Спасибо! Сделаю стенд для проверки и потом уже в прод. Правильно говорите — лучше убедиться.

@Mlex1 Предоставьте, пожалуйста, следующие данные с R1: #sh ip route #sh ip bgp neigh 10.10.10.2 advertised-routes

Здравствуйте! У меня есть маршрутизатор C1111-8P. К сожалению, я не могу обновить образ IOS. На данный момент я временно установил gi0/0/1 в качестве DHCP-клиента. Затем я загрузил образ IOS с моего TFTP-сервера и рассчитал сумму MD5. Directory of bootflash:/ 11 drwx 16384 Apr 14 2021 08:13:07 +00:00 lost+found 163201 drwx 4096 Jan 16 2025 17:57:21 +00:00 .prst_sync 12 -rw- 457963732 Apr 14 2021 08:21:21 +00:00 c1100-universalk9_ias_npe.16.09.05.SPA.bin 114241 drwx 4096 Jan 16 2025 17:56:07 +00:00 .installer 89761 drwx 4096 Apr 14 2021 08:27:24 +00:00 core 65281 drwx 4096 Apr 14 2021 08:26:02 +00:00 .rollback_timer 73441 drwx 4096 Apr 14 2021 08:26:03 +00:00 gs_script 106081 drwx 73728 Jan 16 2025 18:41:25 +00:00 tracelogs 122401 drwx 4096 Jul 10 2021 13:27:30 +00:00 .dbpersist 24481 -rw- 30 Jan 16 2025 17:57:21 +00:00 throughput_monitor_params 81601 drwx 4096 Apr 14 2021 08:27:02 +00:00 onep 24482 -rw- 35 Jan 16 2025 12:44:44 +00:00 pnp-tech-time 24483 -rw- 66041 Jan 16 2025 12:44:54 +00:00 pnp-tech-discovery-summary 24484 -rw- 10220 Jan 16 2025 17:57:31 +00:00 vlan.dat 24485 -rw- 567 Jul 11 2021 06:26:35 +00:00 1625984510647sh_tech.txt 24486 -rw- 567 Jul 11 2021 06:27:22 +00:00 1625984554263sh_tech.txt 24487 -rw- 701111540 Jan 16 2025 18:34:27 +00:00 c1100-universalk9.17.12.04a.SPA.bin 130561 drwx 4096 Jan 16 2025 14:50:11 +00:00 SHARED-IOX 24488 -rwx 0 Jan 16 2025 14:50:11 +00:00 mode_event_log 138721 drwx 4096 Jan 16 2025 14:50:11 +00:00 pcap 2908606464 bytes total (1578356736 bytes free) Конфигурация: Router(config)#boot system flash c1100-universalk9.17.12.04a.SPA.bin Router#show bootvar BOOT variable = c1100-universalk9_ias_npe.16.09.05.SPA.bin,1;c1100-universalk9.17.12.04a.SPA.bin,1; Router(config)#no boot system flash c1100-universalk9_ias_npe.16.09.05.SPA.bin Router#show bootvar BOOT variable = c1100-universalk9.17.12.04a.SPA.bin,1; CONFIG_FILE variable does not exist BOOTLDR variable does not exist Configuration register is 0x2102 Standby not ready to show bootvar Router(config)#do wr Building configuration... [OK] Router(config)# *Jan 16 18:50:31.493: %SYS-2-PRIVCFG_ENCRYPT: Successfully encrypted private config file Router(config)#reload Перезагрузка: System Bootstrap, Version 16.9(1r), RELEASE SOFTWARE Copyright (c) 1994-2018 by cisco Systems, Inc. Current image running: Boot ROM0 Last reset cause: LocalSoft C1111-8P platform with 4194304 Kbytes of main memory ........ Located c1100-universalk9.17.12.04a.SPA.bin #################################################### . . . Package header rev 3 structure detected IsoSize = 646684672 Calculating SHA-1 hash...Validate package: SHA-1 hash: calculated C8FC40FC:3F5B9694:390E1398:ACD90582:1CB4E2E6 expected C8FC40FC:3F5B9694:390E1398:ACD90582:1CB4E2E6 RSA Signed RELEASE Image Signature Verification Successful Image validated Маршрутизатор зависает надолго и выдает ошибку: System Bootstrap, Version 16.9(1r), RELEASE SOFTWARE Copyright (c) 1994-2018 by cisco Systems, Inc. Current image running: Boot ROM0 Last reset cause: Unrecoverable Error C1111-8P platform with 4194304 Kbytes of main memory После отката к universalk9_ias_npe.16.09.05.SPA.bin с помощью rommon. Маршрутизатор запускается без ошибок. Могу ли я попросить помощи в решении этой проблемы?

Привет всем, Что касается резервного питания для C8200-1N-4T Можно ли использовать PWR-CC1-150WAC в качестве резервного источника питания для встроенного блока питания устройства C8200-1N-4T или он предназначен только для поддержки модуля PoE? Спасибо

Привет всем, Похоже, есть некоторая путаница с этими двумя источниками питания. Они абсолютно одинаковые? На первый взгляд я бы предположил, что они разные, но теперь я не так уверен. Некоторое время назад мы приобрели новый 7606-S у CDW , и он поставлялся с источником питания PWR-2700-AC/4=. Однако в техническом описании Cisco для 7606-S в качестве опции указан только источник питания PWR-2700-AC=. А не PWR-2700-AC/4= ( http://www.cisco.com/en/US/prod/collateral/routers/ps368/ps371/product_data_sheet0900aecd8057f3c8.html ). По-видимому, CDW продает только «проверенные» конфигурации Cisco... Кто-нибудь может прояснить ситуацию? Эти два номера моделей одинаковы? Если нет, в чем разница? PWR-2700-AC/4= PWR-2700-AC= Обратите внимание, что наш 7606-S работал с двумя такими источниками питания: PWR-2700-AC/4=. Один из них недавно вышел из строя и продолжает вызывать срабатывание цепи PDU при подключении. Я подозреваю, что это связано с тем, что номер модели источника питания неверный...

Здравствуйте, Мы хотим повысить скорость нашего интернет-соединения со 100 Мбит/с до 1 Гбит/с. Нам предложили выгодную сделку с опцией AT&T ADI fiber. В настоящее время у нас есть 2 маршрутизатора ISR4331 с лицензией по умолчанию. Консультант посоветовал нам приобрести лицензию Boost, чтобы маршрутизатор мог поддерживать пропускную способность 1 Гбит/с. Я прочитал приведенный ниже документ от Cisco и запутался. В таблице 4 указано, что ISR4331 может поддерживать совокупную пропускную способность CEF более 2 Гбит/с с лицензией Boost при условии использования встроенных интерфейсов Gigabit Ethernet. Итак, мой вопрос: что это означает? Означает ли это, что маршрутизатор сможет поддерживать 2 Гбит/с на интерфейсе Ethernet 1 Гбит/с? Как это возможно? https://www.cisco.com/c/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/data_sheet-c78-732542.pdf Заранее спасибо. С уважением, ~zK

![Mlex1_0-1760065808272.png] маршрутизатор bgp 100 bgp log-neighbor-changes сосед 192.168.1.1 remote-as 200 сосед 192.168.1.1 des R1 сосед 192.168.1.1 default-originate ! R1 ip prefix-list DEFAULT seq 5 permit 0.0.0.0/0 ! route-map RM_DEFAULT permit 10 match ip address prefix-list DEFAULT ! router bgp 200 template peer-policy TEST route-map RM_R03_OUT out default-originate route-map RM_DEFAULT soft-reconfiguration inbound send-community both exit-peer-policy neighbor 10.10.10.2 remote-as 300 neighbor 10.10.10.2 description R03 neighbor 192.168.1.2 remote-as 100 neighbor 192.168.1.2 description R1 ! address-family ipv4 neighbor 10.10.10.2 activate neighbor 10.10.10.2 inherit peer-policy TEST сосед 192.168.1.2 activate exit-address-family ! Здесь у меня вопрос: есть ли какая-то конфигурация портов, чтобы они отвечали, какой порт является конфигурацией по умолчанию, а какой порт для полного просмотра? Как я вижу, конфигурация default-originate route-map RM_DEFAULT не нужна, почему я так думаю? Я объявляю здесь R3 по умолчанию для всей сети через префикс-список и маршрутную карту. 2. default-originate route-map RM_DEFAULT создает маршрут по умолчанию, но не добавляет его в таблицу bgp 0.0.0.0/0, эмулирует маршрут по умолчанию, а также объявляет его R3, здесь я запутался и не могу понять Также прочитайте здесь [) Желаю всего наилучшего [image: 8dfa39c8a3befdada6137f2c0909cf0607347633.png]

Всем привет У моего маршрутизатора Cisco C1113-8p возникла проблема. У меня был другой маршрутизатор Cisco (серия 1921) с аналогичной конфигурацией, который работал в основном с Nat и Dialler и функционировал успешно. Я настроил 2 Dialler для моего интернет-провайдера: один для VOIP, а другой для доступа в Интернет. Интерфейс Dialer 1 для доступа в Интернет (имеет проблему, описанную в этом посте) Dialer 2 для моего телефона IPPABX (работает успешно — соединение IPVPN) Я успешно получил локальный IP-адрес от моего NAT и DHCP для обеих услуг, но проблема связана с моим доступом в Интернет (Dialler 1). Я использую 2 Vlans для разделения разных пулов DHCP для моих клиентов с доступом в Интернет и для моего IP-телефона. При подключении к портовым интерфейсам, соединяющим меня с моим Dialer 1, я могу пинговать любую веб-страницу. Однако я не получаю никаких веб-сессий в своем браузере. Может ли кто-нибудь помочь или подсказать, где я мог допустить ошибку? Смотрите приложенный файл с моей конфигурацией. Обратите внимание, что я удалил из него учетные данные для доступа по телефонной линии.

Всем привет! Конечно, мы можем использовать IP SLA и объекты Track для отслеживания доступности следующего прыжка (например, ISP), а затем удалить маршрут, чтобы повлиять на нашу маршрутизацию, но я пытаюсь придумать реальный случай, когда я бы действительно это сделал, а не просто позволил бы моему протоколу маршрутизации (например, BGP, EIGRP, OSPF) обрабатывал отработку отказа за меня (просто присвоив худшую метрику моему альтернативному маршруту)? 0xD2A6762E

Обычно стандартный интерфейс имеет MTU 1500. При создании подинтерфейса на маршрутизаторе (или использовании SVI на коммутаторе) следует ли вручную уменьшить MTU до 1496, чтобы учесть дополнительные 4 байта? Похоже, что все работает и без этого, поэтому мне интересно, как это возможно. Спасибо!

Здравствуйте, все Я приобрел Cisco Catalyst 1300 и не могу понять, можно ли настроить ACL для ssh и веб-входа, чтобы ограничить доступ к конфигурации устройства. Я прочитал эту статью ( https://www.cisco.com/c/en/us/td/docs/switches/campus-lan-switches-access/Catalyst-1200-and-1300-Switches/cli/C1300-cli ), но не нашел ничего похожего Если кто-нибудь может подсказать мне соответствующую документацию или, еще лучше, пример команды, буду очень благодарен. Заранее спасибо.

Здравствуйте, Я хочу обновить iso с 12.2(53)SE2 до более поздней версии для коммутатора модели WS-C2960-24PC-L. Кто-нибудь может подсказать, какая более поздняя версия лучше и как скачать новую версию iso? На сайте https://software.cisco.com/ представлены 4 типа файлов: 1) LAN BASE & LAN LITE 2)LAN BASE WITH WEB BASED DEV MGR и LITE Какую из них мне следует загрузить или поддерживать? Модель коммутатора приложена PFA. @Takumi Muto @Cisco Engineer [image: fe2163ad335a77bd8435b8c0821136855c94f656.png]

Здравствуйте Я работаю с несколькими настройками, но эта должна была быть простой, пока не оказалась сложной. Я уверен, что упускаю какую-то мелочь, но тем не менее. Короче говоря, вот моя конфигурация, и я не получаю никаких NAT-преобразований и/или доступа в Интернет, даже с самого маршрутизатора. Единственное, чего нет в рабочей конфигурации, — я пробовал как dhcp, так и статический для моей WAN... Кроме того, DHCP-сервер и IP-адреса LAN проходят через другой коммутатор, но на данный момент я даже не могу подключиться к Интернету на ISR. version 17.16 ! ip dhcp excluded-address 192.168.20.1 ! ip dhcp pool management network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 ! vlan internal allocation policy ascending ! vlan 8-9 ! vlan 10 name DMZ ! vlan 20,99 ! ! interface GigabitEthernet0/0/0 description StarLInk-WAN ip address 100.122.91.181 255.192.0.0 ip nat outside negotiation auto ! interface GigabitEthernet0/0/1 description StarLink-LAN ip address 10.0.2.1 255.255.255.0 ip nat inside negotiation auto ! interface GigabitEthernet0/1/7 switchport switchport access vlan 99 switchport mode access ! interface Wlan-GigabitEthernet0/1/8 ! interface Vlan1 no ip address ! interface Vlan99 ip address 192.168.20.1 255.255.255.0 ! ip nat inside source list 1 interface GigabitEthernet0/0/0 overload ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 ip route 192.168.7.0 255.255.255.0 10.0.2.2 ip ssh bulk-mode 131072 ! ip access-list standard 1 10 permit 192.168.7.0 0.0.0.255 ! end

Добрый день всем, У меня возникла странная проблема, над которой я работаю уже несколько дней, но никак не могу ее решить. Я создал макет лаборатории Packet Tracer, чтобы смоделировать проблему, с которой столкнулся, но не могу понять, что я упускаю. Сценарий лабораторной работы: У меня есть один основной (L3), один распределительный (L2) и один доступный (L2) коммутатор. Я создал VLAN 100, 200, 300, 400 и 500 на ядре и использовал VTP, чтобы передать их на распределительный и доступный коммутаторы. Ядро настроено как сервер VTP, а распределительный и доступный коммутаторы настроены как клиенты VTP. Все 5 VLAN присутствуют на ядре, распределительном и доступном коммутаторах. Я использовал общие имена для VLAN 100, 200 и 300. Я использую 400 для управления и 500 для native. Я создал SVI (100.1, 200.1, 300.1 и 400.1) на ядре. Все /24. Я настроил магистральное соединение между ядром и распределением, а также между распределением и доступом, установив 500 в качестве native VLAN для каждого. Я разрешаю VLAN 100, 200, 300 и 400 на магистралях. Я настроил IP-адреса управления в подсети 400 и шлюзы по умолчанию на коммутаторах распределения и доступа для отправки всего трафика на ядро. Я могу выполнять ping через все коммутаторы в подсети управления. У меня есть 3 сервера, подключенных к моему коммутатору доступа. 1 сервер в VLAN 100, 1 в VLAN 200 и 1 в VLAN 300. Все серверы были настроены с соответствующим IP-адресом, маской подсети и шлюзом. Я могу пинговать каждый хост в сети с любого другого хоста. Базовая маршрутизация между VLAN, легкий день. И вот тут все становится странным. Я добавил вторую сетевую карту к каждому из серверов и настроил их для другой VLAN, отличной от основной сетевой карты. (Например, сервер 1 теперь настроен с сетевой картой в VLAN 100 и сетевой картой в VLAN 200). Я могу пинговать каждую сетевую карту сервера с основного коммутатора, но ничего больше. Серверы также не могут выполнить ping для VLAN, для которой у них нет настроенного шлюза. (Сервер 1 имеет сетевые карты, настроенные для VLAN 100 и 200, теперь он не может достичь ничего в VLAN 300). До того, как я добавил вторые сетевые карты, каждый сервер мог пинговать все другие серверы и IP-адреса управления каждого коммутатора. Включен протокол Spanning Tree, и я закрепил корень для каждой VLAN за ядром. Я подключил маршруты в ядре для подсетей. Все работало, пока я не добавил вторую сетевую карту. Обычно я имел дело с серверами, на которых работал гипервизор, и использовал магистральные порты. Я не могу вспомнить случай, когда я использовал несколько портов доступа на сервере, за исключением случаев, когда я агрегировал или использовал порт для управления с одним другим VLAN данных. Есть какие-нибудь идеи?

Может ли кто-нибудь помочь мне понять, почему NTP не разрешается, когда этот ACL применяется к входящему трафику на интерфейсе, обращенном к Интернету? Все остальное работает, но NTP не работает, и я не знаю, почему. interface GigabitEthernet0/0/0 ip address 1.2.3.4 6.7.8.9 ip nat outside ip access-group NTP-ACL in negotiation auto ..... 209 permit udp any any eq ntp log (1 match) 210 permit udp any eq ntp any eq ntp log (2 matches) ......... show ntp associations address ref clock st when poll reach delay offset disp *~128.199.169.185 199.101.96.52 3 48 64 7 2.951 -69.055 189.17 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured show ntp status Clock is unsynchronized, stratum 4, reference is 128.199.169.185 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**10 ntp uptime is 95500 (1/100 of seconds), resolution is 4000 reference time is ECAA2739.824DD458 (01:15:37.509 SGT Tue Oct 28 2025) clock offset is -75.3579 msec, root delay is 251.09 msec root dispersion is 145.57 msec, peer dispersion is 1.90 msec loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s system poll interval is 64, last update was 62 sec ago.

Возможно обновить iOS с маршрутизатора на маршрутизатор Cisco. Схема для наглядного понимания: с R3 отправить iOS на R4 ![Mlex1_1-1761648960260.png] Желаю всего наилучшего [image: 230c159dce115cfe500533830fb75db68243c158.png]

Уважаемый форум, Я обращаюсь к вам по поводу проблемы, которая возникла у меня с Cisco 1100 под управлением IOS 9.17.09.05. Маршрутизатор подключен к 2 портам WAN с простой конфигурацией отказоустойчивости. Основной WAN находится на G0/0/0, а резервный — на G0/0/1. Когда ISP1 (ATT) отключается, маршрут по умолчанию меняется на ISP 2 (Comcast), но он не проходит через шлюз. При переключении в таблицах NAT не отображаются никакие записи. Шаги по устранению неполадок, которые я пробовал: 1. Проверил статическую IP-информацию и маршрут на ISP 2. 2. Попробовал принудительно вывести сеть напрямую на ISP 2 с помощью сопоставления политик на одной VLAN. 3. Попробовал добавить track 10 и track 10 с SLA на обоих интерфейсах. 4. Попробовал стандартные ACL, чтобы проверить, не блокирует ли что-нибудь исходящий трафик. У меня есть одно соединение VPN между сайтами, которое сейчас не применяется, но оно находится только на основном интерфейсе. Для конфигурации у меня есть: boot system bootflash:c1100-universalk9.17.09.05a.SPA.bin ip name-server 1.1.1.1 8.8.8.8 10.17.1.200 ! track 10 ip sla 10 reachability ! ! ! ! ! ! ! ! ! crypto isakmp policy 1 encryption 3des хэш md5 аутентификация pre-share группа 2 крипто isakmp ключ XXXXXXX адрес XXX.XXX.XXX крипто isakmp keepalive 60 30 ! ! крипто ipsec transform-set SRAWH esp-3des esp-md5-hmac режим tunnel ! крипто ipsec профиль XXX установить набор преобразований XXX ! ! ! криптографическая карта XXX 10 ipsec-isakmp установить peer X.X.X.X установить набор преобразований XXX соответствие адресу XXXX ! ! ! ! ! ! ! ! интерфейс Tunnel0 ip address 10.19.1.250 255.255.255.240 источник туннеля X.X.X.X туннель назначения X.X.X.X профиль защиты туннеля ipsec XXXX ! интерфейс GigabitEthernet0/0/0 описание ATT IP-адрес X.X.X.X 255.255.255.248 IP NAT снаружи переговоры auto ! интерфейс GigabitEthernet0/0/1 описание COMCAST IP-адрес X.X.X.X 255.255.255.248 ip nat outside переговоры auto ! интерфейс GigabitEthernet0/1/0 описание Ссылка на LAN режим switchport trunk ! интерфейс GigabitEthernet0/1/1 описание Связь с PBX switchport access vlan 30 switchport mode access ! интерфейс GigabitEthernet0/1/2 switchport access vlan 10 switchport mode access ! интерфейс GigabitEthernet0/1/3 описание Система мониторинга режим доступа коммутационного порта ! интерфейс Vlan1 ip address 10.1.1.250 255.255.255.0 IP NAT внутри ! интерфейс Vlan10 ip address 10.17.1.206 255.255.255.240 IP NAT внутри ! интерфейс Vlan11 описание MGMT IP-адрес 10.17.1.14 255.255.255.240 ip helper-address 10.17.1.200 ip nat внутри ! интерфейс Vlan12 описание REGULATORY IP-адрес 10.17.1.30 255.255.255.240 ip helper-address 10.17.1.200 ip nat inside ! интерфейс Vlan14 описание BUSDEV IP-адрес 10.17.1.46 255.255.255.240 ip nat inside ! интерфейс Vlan15 описание ACCOUNTING IP-адрес 10.17.1.62 255.255.255.240 ip helper-address 10.17.1.200 ip nat inside ! интерфейс Vlan20 описание CLINOPS IP-адрес 10.17.2.250 255.255.255.0 ip helper-address 10.17.1.200 ip nat inside ! интерфейс Vlan30 описание VOICE IP-адрес 10.17.3.250 255.255.255.0 ip nat inside ! интерфейс Vlan40 описание CAMERAS IP-адрес 10.17.4.250 255.255.255.0 ip nat inside ! интерфейс Vlan50 описание GUEST IP-адрес 10.17.5.250 255.255.255.0 ip nat inside ! интерфейс Vlan60 описание ACCESSCNTRL IP-адрес 10.17.6.250 255.255.255.0 ip nat inside ! интерфейс Vlan70 описание DATALOGGER IP-адрес 10.17.7.250 255.255.255.0 ip nat inside ! локальная политика маршрутизации IPSLA10 нет ip http сервер IP-аутентификация HTTP локальная нет IP HTTP безопасный сервер ip forward-protocol nd настройки IP NAT интерфейс-перегрузка блокировать порт tcp 5150 ip nat settings interface-overload block port tcp 5160 ip nat inside source static tcp 10.17.4.200 5150 X.X.X.X 5150 extendable ip nat inside source static tcp 10.17.4.200 5160 X.X.X.X 5160 extendable ip nat inside source list 101 interface GigabitEthernet0/0/0 overload ip nat inside source list 102 interface GigabitEthernet0/0/1 overload ip route 0.0.0.0 0.0.0.0 X.X.X.X track 10 (ATT) ip route 0.0.0.0 0.0.0.0 X.X.X.X 2 (Comcast) ip route 10.12.1.0 255.255.255.0 Tunnel0 ip route 10.12.2.0 255.255.255.0 Tunnel0 ip route 10.12.3.0 255.255.255.0 Tunnel0 ! ! ip access-list extended IPSLA10 10 разрешить icmp X.X.X.X (ATT) 0.0.0.7 8.8.8.8 0.0.0.3 ip access-list extended SRAWHVPN 10 разрешить ip 10.17.1.0 0.0.0.255 10.12.1.0 0.0.0.255 20 разрешить ip 10.17.2.0 0.0.0.255 10.12.2.0 0.0.0.255 30 разрешить ip 10.17.3.0 0.0.0.255 10.12.3.0 0.0.0.255 ! ip sla 10 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/0/0 тайм-аут 6000 частота 10 ip sla schedule 10 life forever start-time now ip access-list extended 101 10 deny ip 10.1.1.0 0.0.0.255 10.12.1.0 0.0.0.255 20 запретить ip 10.17.1.0 0.0.0.255 10.12.1.0 0.0.0.255 30 запретить ip 10.17.2.0 0.0.0.255 10.12.2.0 0.0.0.255 40 запретить ip 10.17.3.0 0.0.0.255 10.12.3.0 0.0.0.255 50 запретить ip 10.17.4.0 0.0.0.255 10.12.4.0 0.0.0.255 60 запретить ip 10.17.5.0 0.0.0.255 10.12.5.0 0.0.0.255 70 запретить ip 10.17.6.0 0.0.0.255 10.12.2.0 0.0.0.255 80 запретить ip 10.17.7.0 0.0.0.255 10.12.2.0 0.0.0.255 90 разрешить ip 10.1.1.0 0.0.0.255 любой 100 разрешить ip 10.17.1.0 0.0.0.255 любой 110 разрешить ip 10.17.2.0 0.0.0.255 любой 120 разрешить ip 10.17.3.0 0.0.0.255 любой 130 разрешить ip 10.17.4.0 0.0.0.255 любой 140 разрешить ip 10.17.5.0 0.0.0.255 любой 150 разрешить ip 10.17.6.0 0.0.0.255 любой 160 разрешить ip 10.17.7.0 0.0.0.255 любой ip access-list extended 102 1 deny ip 10.1.1.0 0.0.0.255 10.12.1.0 0.0.0.255 2 deny ip 10.17.1.0 0.0.0.255 10.12.1.0 0.0.0.255 3 запретить ip 10.17.2.0 0.0.0.255 10.12.2.0 0.0.0.255 4 запретить ip 10.17.3.0 0.0.0.255 10.12.3.0 0.0.0.255 5 запретить ip 10.17.4.0 0.0.0.255 10.12.4.0 0.0.0.255 10 запретить ip 10.17.5.0 0.0.0.255 10.12.5.0 0.0.0.255 20 запретить ip 10.17.6.0 0.0.0.255 10.12.6.0 0.0.0.255 30 запретить ip 10.17.7.0 0.0.0.255 10.12.7.0 0.0.0.255 40 разрешить ip 10.1.1.0 0.0.0.255 любой 50 разрешить ip 10.17.1.0 0.0.0.255 любой 60 разрешить ip 10.17.2.0 0.0.0.255 любой 70 разрешить ip 10.17.3.0 0.0.0.255 любой 80 разрешить ip 10.17.4.0 0.0.0.255 любой 90 разрешить ip 10.17.5.0 0.0.0.255 любой 100 разрешить ip 10.17.6.0 0.0.0.255 любой 110 разрешить ip 10.17.7.0 0.0.0.255 любой ! route-map IPSLA10 разрешить 10 match ip address IPSLA10 установить ip следующий прыжок X.X.X.X (ATT GW) sho ip route Коды: L — локальный, C — подключенный, S — статический, R — RIP, M — мобильный, B — BGP D - EIGRP, EX - EIGRP внешний, O - OSPF, IA - OSPF межзональный N1 - OSPF NSSA внешний тип 1, N2 - OSPF NSSA внешний тип 2 E1 — OSPF внешний тип 1, E2 — OSPF внешний тип 2, m — OMP n — NAT, Ni — NAT внутри, No — NAT снаружи, Nd — NAT DIA i — IS-IS, su — IS-IS summary, L1 — IS-IS level-1, L2 — IS-IS level-2 ia - IS-IS межзональный, * - кандидат по умолчанию, U - статический маршрут на пользователя H — NHRP, G — зарегистрированный NHRP, g — сводка регистрации NHRP o - ODR, P - периодически загружаемый статический маршрут, l - LISP a - маршрут приложения + - реплицированный маршрут, % - переопределение следующего прыжка, p - переопределения из PfR & - переопределения реплицированного локального маршрута подключенным Шлюз последней инстанции — X.X.X.X (ATT) для сети 0.0.0.0 S* 0.0.0.0/0 [1/0] через X.X.X.X (ATT) 10.0.0.0/8 имеет переменную подсеть, 24 подсети, 3 маски C 10.1.1.0/24 подключен напрямую, Vlan1 L 10.1.1.250/32 подключен напрямую, Vlan1 C 10.17.1.0/28 подключен напрямую, Vlan11 L 10.17.1.14/32 подключен напрямую, Vlan11 C 10.17.1.16/28 подключено напрямую, Vlan12 L 10.17.1.30/32 напрямую подключен, Vlan12 C 10.17.1.32/28 подключен напрямую, Vlan14 L 10.17.1.46/32 подключен напрямую, Vlan14 C 10.17.1.48/28 подключен напрямую, Vlan15 L 10.17.1.62/32 подключен напрямую, Vlan15 C 10.17.1.192/28 подключен напрямую, Vlan10 L 10.17.1.206/32 подключен напрямую, Vlan10 C 10.17.2.0/24 подключен напрямую, Vlan20 L 10.17.2.250/32 подключен напрямую, Vlan20 C 10.17.3.0/24 подключен напрямую, Vlan30 L 10.17.3.250/32 подключен напрямую, Vlan30 C 10.17.4.0/24 подключен напрямую, Vlan40 L 10.17.4.250/32 подключен напрямую, Vlan40 C 10.17.5.0/24 подключен напрямую, Vlan50 L 10.17.5.250/32 подключен напрямую, Vlan50 C 10.17.6.0/24 подключен напрямую, Vlan60 L 10.17.6.250/32 подключен напрямую, Vlan60 C 10.17.7.0/24 подключен напрямую, Vlan70 L 10.17.7.250/32 подключен напрямую, Vlan70 50.0.0.0/8 имеет переменную подсеть, 2 подсети, 2 маски C X.X.X.X (Comcast)/29 подключен напрямую, GigabitEthernet0/0/1 L X.X.X.X (Comcast)/32 подключен напрямую, GigabitEthernet0/0/1 107.0.0.0/8 имеет переменную подсеть, 2 подсети, 2 маски C X.X.X.X (ATT)/29 подключен напрямую, GigabitEthernet0/0/0 L X.X.X.X (ATT)/32 подключен напрямую, GigabitEthernet0/0/0 Буду очень благодарен за любые предложения. Я уже неделю борюсь с этой проблемой. Я даже попробовал решение из другой ветки: [) Но, похоже, переключение не происходит должным образом. Спасибо всем за предложения.

Привет! Мне нужно обновить rommon на Catalyst 4500 Supervisor Engine 7-E, чтобы запустить «cat4500e-universalk9.SPA.03.06.02.E.152-2.E2.bin». Это «единственное», что мне нужно сделать на Sup: 1;загрузить файл, tftp файл rommon (cat4500-e-ios-promupgrade-150-1r-SG11) 2;перезагрузить? с помощью команды: upgrade rom-monitor file bootflash:cat4500-e-ios-promupgrade-150-1r-SG11 Извините, я поискал в Интернете, но хочу быть уверен. Большое спасибо за любую помощь!

Привет, участники сообщества! Я настроил отработку отказа/балансировку нагрузки на маршрутизаторе Cisco с использованием двух интернет-провайдеров и двух сегментов LAN Как показано ниже: ![2DTechnologyServices_1-1748619636913.png] С пограничного маршрутизатора: Config. track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! interface FastEthernet0/0 ip address 10.0.137.54 255.255.255.0 ip nat outside duplex full ! interface FastEthernet1/0 ip address 172.16.0.2 255.255.255.252 ip nat outside duplex full ! interface Ethernet2/0.10 description FIBER-CONNECTION encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ip nat inside ip ospf 1 area 0 ! интерфейс Ethernet2/0.20 описание MICROWAVE-CONNECTION инкапсуляция dot1Q 20 ip адрес 192.168.20.1 255.255.255.0 ip nat внутри ip ospf 1 область 0 ! ip nat inside source route-map FIBER-LINK interface FastEthernet0/0 overload ip nat inside source route-map MICROWAVE-LINK interface FastEthernet1/0 overload ! ip route 0.0.0.0 0.0.0.0 10.0.137.1 name FIBER-LINK track 1 ip route 0.0.0.0 0.0.0.0 172.16.0.1 name MICROWAVE-LINK track 2 ! ip sla 1 icmp-echo 4.2.2.2 source-ip 10.0.137.54 owner FIBER-LINK ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 172.16.0.1 source-ip 172.16.0.2 owner FIBER-LINK ip sla schedule 2 life forever start-time now access-list 101 permit ip 192.168.20.0 0.0.0.255 any access-list 102 permit ip 192.168.20.0 0.0.0.255 any ! route-map MICROWAVE-LINK permit 10 match ip address 102 set ip next-hop verify-availability 172.16.0.1 1 track 2 ! route-map FIBER-LINK permit 10 match ip address 101 set ip next-hop verify-availability 10.0.137.1 1 track 1 ! ! ! event manager applet CLEARIPNAT1 event syslog pattern "%TRACKING-5-STATE: 2 ip sla 2 доступность Up->Down" action 1.0 cli command "enable" action 2.0 cli command "route-map MICROWAVE-LINK permit 10" action 3.0 cli command "set ip next-hop verify-availability 10.0.137.1 1 track 1" action 4.0 cli command "clear ip nat translation *" event manager applet CLEARIPNAT2 event syslog pattern "%TRACKING-5-STATE: 2 ip sla 2 доступность Down->Up" действие 1.0 команда cli "enable" действие 2.0 команда cli "route-map MICROWAVE-LINK permit 10" действие 3.0 команда cli "no set ip next-hop verify-availability 10.0.137.1 1 track 1" ! end !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Тестирование !!!!!!!!!!!!! Когда один ISP не работает: EDGE_ROUTER#ping 4.2.2.2 source 192.168.20.1 Введите последовательность символов для прерывания. Отправка 5 ICMP-эхо-сообщений по 100 байт на 4.2.2.2, таймаут 2 секунды: пакет отправлен с исходным адресом 192.168.20.1 !!!!! Успешность 100 процентов (5/5), минимальное/среднее/максимальное время прохождения = 204/210/216 мс EDGE_ROUTER#trace 4.2.2.2 источник 192.168.20.1 Введите последовательность символов для прерывания. Отслеживание маршрута до b.resolvers.level3.net (4.2.2.2) Информация VRF: (vrf in name/id, vrf out name/id) 1 10.0.137.1 12 мс 4 мс 8 мс 2 10.10.35.1 12 мс 4 мс 12 мс 3 10.10.30.254 12 мс 4 мс 8 мс EDGE_ROUTER#trace 4.2.2.2 источник 192.168.10.1 Введите последовательность символов для прерывания. Отслеживание маршрута к b.resolvers.level3.net (4.2.2.2) Информация VRF: (vrf in name/id, vrf out name/id) 1 10.0.137.1 12 мс 60 мс 12 мс 2 10.10.35.1 8 мс 8 мс 12 мс 3 10.10.30.254 8 мс 12 мс 8 мс %%%%%%%%%%%%% КОГДА ОБА ИСП РАБОТАЮТ И НАХОДЯТСЯ В РАБОЧЕМ СОСТОЯНИИ %%%%%%%% EDGE_ROUTER#ping 4.2.2.2 источник 192.168.20.1 Пакет отправлен с исходным адресом 192.168.20.1 !!!!! Успешность составляет 100 процентов (5/5), минимальное/среднее/максимальное время прохождения в обоих направлениях = 200/202/212 мс EDGE_ROUTER#trace 4.2.2.2 источник 192.168.20.1 Введите последовательность символов для прерывания. Отслеживание маршрута к b.resolvers.level3.net (4.2.2.2) Информация VRF: (vrf in name/id, vrf out name/id) 1 10.0.137.1 24 мс * 8 мс 2 10.0.137.1 24 мс 10.10.35.1 12 мс 10.0.137.1 24 мс 3 10.10.10.254 8 мс 10.10.35.1 24 мс 10.10.10.254 8 мс 4 10.10.10.254 20 мс 10.46.6.185 12 мс 10.10.10.254 24 мс 5 200.100.65.74 8 мс 10.46.6.185 24 мс 200.100.65.74 8 мс 6 200.100.65.74 20 мс 200.100.65.83 8 мс 200.100.65.74 20 мс 7 200.100.65.18 12 мс 200.100.65.83 24 мс 200.100.65.18 8 мс 8 200.100.65.18 28 мс 200.100.65.22 12 мс 200.100.65.18 24 мс ...Обратите внимание, что вышеуказанный трассировочный паттерн аналогичен паттерну другого сегмента LAN. [image: 8f76ea333b43a84665d5d211242574bc7d73d950.png]

Здравствуйте, Я пытаюсь настроить IPSec VPN для набора брандмауэров, но у меня, похоже, нет isakmp команды в разделе crypto. Я прочитал в другом посте, что мне может понадобиться отдельная лицензия, это так? Спасибо за помощь! (config)#crypto ? RSA-key-pair RSA key pair ca Certification authority key Long term key operations pki Public Key components provisioning Secure Device Provisioning wui Crypto HTTP configuration interfaces #show ver Cisco IOS XE Software, Version 16.09.02 Cisco IOS Software [Fuji], ISR Software (ARMV8EB_LINUX_IOSD-UNIVERSALK9_IAS-M), Version 16.9.2, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2018 by Cisco Systems, Inc. Compiled Mon 05-Nov-18 17:42 by mcpre Cisco IOS-XE software, Copyright (c) 2005-2018 by cisco Systems, Inc. All rights reserved. Certain components of Cisco IOS-XE software are licensed under the GNU General Public License ("GPL") Version 2.0. The software code licensed under GPL Version 2.0 is free software that comes with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such GPL code under the terms of GPL Version 2.0. For more details, see the documentation or "License Notice" file accompanying the IOS-XE software, or the applicable URL provided on the flyer accompanying the IOS-XE software. ROM: IOS-XE ROMMON isrcl-1 uptime is 5 days, 21 hours, 31 minutes Uptime for this control processor is 5 days, 21 hours, 33 minutes System returned to ROM by PowerOn at 15:11:47 PDT Wed Jun 3 2020 System image file is "bootflash:c1100-universalk9_ias.16.09.02.SPA.bin" Last reload reason: PowerOn This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Suite License Information for Module:'esg' Suite Suite Current Type Suite Next reboot FoundationSuiteK9 None Smart License None securityk9 appxk9 Technology Package License Information: Technology Technology-package Technology-package Current Type Next reboot appxk9 None Smart License None securityk9 None Smart License None ipbase ipbasek9 Smart License ipbasek9 The current throughput level is unthrottled Smart Licensing Status: UNREGISTERED/No Licenses in Use cisco C1111-4PLTEEA (1RU) processor with 1453284K/6147K bytes of memory. Processor board ID FGL2410L149 2 Virtual Ethernet interfaces 6 Gigabit Ethernet interfaces 2 Cellular interfaces 32768K bytes of non-volatile configuration memory. 4194304K bytes of physical memory. 2863103K bytes of flash memory at bootflash:. 0K bytes of WebUI ODM Files at webui:.