user-login

Маршрутизаторы Cisco Systems, Inc.

Рекомендованные сообщения

Настройка маршрутизаторов Cisco для работы в сети Корбина.

 

В этом опусе (надеюсь художественно-техническом) я попытаюсь дать общие рекомендации по настройке ios-маршрутизаторов (роутер) для работы в сети Корбины. Общие потому, что настройка cisco отличается не столько от модели к модели, сколько от версии её операционной системы, т.е. в Корбине может работать любой cisco маршрутизатор, имеющий хотя бы один Ethernet интерфейс и чей ios поддерживает нужные фитчи. Наличие оных вы всегда можете уточнить на сайте производителя, пройдя по ссылке на http://www.cisco.com/go/fn . Для работы по l2tp-протоколу необходимо наличие фитчи - L2TP Client Initiated Tunneling, для работы по pptp необходим ios от 12.2 или современнее. Все настройки выполнены с cli (command line interface), как тоже самое сделать с помощью SDM я не знаю.

 

Пошаговая инструкция по настройке “cisco из коробки” с cli:

Первичную настройку удобнее делать с помощью консольного кабеля, идущего с роутером в комплекте (голубого или черного цвета), подключив его в порт “console”. Используя любой удобный вам терминальный клиент - PuTTy, SecureCRT, TerraTerm, hyper terminal и др. необходимо войти в командный интерфейс (настроив используемый COM-порт на: Baud rate (TX/RX) is 9600/9600, no parity, 1 stopbits, 8 databits у нового роутера username: cisco, password: cisco). Посмотреть текущую конфигурацию можно командой: show running-config, но там мало интересного и я рекомендовал бы от неё избавиться дав команду: write erase и перезагрузиться: reload (на вопрос System configuration has been modified. Save? [yes/no]: ответьте “no”). После загрузки (откажитесь от предложения мастера начального конфигурирования помочь вам), вы получите роутер с пустой конфигурацией, готовый к настройке.

 

Базовая настройка:

- настройка локального интерфейса

- vty-интерфейса (если будете использовать)

- включение/отключение нужных/не нужных сервисов

- настройка интерфейса

base_config.txt

Изменено пользователем user-login
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо за дружелюбную и подробную инструкцию. Меня, как и многих подобных мне "чайников", пугает настройка таких производительных устройств, хотя и хочется маршрутизатор попроизводительнее. Очень надеюсь, что вы будете продолжать ликбез. Еще раз спасибо.

Удачи вам :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А нет такого же конфига для 877?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В этом опусе...

У меня 871w c Advanced Security IOS 12.415T3. Конфиг почти полностью совпадает с привиденным в этом топе. Изменения касаются только dhcp и радио интерфеса.

Проблема: большая часть сайтов не открываются. Пинг до них есть. google, rambler, cisco.com, rbc.ru, lenta.ru и многие другие. этот список можно продолжать бесконечно.

Куда смотреть, где зарылась собака?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

piy-piy, на mtu похоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
piy-piy, на mtu похоже

на интерфейсе Virtual-PPP1 нельзя поменять mtu

Изменено пользователем piy-piy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

piy-piy, вы опус читали?

 

на интерфейсе Virtual-PPP1 нельзя поменять mtu
И что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, я читал опус внимательно, но не исключаю, что что-то упустил.

вот мой sh run:

 

version 12.4

no service pad

service timestamps debug datetime msec localtime

service timestamps log datetime msec localtime

service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

logging buffered 51200

enable secret 5 $1$kGMA$H7A.bcIZ9VkPsZXxBCwif.

!

no aaa new-model

memory-size iomem 25

clock timezone GMT 3

clock summer-time GMT recurring last Sun Mar 2:00 last Sun Oct 3:00

!

!

!

dot11 ssid ARG

authentication open

authentication key-management wpa

wpa-psk ascii 7 0705204F450D180B1E17071F

!

ip cef

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.0.1

!

ip dhcp pool home-pool

import all

network 192.168.0.0 255.255.255.248

default-router 192.168.0.1

dns-server 192.168.0.1

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

l2tp-class corbina

receive-window 256

!

!

!

!

username cisco privilege 15 secret 5 $1$2gP0$FrFZFsZht9TLR9pVW3Yoj.

!

!

archive

log config

hidekeys

!

!

ip ssh time-out 60

ip ssh authentication-retries 2

pseudowire-class pw-class-1

encapsulation l2tpv2

protocol l2tpv2 corbina

ip local interface FastEthernet4

!

!

bridge irb

!

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

ip address dhcp

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache flow

duplex auto

speed auto

no cdp enable

!

interface Dot11Radio0

no ip address

!

encryption mode ciphers tkip

!

ssid ARG

!

speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0

station-role root

bridge-group 1

bridge-group 1 spanning-disabled

!

interface Virtual-PPP1

ip address negotiated

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

no ip virtual-reassembly

no cdp enable

ppp authentication chap callin

ppp chap hostname piypiy

ppp chap password 7 01101F065E190A0E2F4B4B

ppp ipcp dns accept

ppp ipcp route default

pseudowire 85.21.0.255 1 pw-class pw-class-1

!

interface Vlan1

no ip address

bridge-group 1

!

interface BVI1

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly

!

ip forward-protocol nd

ip route 10.0.0.0 255.0.0.0 dhcp

ip route 78.107.23.0 255.255.255.0 dhcp

ip route 78.107.69.98 255.255.255.255 dhcp

ip route 83.102.146.96 255.255.255.224 dhcp

ip route 83.102.231.32 255.255.255.240 dhcp

ip route 85.21.0.255 255.255.255.255 dhcp

ip route 85.21.17.0 255.255.255.0 dhcp

ip route 85.21.52.254 255.255.255.255 dhcp

ip route 85.21.72.80 255.255.255.240 dhcp

ip route 85.21.79.0 255.255.255.0 dhcp

ip route 85.21.88.130 255.255.255.255 dhcp

ip route 85.21.90.0 255.255.254.0 dhcp

ip route 85.21.108.16 255.255.255.240 dhcp

ip route 85.21.138.208 255.255.255.240 dhcp

ip route 85.21.192.3 255.255.255.255 dhcp

ip route 89.179.135.67 255.255.255.255 dhcp

ip route 195.14.50.1 255.255.255.255 dhcp

ip route 195.14.50.16 255.255.255.255 dhcp

ip route 195.14.50.21 255.255.255.255 dhcp

ip route 195.14.50.26 255.255.255.255 dhcp

ip route 195.14.50.93 255.255.255.255 dhcp

ip route 213.234.192.8 255.255.255.255 dhcp

!

no ip http server

no ip http secure-server

ip dns server

ip nat inside source route-map local interface FastEthernet4 overload

ip nat inside source route-map public interface Virtual-PPP1 overload

!

ip access-list extended nat

deny ip any host 85.21.0.255

permit ip 192.168.0.0 0.0.0.7 any

permit ip 192.168.0.8 0.0.0.7 any

!

!

!

route-map public permit 10

match ip address nat

match interface Virtual-PPP1

!

route-map local permit 10

match ip address nat

match interface FastEthernet4

!

!

control-plane

!

bridge 1 protocol ieee

bridge 1 route ip

!

line con 0

login local

no modem enable

line aux 0

login local

transport output telnet

line vty 0 4

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

sntp server 212.100.132.50

sntp server 195.14.40.141

end

 

проблема с сайтами при наличии пинга имеет места быть.

пытался перейти на pptp таким образом.

 

vpdn enable

!

vpdn-group 1

request-dialin

protocol pptp

rotary-group 0

initiate-to ip 85.21.17.13

 

 

interface Dialer0

mtu 1450

ip address negotiated

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer in-band

dialer idle-timeout 0

dialer string 123

dialer vpdn

dialer-group 1

no cdp enable

ppp pfc local request

ppp pfc remote apply

ppp encrypt mppe auto

ppp chap hostname piypiy

ppp chap password 7 13060E100E1E082B25232D

ppp ipcp dns accept

ppp ipcp route default

 

route-map public permit 10

match ip address nat

match interface Dialer0

 

но такой вариант не работает (нет выхода в интернет), несмотря на то что dialer0 в состоянии up up. хотя раньше (неделю назад) на pptp у меня все работало.

есть вопрос: как посмотреть состояние pptp, установлена ли сессия?

Изменено пользователем sterver

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
господа, я читал опус внимательно, но не исключаю, что что-то упустил.

Вы упустили целый абзац с описанием именно вашей проблемы. Он озаглавлен - MTU.

 

раньше (неделю назад) на pptp у меня все работало.
с учётом последних нововведений со стороны К. все возможно Изменено пользователем user-login

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На первый взгляд - просто отличный мануал. Постараюсь туда добавить что-нибудь полезное. Правда, я не очень уверен в полезности SDM для начинающих. Настройка в консоли, особенно с хорошими комментариями, позволяет провести процесс более вдумчиво и немного прояснить многие сетевые вопросы.

Было бы неплохо прикрепить темку, чтобы не уплыла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребята, а какова реальная пропускная скорость Cisco 851 - K9 при PPTP VPN и без шифрования? На офсайте написано до 50 Mbit/s.....Есть ли смысл покупать эту "адскую машинку", если есть более простые в управлении роутеры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ребята, а какова реальная пропускная скорость Cisco 851 - K9 при PPTP VPN и без шифрования? На офсайте написано до 50 Mbit/s.....Есть ли смысл покупать эту "адскую машинку", если есть более простые в управлении роутеры?

50 Mbit/s - скорость чистого routing'а (без vpn и nat) мерял iperf в один поток

38 - 40 Mbit/s - скорость portoverload'а (ната подсети в адрес) мерял iperf в один поток

~ 8-10 Mbit/s - скорость на l2tp (на pptp не мерял, но уверен будет ещё меньше) мерял iperf в один поток

cisco - очень НЕ производительные устройства (как минимум те, что можно купить за разумные деньги), но очень проприетарно-функциональные. ;)

 

У меня сейчас работает 871 (upgrade memory to 256Mb), так вот раздача в eMule идет ~1 Mb/s 300 - 350 клиентам, загрузка процессора 85-87% средняя! т.е. ещё чуть-чуть и начнется дропание "ни в чем не повинных" пакетов, пропуски тактов и пр.

Изменено пользователем user-login

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
~ 8-10 Mbit/s - скорость на l2tp (на pptp не мерял, но уверен будет ещё меньше) мерял iperf в один поток

cisco - очень НЕ производительные устройства (как минимум те, что можно купить за разумные деньги), но очень проприетарно-функциональные. :)

 

У меня сейчас работает 871 (upgrade memory to 256Mb), так вот раздача в eMule идет ~1 Mb/s 300 - 350 клиентам, загрузка процессора 85-87% средняя! т.е. ещё чуть-чуть и начнется дропание "ни в чем не повинных" пакетов, пропуски тактов и пр.

 

Блин, а я чуть его не купил. Мне не функциональность, а скорость больше по душе. Вот не знаю, что выбрать.....Linksys, с которым тоже много возни и ничего не известно про скорость или Zyxel P-330W EE, который рекомендован корбиной и есть независимые тесты на нескольких сайтах. Пишут, что этот дешёвый зуксель выдаёт 18 - 20 Mbit/s (у разраба 25 Mbit/s). Подскажите, пожалуйста, что лучше. Я уже запутался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Действительно, полезная инструкция. Спасибо.

Касаемо, cisco 871 - пропускная способность маловата (особенно, с Wireless'om).

Я использую канал 1000/600 КБайт/с (torrent, скорость искусствеено зажата до 600 на upload) - при этом загрузка процессора до 80%.

IP TV прибавляет к этому еще процентов 5-10.

 

Araka, посмотрите в сторону 881-го. На иностранных форумах пролетали тесты. По тестам 20/20 МБайт/c ~ 10 % CPU.

Изменено пользователем Ne0_rus

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
cisco - очень НЕ производительные устройства (как минимум те, что можно купить за разумные деньги), но очень проприетарно-функциональные. :D

 

У меня сейчас работает 871 (upgrade memory to 256Mb), так вот раздача в eMule идет ~1 Mb/s 300 - 350 клиентам, загрузка процессора 85-87% средняя! т.е. ещё чуть-чуть и начнется дропание "ни в чем не повинных" пакетов, пропуски тактов и пр.

Разбили просто вдребезги розовые очки :(

Теперь уже и Mac вдруг окажется "не таким".

 

Блин, а я чуть его не купил. Мне не функциональность, а скорость больше по душе. Вот не знаю, что выбрать.....Linksys, с которым тоже много возни и ничего не известно про скорость или Zyxel P-330W EE, который рекомендован корбиной и есть независимые тесты на нескольких сайтах. Пишут, что этот дешёвый зуксель выдаёт 18 - 20 Mbit/s (у разраба 25 Mbit/s). Подскажите, пожалуйста, что лучше. Я уже запутался.

asus wl500gp + прошивка = 20-25Мбит pptp/l2tp, надежен, стабилен, в отличие от зухеля. maslovyu подтвердит.

Настройка простая и логичная, знание shell пригодится только при установке на роутер доп. пакетов - апача, торрента, фтп итд итп

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
50 Mbit/s - скорость чистого routing'а (без vpn и nat) мерял iperf в один поток

38 - 40 Mbit/s - скорость portoverload'а (ната подсети в адрес) мерял iperf в один поток

~ 8-10 Mbit/s - скорость на l2tp (на pptp не мерял, но уверен будет ещё меньше) мерял iperf в один поток

cisco - очень НЕ производительные устройства (как минимум те, что можно купить за разумные деньги), но очень проприетарно-функциональные. <_<

 

У меня сейчас работает 871 (upgrade memory to 256Mb), так вот раздача в eMule идет ~1 Mb/s 300 - 350 клиентам, загрузка процессора 85-87% средняя! т.е. ещё чуть-чуть и начнется дропание "ни в чем не повинных" пакетов, пропуски тактов и пр.

 

Извините, а можно Ваг конфиг посмотреть?

Я добился на 871 при скорости 1 МБайт/с загрузки (download/upload по 1МБ/c) процессора до 75% в пике. Средняя загруженность 65%.

Может Вам попробовать оптимизировать Ваш конфиг?

Также у меня появилась идея - вместо WAN порта использовать один из LAN'ов. Т.к. все LAN находятся в пределах одного свича, ВОЗМОЖНО, скорость коммутации пакетов будет выше!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Извините, а можно Ваг конфиг посмотреть?
Конфига для подключения cisco 871 к К. у меня сейчас нет, я его стер, но уверяю вам, ничего противоестественного (многокилометровых аксесс-листов, жутких правил файервола и пр.) там не было, тем более, что даже в самом оптимизированном виде (т.е. базовый конфиг, в этой теме вверху прикреплен) он не даст вам значительного увеличения скорости.

 

Я добился на 871 при скорости 1 МБайт/с загрузки (download/upload по 1МБ/c) процессора до 75% в пике. Средняя загруженность 65%.
В один поток 871-я лекго выдаст скорость любого безлимитного тарифного плана К. Уточните пожалуйста, при каких условиях вы получили этот результат? (очень желательно увидеть "sh ip nat stat", "sh ip insp stat", "sh ip ips stat" в этот момент)

 

Может Вам попробовать оптимизировать Ваш конфиг?
Уже. :huh: Собрал обратно софт-роутер на freebsd, убрал на cisco нат, подключил и наслаждаюсь 4 Мбайт/сек upload/download интернетом (~800-900 клиентов в eMule) с паралельным скачиванием с ftp.corbina.net ~6-7 Мбайт/сек при средней загрузке (cisco) 50% в пике 85% (у фряхи загрузка проца выше 40% вообще не поднималась)

 

Также у меня появилась идея - вместо WAN порта использовать один из LAN'ов. Т.к. все LAN находятся в пределах одного свича, ВОЗМОЖНО, скорость коммутации пакетов будет выше!
Это возможно. У 871 полноценный свитч и его вполне можно задействовать как интерфейс в К., но Вам совершенно необходимо срочно прочитать, что такое switching и что такое routing. Что б больше таких глупостей не писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Конфига для подключения cisco 871 к К. у меня сейчас нет, я его стер, но уверяю вам, ничего противоестественного (многокилометровых аксесс-листов, жутких правил файервола и пр.) там не было, тем более, что даже в самом оптимизированном виде (т.е. базовый конфиг, в этой теме вверху прикреплен) он не даст вам значительного увеличения скорости.

 

В один поток 871-я лекго выдаст скорость любого безлимитного тарифного плана К. Уточните пожалуйста, при каких условиях вы получили этот результат? (очень желательно увидеть "sh ip nat stat", "sh ip insp stat", "sh ip ips stat" в этот момент)

 

Уже. :( Собрал обратно софт-роутер на freebsd, убрал на cisco нат, подключил и наслаждаюсь 4 Мбайт/сек upload/download интернетом (~800-900 клиентов в eMule) с паралельным скачиванием с ftp.corbina.net ~6-7 Мбайт/сек при средней загрузке (cisco) 50% в пике 85% (у фряхи загрузка проца выше 40% вообще не поднималась)

 

Это возможно. У 871 полноценный свитч и его вполне можно задействовать как интерфейс в К., но Вам совершенно необходимо срочно прочитать, что такое switching и что такое routing. Что б больше таких глупостей не писать.

 

Я отлично понимаю что такое роутинг и что такое свичинг. :huh: Хотя за пивом это можно обсудить :)

А касаемо Вашего конфига для 851 - я уже вижу "усложнение" конструкции в виде Bridge'a. Зачем он Вам?

Избавление от него принесло мне 15-20% разгрузки CPU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я отлично понимаю что такое роутинг и что такое свичинг. ^_^ Хотя за пивом это можно обсудить :)

А касаемо Вашего конфига для 851 - я уже вижу "усложнение" конструкции в виде Bridge'a. Зачем он Вам?

Избавление от него принесло мне 15-20% разгрузки CPU.

Так давайте и WiFi выключим, ещё 10% ресурсов высвободится?

Избавимся от файервола. А то чего ж он ресурсы жрёт, сволоч?

и т.д.

В мультисервисных аппаратах всегда борьба между фукциональность-производительность-цена, каждый расставляет приоритеты сам.

cisco 871 можно низвести до уровня нат-коробки, но и тогда она не даст вам и половины производительности PIII 933MHz, 256Mb RAM, 2Gb CF + FreeBSD на борту

Bridging mode should be used on an access point if one or more of the following conditions is required:

•You want to bridge non-IP traffic (for example, IPX, AppleTalk, and SNA) between the wired and wireless devices.

•You want to configure the network so that the devices on the FastEthernet ports and the wireless clients are on the same IP subnet.

Перевести?

 

P.S. Уважаемые модераторы, забаньте меня как злостного оффтопера (или офтопЁра?) до полного излечения ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Так давайте и WiFi выключим, ещё 10% ресурсов высвободится?

Избавимся от файервола. А то чего ж он ресурсы жрёт, сволоч?

и т.д.

В мультисервисных аппаратах всегда борьба между фукциональность-производительность-цена, каждый расставляет приоритеты сам.

cisco 871 можно низвести до уровня нат-коробки, но и тогда она не даст вам и половины производительности PIII 933MHz, 256Mb RAM, 2Gb CF + FreeBSD на борту

Перевести?

 

P.S. Уважаемые модераторы, забаньте меня как злостного оффтопера (или офтопЁра?) до полного излечения ...

 

:) А причем здесь Wi Fi-то ? :) Все работает, просто L2 свитчинг меняется на L3 роутинг (performance не страдает).

Да, если несложно, перевeдите, особенно, касаемо одной подсети для Wi Fi и FastEthernet'a :)

 

P.S. На cisco.com приводятся примеры - они не панацея настройки. Всегда можно что-то изменить, причем в лучшую сторону....

P.S.S. Лучше бы подсказали как IP TV приставку прокидывать на WAN порт. Что-то простой PAT ей не нравится.... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не забанили... даже обидно :)

:) А причем здесь Wi Fi-то ? :)
А причем здесь bridge?

 

Все работает, просто L2 свитчинг меняется на L3 роутинг (performance не страдает).

Да, если несложно, перевeдите, особенно, касаемо одной подсети для Wi Fi и FastEthernet'a :)

Режим моста можно использовать на AP если необходимо выполнение одного или нескольких условий:

• Вы хотите разрешить обмен не IP-трафиком (IPX, AppleTalk, and SNA) между проводными и беспроводными устройствами

• Вы хотите настроить сеть так, что бы устройства, подключенные в FastEthernet порты, и беспроводные клиенты находились в одном адресном пространстве.

 

P.S. На cisco.com приводятся примеры - они не панацея настройки. Всегда можно что-то изменить, причем в лучшую сторону....
С нетерпением ждем ваших конфигов, рекомендаций и пр. изменений в лучшую сторону.

 

P.S.S. Лучше бы подсказали как IP TV приставку прокидывать на WAN порт. Что-то простой PAT ей не нравится.... :)
В предидущем посте вы распинались, дескать, знаете что такое такое switching, вот и воспользуйтесь своим знанием. Я, например, не понимаю зачем нужно IPTV-приставку куда-то прокидывать? А если вдруг возникает такая необходимость, то причем здесь pat?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Не забанили... даже обидно ;)

А причем здесь bridge?

 

 

 

С нетерпением ждем ваших конфигов, рекомендаций и пр. изменений в лучшую сторону.

 

В предидущем посте вы распинались, дескать, знаете что такое такое switching, вот и воспользуйтесь своим знанием. Я, например, не понимаю зачем нужно IPTV-приставку куда-то прокидывать? А если вдруг возникает такая необходимость, то причем здесь pat?

 

Bridge используется (если следовать manual'y по 85x/87x) для настройки с Dot11Radio интерфейса.

Конфиг будет как только Корбина восстановит мой сегмент сети :)

Приставка IP TV не работает через NAT.... Она сидит на LAN (Fe0) порту роутера. Выход в сеть провайдера через WAN интерфейс (Fe4).

Испоьзую NAT (точнее PAT - NAT + overload). Приставка получает локальный IP адрес - далее тишина.

Сегодня попробую посмотреть пакеты с нее - куда она ломится....

 

Если у Вас есть идеи или Вы подключали приставку через 851 - подскажите пожалуйста. У меня не такой богатый опыт работы с Cisco (всего 2 недели) как у Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Bridge используется (если следовать manual'y по 85x/87x) для настройки с Dot11Radio интерфейса.

Конфиг будет как только Корбина восстановит мой сегмент сети :D

Приставка IP TV не работает через NAT.... Она сидит на LAN (Fe0) порту роутера. Выход в сеть провайдера через WAN интерфейс (Fe4).

Испоьзую NAT (точнее PAT - NAT + overload). Приставка получает локальный IP адрес - далее тишина.

Сегодня попробую посмотреть пакеты с нее - куда она ломится....

Если у Вас есть идеи или Вы подключали приставку через 851 - подскажите пожалуйста. У меня не такой богатый опыт работы с Cisco (всего 2 недели) как у Вас.

Я никогда не подключал приставку через 851, но идей у меня масса.

Идея №1.

Поменяйте местами интерфейсы. Т.е. кабель от К. воткните в FE0, приставку в FE1, домашнюю локальную сеть в FE4

Идея №2.

В сообщении №14, 16 упоминалась 871, у неё есть pim и вот она уже может "прокинуть" мультикаст внутрь.

Идея №3.

Купить себе за 500 руб. свитч и не парить мозг.

Идея №4.

Совсем фантастическая, даже писать не буду, но в пьяном угаре и не такое прокатит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я никогда не подключал приставку через 851, но идей у меня масса.

Идея №1.

Поменяйте местами интерфейсы. Т.е. кабель от К. воткните в FE0, приставку в FE1, домашнюю локальную сеть в FE4

Идея №2.

В сообщении №14, 16 упоминалась 871, у неё есть pim и вот она уже может "прокинуть" мультикаст внутрь.

Идея №3.

Купить себе за 500 руб. свитч и не парить мозг.

Идея №4.

Совсем фантастическая, даже писать не буду, но в пьяном угаре и не такое прокатит...

 

 

Спасибо. С Вами можно вести конструктивный диалог :(

1. Еще не менял - руки не дошлию

2. PIM настроен. Работает совместно с IP IGMP HELPER-ADRESS'ом + CGMP. Но приставка, видимо, через него не умеет... IPTV через комп/Wi Fi работает на ура.

3. Именно, сейчас так все и работает. Свитч можно и дешевле найти. НО я люблю минимализм в железе.

4. Да, пробовал создавать Sub-If'ы на WAN'e. И как раз в "момент истины", т.е. тестирования рухнул наш сегмент сети....

5. Из наблюдений - если переткнуть приставку из switch'a d-link в router на "горячую", она какое-то время показывает (10 мин, 30 мин...) Потом отваливается и не цепляется через роутер - поэтому и встал вопрос проброса портов через NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Спасибо. С Вами можно вести конструктивный диалог :(

1. Еще не менял - руки не дошлию

2. PIM настроен. Работает совместно с IP IGMP HELPER-ADRESS'ом + CGMP. Но приставка, видимо, через него не умеет... IPTV через комп/Wi Fi работает на ура.

3. Именно, сейчас так все и работает. Свитч можно и дешевле найти. НО я люблю минимализм в железе.

4. Да, пробовал создавать Sub-If'ы на WAN'e. И как раз в "момент истины", т.е. тестирования рухнул наш сегмент сети....

5. Из наблюдений - если переткнуть приставку из switch'a d-link в router на "горячую", она какое-то время показывает (10 мин, 30 мин...) Потом отваливается и не цепляется через роутер - поэтому и встал вопрос проброса портов через NAT.

У вас 871.

Самый красивый вариант. "Отгрызаете" два порта (например Fa0 и Fa1) свитча из native vlan и помещаете их в свежесозданный созданный vlan 2. В один из этих портов подключаете кабель от К. во второй IPTV-приставку (оптимально ещё и no cdp enable, spanning-tree portfast добавить на них).

Интерфейс Vlan 2 будет вашим ip-интерфейсом в К. На нем настраиваете получение ip-адресов по dhcp и nat outside

При этом вам не нужно нагружать железку ненужной работой и загрузка роутера никак не скажется на качестве картинки

Не самый красивый вариант. Включить multicast routing, добавить ip mroute 172.16.16.0 255.255.255.0 <GW IP recieved via DHCP> и ну и pim

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
У вас 871.

Самый красивый вариант. "Отгрызаете" два порта (например Fa0 и Fa1) свитча из native vlan и помещаете их в свежесозданный созданный vlan 2. В один из этих портов подключаете кабель от К. во второй IPTV-приставку (оптимально ещё и no cdp enable, spanning-tree portfast добавить на них).

Интерфейс Vlan 2 будет вашим ip-интерфейсом в К. На нем настраиваете получение ip-адресов по dhcp и nat outside

При этом вам не нужно нагружать железку ненужной работой и загрузка роутера никак не скажется на качестве картинки

Не самый красивый вариант. Включить multicast routing, добавить ip mroute 172.16.16.0 255.255.255.0 <GW IP recieved via DHCP> и ну и pim

 

"Не самый хороший вариант" как раз не работает.

Нашел пример конфига (не самого свежего, но работающего).

Access List взял из готового примера для К. IP Route планирую заменить на Route-Map'ы.

Vty в сущ. конфиге с Access-List'ом (какой-то хацкер из Канады пытался Broute Force'ить :rolleyes: )

 

cisco_home_config_071008.txt

 

Cо свичем (Fa0 и Fa1) попробую в выходные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Премногоуважаемый user-login! Прекрасный мануал. Но не могли бы Вы огласить, на какой версии ios у Вас получилось поднять l2tp-соединение на 871 циске? И... Как полагаете, может ли зависеть как-то падучесть l2tp-туннеля от адреса FE4, выданного корбиновским DHCP? Столкнулся со следующей ситуацией: на одних адресах FE4 туннель ведёт себя стабильно, на других - падает через каждую половину минуты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
на какой версии ios у Вас получилось поднять l2tp-соединение на 871 циске? И... Как полагаете, может ли зависеть как-то падучесть l2tp-туннеля от адреса FE4, выданного корбиновским DHCP? Столкнулся со следующей ситуацией: на одних адресах FE4 туннель ведёт себя стабильно, на других - падает через каждую половину минуты.

ЭТО у меня получилось на всех версиях ios начиная с 12.4(15)Т и по текущую 12.4(20)Т1 с неизменно стабильным результатом. :)

syslog сообщений вида:

%IP-4-DUPADDR: Duplicate address 10.0.0.10 on FastEthernet 0/0/0, sourced by 0015.e990.3102

не пишет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже будучи пользователем *nix-систем с 5-летним стажем, не могу не отметить, что такой CLI - это ппц! :D

 

CISCO до сих пор не даёт своим устройствам Web-интерфейсы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Даже будучи пользователем *nix-систем с 5-летним стажем, не могу не отметить, что такой CLI - это ппц! :rolleyes:

CISCO до сих пор не даёт своим устройствам Web-интерфейсы?

Если бы вы увидели этот web-интерфейс - потом мучались бы кошмарами по ночам.

Если быть объективным, то cisco cli - лучшая командная строка (после juniper'овской конечно) без использования интерпритаторов и прочих командных оболочек. Просто пользователю nix-систем сначала сложно допереть, что не надо лазить по трем тысячам файлов и директорий, есть один конфигурационный файл, древовидная структура и все. У cisco cli конечно же есть недостатки (нельзя понять в настройке какого интерфейса ты находишься если отвлечься :lol: ), но покажите мне систему без них? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас