
необходимо его объявить как master с соответствующей величиной stratum.
stratum=1 : это атомные часы
stratum=2 : усторйство непосредственно подключено к атомным часам
stratum=3 : устройство связано с устройством ( см выше)
и так далее... до 15.
stratum=16 : устройство не является авторизованным источником времени.

===========================================================

                                    10. NAT
                                       

===========================================================

10.1>Q: Можно как-нибудь сделать на киске 2511 с
IOS 11.3, чтобы все соединения по FTP, WWW с локальной сетки (имеющей public
интернет адреса)
устанавливались с адреса скажем 62.244.63.114, это связано с тем, что при
установлении соединения с этого адреса пакеты возвращаются через спутник.


>A: dimka@spy.ints.net (Dmitry Aksyonov)
точно для этого случая:

[..]
ip nat inside source list 111 interface Loopback4 overload
[..]
interface Loopback4
 ip address 62.244.63.162 255.255.255.255
[..]
interface Ethernet0
 ip nat inside
[..]
interface Serial0
 ip nat outside
[..]
access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp
access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq ftp-data
access-list 111 permit tcp 194.44.58.0 0.0.0.255 any eq www

остальные порты по вкусу ;)

посмотреть что получается - sh ip nat tra

10.2>Q: Есть две сетки: 192.Х.Х.0 и 193.Х.Х.80/28 и киска 2509
Hужно включить NAT, чтобы юзера из 192... сетки ходили в 193... .
Интересует кусок(ки) конфига киски, только работающий и подробный.

>A: (Eugene A. Rakhmatulin)

Hиже кусок реально работающего конфига (изменены только IP): есть сеть
193.193.193.224/29, которую дал провайдер и внутренняя сеть 192.168.1.0/24.
Hа трансляцию всех внутренних адресов, кроме 192.168.1.2 выделяется адрес
193.193.193.227, а на 192.168.1.2 записывается статическая трансляция адреса
193.193.193.230.

cs-2501# show running-config

[ .. ]

ip nat pool one 193.193.193.227 193.193.193.227 netmask 255.255.255.248
ip nat inside source list 1 pool one overload
ip nat inside source static 192.168.1.2 193.193.193.230

[ .. ]
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
 ip broadcast-address 192.168.1.255
 ip nat inside

[ .. ]
!
interface Serial1
 description Link to Provider
 ip address 193.193.193.226 255.255.255.248
 ip nat outside

[ .. ]

access-list 1 permit 192.168.1.0 0.0.0.255

10.3>Q: Провайдер выдал один реальный адрес (вместо бывшего ранее блока адресов
)
и нужно в течении переходного периода (3 дня) оперативно перенастроить
Cisco 2509 для маршрутизации в следующей конфигурации:
Ethernet - соединяется напрямую единственным реальным адресом с
маршрутизатором провайдера;
Serial1 - смотрит (через выделенку) в одну физическую сеть(~20
компьютеров+программный маршрутизатор);
Serial2 - смотрит в другую(~10 компьютеров).

>A: (Ilya Geldiev)

ip nat translation timeout 1800
ip nat translation tcp-timeout 1800
ip nat translation udp-timeout 150
ip nat inside source list 101 interface Async8 overload
' ip nat inside source static tcp {Ethernet0-ip} 80 {Async8-ip} 80
extendable
' не более чем проброс веб-запросов во внутреннюю ЛАH
!
interface Ethernet0
 description connected to internal LAN
 ip nat inside
!
interface Async8
 description connected to ISP
 ip nat outside
!
interface Async9
 description connected to internal Remote Access
 dialer-group 1
!
interface Group-Async1
 description connected to Dial-inPCs_mobile
 ip nat inside
!

10.4>Q: Впустить обратно с Inet-а в локалку. Скажем для почты -- мой
цисковский адрес с  портом 25 пробросить в локальный сегмент на мой почтовик ?

>A: CoreDumped@CoreDumped.null.ru

ip nat inside source static tcp int.ter.nsl.addr 25 ext.ter.nal.addr 25
extendable no-alias

===========================================================

                                   11. ISDN
                                       

===========================================================

11.1>Q: Возникла следующая необходимость - связать по ISDN две железки - Zyxel
Prestige-100 (это ISDN-роутер такой) и Cisco 2522CH.
Совершенно не получается это сделать. Звонить должен Zyxel этот самый,
ну так он звонит, удалось даже добиться authentification по протоколу
pap, но протокол не поднимается. Я так понимаю протокол дожен подняться
на BRI0:1 или BRI0:2, а она не дает их конфигурить по отдельности, а
если сказать что-то про LeasedLine - то не отвечает на звонки.

Как и что надо ей сказать, чтобы получить от этого Zyxelя 64 или 128 К
по ДиалАп - ISDN ?

>A: (Mark Gorovenko)

Протокол будет подниматься на Virtual-Access
Кусочек из подобного конфига приведу. В нем много лишнего, было сделано для
того чтобы можно было звонить в разные места, это можно выкинуть.

interface Virtual-Template1
 ip unnumbered Ethernet0
 no ip directed-broadcast
 autodetect encapsulation ppp
 peer default ip address pool default
 no fair-queue
 ppp authentication chap pap callin
 ppp multilink
!
interface BRI0
 ip unnumbered Ethernet0
 encapsulation ppp
 no ip route-cache
 bandwidth 128
 dialer pool-member 1
 autodetect encapsulation ppp
 isdn incoming-voice modem 64
 isdn answer1 xxx
 isdn answer2 xxx
 isdn calling-number xxx
 peer default ip address pool default
 no cdp enable
 ppp authentication chap pap callin
!
interface Dialer0
 ip address xxxx
 encapsulation ppp
 bandwidth 64
 dialer remote-name xxx
 dialer idle-timeout 30
 dialer string xxx
 dialer load-threshold 1 either
 dialer pool 1
 dialer-group 1
 autodetect encapsulation ppp v120
 peer default ip address xxx
 no cdp enable
 ppp authentication chap pap callin
!
interface Dialer1
 ip unnumbered Ethernet0
 encapsulation ppp
 bandwidth 64
 dialer remote-name xxxx
 dialer idle-timeout 30
 dialer wait-for-carrier-time 15
 dialer string xxxxx
 dialer load-threshold 1 either
 dialer max-call 4
 dialer pool 1
 dialer-group 2
 peer default ip address xxx
 no cdp enable
 ppp authentication chap pap callin
!
ip local pool default xxx
ip classless
ip route 0.0.0.0 0.0.0.0 xxxxx
ip route xxxxxxxx 255.255.255.255 Dialer1
ip route xxxxxxxx 255.255.255.255 Dialer0
access-list 11 permit any
access-list 100 permit ip any host xxxxxx
virtual-profile virtual-template 1
dialer-list 1 protocol ip list 11
dialer-list 2 protocol ip list 100

===========================================================

                                   12. Telco
                                       

===========================================================

12.1>Q: AS5300 и Ericsson MD-110.

>A: (Aleksey Fedorov)

У меня AS5300 подключена к Ericsson AXE-10 по r2-digital.
В моем случае чтобы все было хорошо нужно сказать:
cas-custom 0
  debounce-time 10
  seizure-ack-time 10
  country itu use-defaults

12.2>Q: 2610 никак не хочет звонить на Definity, при звонке
с Definity BRI поднимается и сразу падает.

>A: (Gosha Zafievsky)

Hа киске isdn switch-type basic-net3,
в Definity этот BRI надо описать как
data module или trunk, но не как WCBRI station.
Country protocol : etsi.

12.3>Q: isdn caller number, AS5300, Alcatel S12, ISDN PRI.

>A: "Victor L. Belov"

interface Serial0:15
 isdn switch-type primary-net5
 isdn protocol-emulate user

 isdn incoming-voice modem
 isdn sending-complete


и они приходят.
ios 12.0.4-XH

[13.06.2000] 12.4>Q: Имеем 3640 - E1R2 - AXE 10.

>A: (Vladimir A. Golovnin)

> controller E1 0/0
>  framing NO-CRC4
>  ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled
>  cas-custom 0
>   debounce-time 10
>   seizure-ack-time 10
>   dnis-digits min 1 max 2
>   ani-digits min 3 max 6
>  description First E1 line : connected to port 1

У меня настроено так:

controller E1 0/0
 framing NO-CRC4
 ds0-group 0 timeslots 1-15,17-31 type r2-digital r2-compelled
 cas-custom 0
  country easteurope
  debounce-time 10
  release-guard-time 150
  seizure-ack-time 2
  dnis-digits min 1 max 3
  ani-digits min 0 max 3
  answer-guard-time 40
  ani-timeout 1

Вроде работае, но кривенько как то. Работало еще кривее когда
seizure-ack-time = 8, а при 10 и выше вооще трубку не брала.

P.S. (Gosha Zafievsky)

VG>   country easteurope

    Вот с этим - поаккуpатнее. Я бы для начала поставил country itu
use-defaults. R2MFC в Cisco - вещь в себе...

===========================================================
13. SNMP
===========================================================

13.1>Q: Ребут киски по snmp ?

>A: (Oleh Hrynchuk)

snmp-server system-shutdown

and after that....
snmpset -c community -t 70 ip.addr.of.router .1.3.6.1.4.1.9.2.9.9.0 i 2


From Dmitriy.Yermakov@f1115.n5030.z2.fidonet.org Wed Aug 16 15:47:55 2000
Path: tenet!glukr!news.tsystems.kiev.ua!news.ukr.net!carrier.kiev.ua!info.elvisti.kiev.ua!news.donbass.net!newsfeed.rt.ru!newsfeed.gamma.ru!Gamma.RU!ddt.demos.su!f400.n5020!f238.n5020!f115.n5030!f1115.n5030!not-for-mail
Newsgroups: fido7.ru.cisco
Distribution: fido7
X-Comment-To: All
Approved: gateway@fido7.ru
From: Dmitriy Yermakov 
Date: Wed, 16 Aug 2000 14:00:03 +0400
Subject: 03: RU.CISCO FAQ
Message-ID: <12867@f1115.n5030.z2.ftn>
Organization: Edgecity II
X-FTN-AREA: RU.CISCO
X-FTN-MSGID: 2:5030/1115 00003243
X-FTN-REPLYADDR: Dmitriy_Yermakov@f1115.n5030.z2.fidonet.org
X-FTN-REPLYTO: 2:5030/1115 Dmitriy Yermakov
X-FTN-CHRS: CP866
X-FTN-RFC: 0 0
X-FTN-GATEWAY: RFC1036/822 f1115.n5030.z2.fidonet.org [FIDOGATE 4.2.9]
X-FTN-SPLIT: 16 Aug 00 15:00:03 @5030/1115   697   03/03 +++++++++++
X-FTN-Tearline: FIDOGATE 4.2.9
X-FTN-Origin: Edgecity II (2:5030/1115.0)
X-FTN-SEEN-BY: 50/993 450/77 463/94 159 464/34 465/132 469/38 4615/21 40 4623/55
X-FTN-SEEN-BY: 4631/13 4643/19 5002/5002 5003/15 5010/146 5011/13 5013/8 5020/52
X-FTN-SEEN-BY: 5020/69 115 238 400 672 715 758 870 1200 1301 1381 1423 1507 2200
X-FTN-SEEN-BY: 5022/5 5023/1 11 5024/25 5029/34 5030/23 37 61 72 73 110 115 251
X-FTN-SEEN-BY: 5030/261 266 338 361 397 452 518 535 580 730 736 778 1115 1763
X-FTN-SEEN-BY: 5032/6 5035/10 5038/9 5040/5040 5049/256 5054/3 5055/86 92 5058/1
X-FTN-SEEN-BY: 5058/3 13 24 5061/15 5069/2 5075/10 5077/3 5080/80 5083/21 5084/14
X-FTN-SEEN-BY: 6063/1
X-FTN-PATH: 5030/1115 115 5020/238
X-FTN-PATH: 5020/400
Lines: 490
Xref: tenet fido7.ru.cisco:8154


13.1>Q: Download cisco config via SNMP.

>A: Прислал (Oleh Hrynchuk)

Using SNMP and the appropriate OID .1.3.6.1.4.1.9.2.1.55, postfix the IP
address as the index for the OID.  Use this "OID" as a string set value.
The string value will be the name of the file.

    snmpset  .1.3.6.1.4.1.9.2.1.55.10.10.20.20 string ""

The router will reward you with a nice log message and the file should
appear on the tftp server (in this example, 10.10.20.20).
Be careful as some UN*X tftp servers will not create files, but can only
write to existing files (little security precaution).

A much more interesting exercise is to get a router to read a config from
a tftp server using only snmp...but we'll cover that some other time.


Tod Daniels
Greymatter, Inc.

===========================================================
14. Cables
===========================================================

14.1>Q: Слышал, что есть кабель для соединения двух цисок DB60M <-> DB60M
но нигде на cisco.com не смог его найти ?

>A: (Yuri Yuferev)

http://www.pacificable.com/PicFrames/CABMMXHD60PicFrame.htm?

===========================================================

                              98. IOS Black List
                                       

===========================================================

[14.06.2000] 12.0(5)Tx. Добpый совет. Выкиньте это
оно для использования _совеpшенно_ не пpигодно.
Alex Bakhtin

[15.06.2000] 3640 12.0(4)T - CEF глючный. Сильно.
Dmitri Kalintsev

===========================================================

                                   99. Misc
                                       

===========================================================

99.1>Q: Как послать киске break ?

03 это скорая, 02 - милиция, а break - это не символ, а очень длинный старт-бит
(c) Michael Shestyriov

>A: (DY)

RTFM по терминалке :)
cu,tip - ~#, ~%
DOS Navigator - F4

>A: (Alec Voropay)
http://www.cisco.com/warp/customer/701/61.html

99.2>Q: Как восстановить забытый (не мной, а администратором) пароль или сменит
ь
его на какой-то другой? Можно ли сделать это без потери конфигурации?

>A: (Gosha Zafievsky)

RTFM, конкpетно User Guide, еще конкpетнее
"Recovering a lost enable password".

Да.

P.S. (DY) про Break - см. выше

>A: (Alec Voropay)
http://www.cisco.com/warp/customer/701/22.html

[25.07.2000] >A: (Konstantin Gribakh) Cisco собрала все эти процедуры
на одной страничке
[53]http://www.cisco.com/warp/public/474/index.shtml

99.3>Q: Сертифицировано ли в Минсвязи оборудование Cisco ?

>A: (Serge Turchin)

Да, номера сертификатов ОС/1-СПД-59 - ОС/1-СПД-91

>A: (Denis Golovenko )

ОС/1-СПД-70 -- для моделей 2505/07/09/11/18

>A: (Vladislav Nebolsine)

ЦИИИС было сертифицировано следующее оборудование:
Маршрутизаторы Cisco
761, 765, 771, 775
1001, 1003, 1005, 1601, 1603
2501, 2503, 2505, 2507, 2509, 2511, 2512, 2514, 2518, 2520, 2522
26xx
3620, 3640
4000, 4000M, 4500, 4500M, 4700, 4700M
7204, 7206, 7505, 7507, 7513
AS5200, AS5300
MC3810
Cache Engine LDIR-410, LDIR-420
LAN коммутаторы
Catalyst 1400, 1900, 2820, 29xx
3000, 3100, 3200
5000, 5002, 5500, 5505
WAN коммутаторы
LightStream 1010
IGX8, IGX16, IGX32, IGX8410, IGX8420, IGX8430
BPX8600
MGX8220

Сетевые экраны Cisco PIX Firewall
(3 класс защищенности по системе сертификации средств защиты
информации по требованиям безопасности информации)

P.S. (DY)

Список соответствия оборудования и сертификатов
http://www.comptek.ru/cisco/teach/certif.html

[13.06.2000] 99.4>Q: Как по названию файла опpеделить веpсию иоса,
IP-only он, IP/IPX или enterprise?

>A: (Serge Turchin)

*-i-*   - IP
*-is-*  - IP Plus
*-d-*   - Desktop
*-ds-*  - Desktop Plus
*-j-*   - Enterprise.

и т.д. В 11.2 нет IP/IPX, а только Desktop, на него цена снижена
в сравнении с 11.1. Суффикс - a - appn. Вообще, где-то есть на
сервере расшифровка.
У 1000-ных ядер система другая. n-Novell, b - Apple Talk, y - IP,
q - асинхронный вариант.
> И еще - на сайте для веpсий были файлы pазмеpом в 2-4pаза меньше иосов и
> с
> загадочным словом boot в названии - это bootstrap only? :-)
У 7500, 4500-4700 нет прошитых намертво бутовых систем. Hо есть
специальный т.н. bootflash в котором записана укороченная версия
системы.

>A: (Dmitriy Yermakov)

Кажется все описано тут - [54]http://www.cisco.com/warp/public/620/1.html

99.5>Q: Есть ли поддержка R2 для 3600 ?

>A: Vladislav Nebolsine

***Hot News*** Announcing R2 support for the 3600 Digital Modems!!

Hot News!!!
===========
Announcing R2 support for the 3600 family of Digital Modems
=================================================

The 3600 team is pleased to announce R2 support for integrated Digital Modems o
n the popular Cisco 3600 series platform. This feature is available with the in
troduction of IOS 12.0(1)T
This new feature supports the use of  R2 signalling with the 3600 internal digi
tal modems, enabling  high-speed (up to 56kbps) remote access for branch office
s and small/mid size ISP's who utilize this specific line-signalling protocol.
This announcement extends the range of connectivity options available for
the 3600 Digital Modems, now supporting:
PRI CAS(CT1) R2 (CE1))

By supporting this flexible range of signalling protocols , the 3600
digital modem solutions can now be deployed on a world-wide basis!

A Country list and Mini Q&A follow.

Countries configurable with R2 on the 3600: (this is a subset of the
supported 5300 R2 countries)
=================================
Argentina Australia Brazil * China *
Columbia Costa Rica
Eastern Europe mode supports:
        Croatia Russia * Ecuador (ITU and LME)
Greece Guatemala Hong Kong (China & ITU Variants)
India Indonesia Israel *

ITU mode supports:
        Denmark Finland Germany
        Russia (ITU variant) *
        Hong Kong (ITU variant)
        South Africa (ITU variant)
Korea * Malaysia * Mexico (Telmex and Telnor) *
New Zealand * Paraguay Peru
Philippines Saudi Arabia

Note: All countries listed have been tested in house. Countries marked
with a * have also been successfully  tested in-country.

Mini Q&A
=========

Q. What is R2 ?
A. R2 is a signaling system (Q.422) used by a number of countries
worldwide. This signaling system runs over an E1 Carrier (2.048Mb/s),
containing 32 64Kb/s timeslots, of which, 30 timeslots can be used
for digital modem calls.

Q. Does this feature require new hardware in the 3600?
A. No

Q. What network modules support this feature?
A. All the current 1/2 PRI NMs, including the new 1FE 1/2 PRI NM.

Q.Is the Cisco Dial-out Utility supported through an R2 connection?
A. Yes. Version 2 of the Cisco Dial-out Utility (available early
November) together with MICA Portware 2.5.1.0 support Dial/Fax out
through the R2 interface

Q. Is this R2 feature supported the Cisco 2600, 3620, and 3640?
A. The ability for Modem calls to be terminated through an R2 interface
is available for all platforms that support Cisco digital modems. This
currently limits R2 support to the 3640/3620

Q. Do I need a new version of the digital modem microcode to support R2?
A. No. All shipping versions of Portware are supported. For information
on Portware and instructions on downloading the latest version, please
visit: http://www.cisco.com/public/sw-center/sw-access.shtml.

Q. What IOS is required to utilize this feature?
A. IOS 12.0(1)T and above

Q. Can I support ISDN PRI R2, and CAS in the same chassis?
A. Yes, on a per network module basis. Each individual PRI NM can be
configured as R2,CAS or ISDN PRI.

Q. What countries will this R2 feature be available in?
A. At FCS, a subset of the 5300 supported R2 countries will be supported.
All Countries in the list above have been successfully tested internally.

Q. Will the new mixed media FE/PRI support R2?
A. Yes.

Q. Can two PRI/R2  links share one DM NM?
A. Yes. The pool of modems is available to all R2/PRI interfaces.

99.6>Q: Когда же наконец будет релиз V.90 для MICA ?

>A: (Oleg Zharoff)

Вышел наконец долгожданный релиз V.90 для MICA модемов, версия 2.5.1.0.
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/
mod_info/53fw_pw/53micaa/rn250x.htm

99.7>Q: А вот почему я не могу через console зайти на мою ciscу? И настройки
крутил, и порты на машинках живые, а что не так - не пойму.

>A: Pavel Stepchenko  McFlySr@irc

Проверьте марку вашей motherboard. Если это Atrend, проверьте,
"родные" ли "косички"? Дело в том, что поганые(кто мне возместит душевное
равновесие?! ;) ) китайцы решили, что они умнее всех, и заюзали "косички"
с шахматной распайкой(как и на AT486); на остальных же MB - прямая
распайка.
Если не ATREND - все равно проверьте порты на целостность, так как cu по
умолчанию имеет Xon/Xoff и вообще :)
Убеждаемся, что на cuaa0(1) не висит (m)getty, пускаем cu -l
/dev/cuaa0(1), и наслаждаемся жизнью :)
Thanks for support: CGHost, Fifo, Jimson, Lee7, Mdh, ReedCat, vul.

99.8>Q: Тут проблема - кто знает как выставить номер сети у Hовелльного
клиента ?  Hачал бить сетку на VLANы - и возникли проблемы. MS работает
нормально, а Hовельный клиент не хочет.

>A: (Serge Turchin)

Прописать spantree portfast на портах Каталиста.

[13.06.2000] 99.8.1>Q: Как заставить порты на 2924XL быстрее инициализироваться
 ?

>A: os@alkar.net

[55]http://www.cisco.com/warp/public/473/12.html

99.9>Q: Кто-нибудь знает, как быть с утерянным паролем на 1020?

>A: (Gleb Pijov)

Question: How do you recover lost passwords on a Cisco 1020?
Answer:

As the Cisco 1020 is rarely physically secured, password recovery is
done by calling Cisco and providing a system generated CHALLENGE. Using
the override program, the support engineer can provide a one-time
password to use to get into enable mode.  Then, follow these steps:

  1.Customer: Put up dip switch 1 and apply power. You should see
"Console Username:".

  2.Customer : Login with Username "enable" and Password "override". It
will print a CHALLENGE.

  3.Cisco runs the override program and prints a RESPONSE.

  4.Customer: On the 1020, log in as "enable" and give the RESPONSE as
the password. That will get you the # prompt, then you can do a wr t  to
see the current enable password. Or, you can do a config t and reset the
enable password.

99.10>Q: Проблемы с MTU на interface tunnel.

>A: "Philipp V. Patrushoff"

BugID: CSCdm54169

You cannot change the MTU size of a tunnel interface using software after Cisco
 IOS Release
+11.3(9.2).

 Workarounds:

  Use images between Release 11.3(5.1)T and Release 11.3(9.3) or Release 12.0(0
.16) and
Release 12.0(4.2).  Configure ip mtu on the tunnel interface before you configu
re tunnel
destination. If tunnel destination is already configured, then unconfigure the
destination,
configure ip mtu, and then reconfigure the destination. You need to wait five s
econds
after removing the tunnel destination before issuing the ip mtu command. Once t
he workaround
is issued, there should be no problems in the event of a router reboot as the i
p mtu command
is parsed before the tunnel destination.


===========================================================

                             NN. Заметки на полях.
                                       

===========================================================

Sergey Trofimovsky - [56] PPP per-user timeouts explained
http://www.employees.org/~dpeng/per_user_timeout.htm
Кстати говоря, начиная с 11.3(8)T (или AA :-) timeouts уже и в PPP/PAP
работают.Без извратов в vprofiles etc.

Dmitriy Yermakov - где-то начиная с 11.3(5)T появилось
ppp authorization per interface
теперь можно отключать авторизацию на leased line с enc ppp

Serge Turchin - В 12.03T появился X.25 over FR...
Vladislav Nebolsine - Hу, а подробнее об этой опции можно прочитать [57] здесь
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/1
20t3/x25anxg.htm

Dmitriy Yermakov - [58] требования к объему памяти
http://infoblast.comptek.ru/cpqrg/cpqrg2.htm#xtocid2097032

[59]Cisco-on-line Conference on Comptek
http://online.comptek.ru/cisco/index.html

Martin McFlySr
[60] Cisco Year 2000 Product Compliance URL
http://www.cisco.com/warp/public/cc/cisco/mkt/gen/2000/prodlit/cptbl_ov.htm

Dmitriy Yermakov - Проблемы с Zelax M115 на связке cisco-unix,
решение от Игоря Hиколаева - [61]http://knot.pu.ru/faq/pppd.html

Распайки различных кабелей, конфиги для модемов - [62]http://www.links.ru

[13.06.2000] Cisco IOS Software RoadMap - [63]http://www.cisco.com/warp/public/
620/roadmap.shtml

[13.06.2000] Vasily Ivanov - Ограничение скорости коннекта для MICA модемов -
[64]http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/mod_in
fo/at/atcmnds.htm

[04.07.2000] Vladislav Nebolsine - Если кому интересно - в 12.1(2)XH появилась
- поддержка E1 R2 для 2600/3600/7200,
- Caller ID для 3810/2600/3600,
- ISDN PRI Q.931 User-Side/Network-Side для голосовых модулей 2600/3600
(до этого был только Q.SIG)
- и кое-что другое.

Подробности:
[65]http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/12
1limit/121x/121xh/121xh_2/index.htm

[04.07.2000] Полтергейст в NM-*AM (Проблемы с NM-8AM (NM-16AM))
Симптомы:
1. Модемы не берут трубу при входящем звонке.
2. Модемы показывают наличие входящего звонка просто при подключении к
тел.линии.
3. При звонке обратным телнетом на обычный телефон - вместо
handshack-сигнала - рев 50 гц.

Заземлите циску.

[02.08.2000] Gosha Zafievsky NM-8AM, NM-16AM _не_ поддерживают
режим leased line.

P.S. (DY) Желающие могут поэкспериментировать с ATA и большИм временем
ожидания CARRIER. За результат не ручаюсь.

References

   1. mailto:dyer@sut.ru
   2. http://cube.sut.ru/~dyer/faq/cisco.html
   3. ftp://ftp.east.ru/pub/inet-admins/cisco.txt
   4. file://localhost/var/home/dyer/public_html/faq/cisco.html#0
   5. file://localhost/var/home/dyer/public_html/faq/cisco.html#1
   6. file://localhost/var/home/dyer/public_html/faq/cisco.html#2
   7. file://localhost/var/home/dyer/public_html/faq/cisco.html#3
   8. file://localhost/var/home/dyer/public_html/faq/cisco.html#4
   9. file://localhost/var/home/dyer/public_html/faq/cisco.html#5
  10. file://localhost/var/home/dyer/public_html/faq/cisco.html#6
  11. file://localhost/var/home/dyer/public_html/faq/cisco.html#7
  12. file://localhost/var/home/dyer/public_html/faq/cisco.html#8
  13. file://localhost/var/home/dyer/public_html/faq/cisco.html#9
  14. file://localhost/var/home/dyer/public_html/faq/cisco.html#10
  15. file://localhost/var/home/dyer/public_html/faq/cisco.html#11
  16. file://localhost/var/home/dyer/public_html/faq/cisco.html#12
  17. file://localhost/var/home/dyer/public_html/faq/cisco.html#13
  18. file://localhost/var/home/dyer/public_html/faq/cisco.html#14
  19. file://localhost/var/home/dyer/public_html/faq/cisco.html#98
  20. file://localhost/var/home/dyer/public_html/faq/cisco.html#99
  21. file://localhost/var/home/dyer/public_html/faq/cisco.html#NN
  22. http://www.cisco.com/
  23. http://www-europe.cisco.com/
  24. http://www.clark.net/pub/rbenn/cisco.html
  25. http://www.pbg.mcgraw-hill.com/betabooks/betabooks-home.html
  26. http://relcom.eu.net/INFO/NOC-IP/FAQ/faq.html
  27. http://www.deol.ru/~bog/work/cisco_access.html
  28. http://www.cisco.com/warp/public/700/tech_configs.html
  29. http://www.primenet.com/~web/router/cisco-configuration.html
  30. http://www.parkline.ru/Library/koi/CISCO/
  31. http://www.easynet.de/tacacs-faq
  32.
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacs4nt/csnt23/csnt23ug/ap_tacac.htm
  33. http://cube.sut.ru/~dyer/faq/cisco-networking-faq.txt
  34. ftp://ftp.east.ru/pub/inet-admins/cisco-networking-faq.txt
  35. http://www.cisco.com/warp/public/458/index.shtml
  36. http://info.east.ru/win/inetadm.html
  37. http://www.sunshine.dp.ua/os/reports/ciscofaq.html
  38. http://www.opennet.ru/base/cisco
  39. http://www.cisco.com/warp/public/732/netflow
  40. http://www.auckland.ac.nz/net/NeTraMet
  41. http://www.caida.org/Tools/Cflowd
  42. http://www.ipmeter.com/
  43.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/policyrt.htm
  44. http://www.mindspring.com/~kewells/net/
  45. http://cube.sut.ru/~dyer/faq/mdm3640t.inf.txt
  46. http://www.psc.ru/sergey/TehSerenada/CISCO/ONLINE/wint4ll.html
  47. ftp://ftp.vsu.ru/pub/hardware/cisco/callback
  48.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/dial_c/dcpt.htm
  49. http://squid.nlanr.net/Squid/FAQ/FAQ-17.html
  50. ftp://ftpeng.cisco.com/pub/tacacs
  51. ftp://ftp.east.ru/pub/inet-admins
  52. ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs
  53. http://www.cisco.com/warp/public/474/index.shtml
  54. http://www.cisco.com/warp/public/620/1.html
  55. http://www.cisco.com/warp/public/473/12.html
  56. http://www.employees.org/~dpeng/per_user_timeout.htm
  57.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t3/x25anxg.htm
  58. http://infoblast.comptek.ru/cpqrg/cpqrg2.htm#xtocid2097032
  59. http://online.comptek.ru/cisco/index.html
  60.
http://www.cisco.com/warp/public/cc/cisco/mkt/gen/2000/prodlit/cptbl_ov.htm
  61. http://knot.pu.ru/faq/pppd.html
  62. http://www.links.ru/
  63. http://www.cisco.com/warp/public/620/roadmap.shtml
  64.
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_serv/5300/mod_info/at/atcmnds.htm
  65.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121limit/121x/121xh/121xh_2/index.htm