Сетевое оборудование - вопросы и ответы, 17 апреля 2007 г.

1. дальнобойные модемы (Ivan - гость)
2. как настроить сброс логов (Школьник - пользователь)
3. Руководство на русском языке, AM1 Plus ( - гость)
4. Cisco 827-v4 (Koba LTD - гость)
5. Потеря пароля и логина на AddPac AP1000 ( - гость)
6. Привет из Тайшета (Евгений - гость)
7. Encapsulation dot1q на Cisco 2621 router ( - гость)
8. password (Alex - пользователь)
9. подскажите [b]кто знает как настроить VPN [/b] (mettall - гость)
10. Самопроизвольная перезагруза SLC (Gek - гость)

1. дальнобойные модемы (17.04.07, Ivan - гость)

Есть небходимость поднять линк на 256К (минимум) на линии ТПП 0,5 длина 10 км, сопротивление 1800 Ом, без использование регенераторов, интерфейсы с обоих сторон Ethernet.
Может есть такие модемы в природе?
что посоветуете?

17.04.07, Алексей Митюхин (эксперт):
Сдается мне - нет таких модемов[sm3]. Или меняйте кабель на жилу 0.9, или используйте регенераторы

Написать ответ / Наверх

2. как настроить сброс логов (16.04.07, Школьник - пользователь)

У меня Cisco1721. Она уже настроена для сброса лог-файлов учёта трафика на компьютер с Linux. Этот компьютер иногда, по непонятным причинам выключается. Хочу настроить Cisco, чтобы бросала файлы и на второй компьютер. Настраиваю Cisco через веб-интерфейс в SDM. Здесь в AdditionalTasks/RouterProperties/Logging есть уже SysLog Server1. Я добавляю еще один IP-адрес, появляется SysLog Server2. Мониторю сетку и вижу, что Cisco как сбрасывал файлы примерно каждые 20 сек на первый адрес, так и продолжает. Уже думал, что Cisco может сбрасывать одновременно только на один сервер, не направляя копию на второй адрес. Т.е. второй будет получать логи в случае, если Cisco потеряет связь с первым? Не знаю, насколько корректно я это проверял: я перегружал Linux на первом компьютере. Но и за эти 1,5 минуты в мониторинге так и не появились пакеты в адрес второго сервера. Подскажите, пожалуйста, как настроить сброс таких же логов и на второй компьютер?

11.04.07, Георгий Ромский (эксперт):
Конфиг в студию, пожалуйста.

12.04.07, Школьник (пользователь):
Подскажите порядок действий и команды для выдачи конфигурации Cisco.

12.04.07, Георгий Ромский (эксперт):
А как-же вы ее тогда настраивали, если не знаете как конфигурацию посмотреть [sm8]

12.04.07, Алексей Митюхин (эксперт):
Обычно в процессе настройки проверяют изменения конфигурации......не совсем понятно, как вы это делали, если не знаете как посмотреть конфигурацию[sm5]

13.04.07, Школьник (пользователь):
Высказывания, как я понял, риторические. Тем не менее, поясню: я не настраивал его с начала, а пытаюсь изучать только сейчас.
Ниже полный текст из файла конфигурации Cisco, выданного SDM. Первый сервер, на который Cisco исправно сбрасывает логии, 192.168.73.3. Я добавил через SDM второй адрес 192.168.73.8. Но сейчас, (впервые) просмотрев файл конфигурации, вижу, что в разделе ip flow-export по-прежнему значится только первый сервер. Т.е. я не смог в SDM выполнить полностью процесс добавления второго сервера? И попутно, поскольку здесь уже файл конфигурации, вопрос не по теме. Подскажите, пожалуйста, как исправить: в файлах логов, сбрасываемых с Cisco, время регистрации пакетов забегает на 1 час? Сейчас я борюсь с этим так - на Cisco ставлю время на 1 час меньше от действительного.

!This is the running config of the router: 192.168.64.1
!----------------------------------------------------------------------------
!version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname home
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 16384 debugging
logging console critical
enable secret [sm2][sm2][sm2]
!
username [sm2] privilege 15 secret [sm2][sm2][sm2]
clock timezone Almaty 6
clock summer-time Almaty date Mar 30 2003 2:00 Oct 26 2003 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
!
no ip bootp server
ip domain name home.net
ip name-server 80.89.128.98
ip name-server 194.84.236.2
no ftp-server write-enable
!
!
!
!
interface Loopback0
ip address 10.0.0.1 255.255.255.255
no ip proxy-arp
ip route-cache policy
ip route-cache flow
!
interface Ethernet0
description $FW_OUTSIDE$$ETH-WAN$
ip address 80.89.129.162 255.255.255.240
ip access-group sdm_ethernet0_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
half-duplex
no cdp enable
!
interface FastEthernet0
description $FW_INSIDE$$ETH-LAN$$INTF-INFO-10/100 Ethernet$
ip address 192.168.64.1 255.255.192.0
ip access-group sdm_fastethernet0_in in
ip access-group sdm_fastethernet0_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip route-cache policy
ip route-cache flow
speed auto
no cdp enable
!
ip nat inside source list group73 interface Ethernet0 overload
ip nat inside source list group75 interface Ethernet0 overload
ip nat inside source static network 192.168.73.3 80.89.129.188 /32
ip nat inside source static network 192.168.73.6 80.89.129.189 /32
ip classless
ip route 0.0.0.0 0.0.0.0 80.89.129.161
ip route 80.89.129.187 255.255.255.255 FastEthernet0
ip flow-export destination 192.168.73.3 45678
ip http server
ip http authentication local
!
ip access-list standard group73
remark INSIDE_IF=FastEthernet0
remark SDM_ACL Category=2
permit 192.168.73.0 0.0.0.255
ip access-list standard group74
remark INSIDE_IF=FastEthernet0
remark SDM_ACL Category=2
permit 192.168.74.0 0.0.0.255
ip access-list standard group75
remark INSIDE_IF=FastEthernet0
remark SDM_ACL Category=2
permit 192.168.75.0 0.0.0.255
!
ip access-list extended sdm_ethernet0_in
remark SDM_ACL Category=1
permit ip any host 80.89.129.162
permit ip any host 80.89.129.188
permit ip any host 80.89.129.187
permit ip any host 80.89.129.189
deny udp 65.54.227.0 0.0.0.255 any
ip access-list extended sdm_fastethernet0_in
remark SDM_ACL Category=1
deny tcp any eq 7887 any eq 7887
deny udp any eq netbios-ns any eq netbios-ns
deny tcp any eq 135 any eq 135
deny tcp any eq 139 any eq 139
deny tcp any eq 445 any eq 445
permit ip host 192.168.73.2 any
permit ip host 192.168.73.3 any
permit ip host 192.168.73.4 any
deny ip host 192.168.73.5 any
deny ip host 192.168.73.6 any
deny ip host 192.168.73.7 any
permit ip host 192.168.73.8 any
permit ip host 192.168.73.9 any
permit ip host 192.168.75.2 any
permit ip host 192.168.75.3 any
deny ip host 192.168.75.4 any
permit ip host 192.168.75.5 any
permit ip host 192.168.75.6 any
permit ip host 192.168.75.7 any
permit ip host 192.168.75.8 any
deny ip host 192.168.75.9 any
permit ip host 192.168.75.10 any
permit ip host 192.168.75.11 any
permit ip host 192.168.75.12 any
permit ip host 192.168.75.13 any
deny tcp host 192.168.75.14 any eq smtp
permit ip host 192.168.75.14 any
permit ip host 192.168.75.15 any
permit ip host 192.168.75.16 any
permit ip host 192.168.75.17 any
deny ip host 192.168.75.18 any
permit ip host 192.168.75.19 any
permit ip host 192.168.75.21 any
permit ip host 80.89.129.187 any
ip access-list extended sdm_fastethernet0_out
remark SDM_ACL Category=1
deny tcp any host 192.168.73.3 eq ftp
deny udp any eq netbios-ns any eq netbios-ns
deny tcp any eq 135 any eq 135
deny tcp any eq 139 any eq 139
deny tcp any eq 445 any eq 445
permit ip any any
!
logging trap debugging
logging 192.168.73.3
logging 192.168.73.8
access-list 108 permit ip any 192.168.0.0 0.0.255.255
no cdp run
route-map MAP permit 10
match ip address 108
set interface Loopback0 FastEthernet0
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 4000 1000
scheduler interval 500
!
end

13.04.07, Георгий Ромский (эксперт):
По поводу времени:
У вас на циске стоит сдвиг от гринвича +6 и настроен переход на летнее время:

clock timezone Almaty 6
clock summer-time Almaty date Mar 30 2003 2:00 Oct 26 2003 3:00

Скорее всего на сервере стоит либо другая временная зона, либо не настроенно летнее время.

Теперь по поводу логов:
У Вас настроен сброс логов по протоколу syslog на сервера 192.168.73.3 и 192.168.73.8

logging trap debugging
logging 192.168.73.3
logging 192.168.73.8

Кроме того настроен экспорт статистики по протоколу NetFlow

ip flow-export destination 192.168.73.3 45678

Это разные протоколы. соответственно вопрос, а по какому протоколу вы хотите получать статистику на втором сервере -netflow или syslog ?

На будущее, когда выкладываете конфиги на форум, рекомендую затирать шифрованную строчку из команд enable secret и username.
В интернете можно найти мого утилит которые позволяют расшифровать эти строки и узнать пароли на ваше устройство.

14.04.07, Школьник (пользователь):
Огромное спасибо за предупреждение о пароле – уже сменил.
По поводу времени: снимал галочку перехода на летнее время – эффект тот же – на Cisco стоит действительное время, но в сбрасываемых файлах время на час больше. Потом попробую поэкспериментировать с разными часовыми поясами.
По теме. Наконец увидел, что Cisco сбросила 1 пакет за 2 часа на второй сервер 192.168.73.8. Порт отправителя client порт получателя 514. Это, видимо и есть протокол syslog.
А мне нужно то же, что Cisco с порта 53189 сбрасывает каждые 20 сек на порт 45678 первого сервера 192.168.73.3. Наверное, это и есть протокол netflow. Значит, мне нужен сброс файлов с Cisco сразу в два адреса по протоколу netflow. Подскажите? пожалуйста, как это настроить? В SDM кроме syslog я больше ничего не нашёл.

16.04.07, Георгий Ромский (эксперт):
через консоль или телнетом:

configure terminal
ip flow-export destination 192.168.73.8 45678
exit
copy run start

16.04.07, Школьник (пользователь):
Получилось! Большое спасибо, за обстоятельную помощь!
Ещё вопрос. На сайте cisco.com есть разделы с наборами команд для настроек по моделям маршрутизаторов. Например, для модели 850 и 870 серии
http://www.cisco.com/en/US/products/hw/routers/ps380/products_configuration_guide_chapter09186a008045d272.html#wp42306
Но я даже не нашёл products - 1700 серию на странице http://www.cisco.com/en/US/products/hw/routers/index.html.
Есть ли где-то раздел с командами для серии 1700? Или можно безбоязненно использовать те же команды и для других серий маршрутизаторов?

16.04.07, Георгий Ромский (эксперт):
Маршрутизаторы 1700 серии устарели и сняты с продаж.
Документацию можно посмотреть например здесь
[url=http://www.cisco.com/en/US/products/hw/routers/ps221/products_installation_and_configuration_guides_list.html target=_blank]http://www.cisco.com/en/US/products/hw/routers/ps221/products_installation_and_configuration_guides_list.html[/url]
Команды в большинстве подходят -хотя есть и различия связанные с поддерживаемыми интерфейсными платами, и аппаратными различиями.

Написать ответ / Наверх

3. Руководство на русском языке, AM1 Plus (16.04.07, - гость)

Интересует руководство по эксплуатации на AM1 Plus на русском языке, если таковое существует в природе....в электронном виде.

16.04.07, nik (гость):
[i]Интересует руководство по эксплуатации на AM1 Plus на русском языке, если таковое существует в природе....в электронном виде[/i]

16.04.07, Алексей Митюхин (эксперт):
Конечно существует.....требуйте у поставщика

Написать ответ / Наверх

4. Cisco 827-v4 (12.04.07, Koba LTD - гость)

Настроил циску все работет, только смущает что на Ethernet0 10 мегабит и half duplex. Какнибуть можно переключить в 100 фулл?

12.04.07, Георгий Ромский (эксперт):
Нет нельзя, у этой модели Ethernet порт 10Мб/с.
А зачем Вам там 100Мб/с ? ADSL дает 720кб/с Up и 8Мб/сек Down

Написать ответ / Наверх

5. Потеря пароля и логина на AddPac AP1000 (11.04.07, - гость)

Утерян пароль и логин. Подскажите пожалуйста как вернуться к заводским настройкам. Возможно ли это вообще? И тут же к этой теме как можно обновить прошивку? Заранее благодарен!

01.06.06, Евгений Солошенко (администратор):
Мануал читать пробовали?

Файл APOS Quick Operation Guide_Eng
глава: Password & APOS Management

04.04.07, Evgenii (гость):
В мануале скачанном с инета этой главы к сожаленю не нашел.. никаких рекомендаций тоже...

11.04.07, Алексей Митюхин (эксперт):
Рекомендую посмотреть [url=http://www.emag.ru/addpac/pdf/APOS_eng.pdf target=_blank]здесь[/url] и будет вам счастье[sm7]

Написать ответ / Наверх

6. Привет из Тайшета (11.04.07, Евгений - гость)

Всем привет из славного города Тайшет!

11.04.07, Алексей Митюхин (эксперт):
И вам не болеть[sm7]

Написать ответ / Наверх

7. Encapsulation dot1q на Cisco 2621 router (09.04.07, - гость)

Добрый день! Тут я в тупик зашел, помогите! Есть циски 2950, на которых описаны vlan1 и 2. Роутинг хочу сделать через 2621 - пишу:
int fa 0/1.1
descr vlan1
ip addr X.X.X.X 255.255.255.0
тут он предупреждает что будет работать только с протоколами 802.1q и etc. Ок! Пишем encapsul dot1q 1
А команды такой нет! Но ведь должна быть, а?
Смотрим что получилось -
CiscoRouter#show int fa 0/1.1
FastEthernet0/1.1 is up, line protocol is up
Hardware is AmdFE, address is 000d.ed8e.5d81 (bia 000d.ed8e.5d81)
Description: vlan1
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
*** Encapsulation ARPA ***
Как поменять этот параметр? Нужно установить протокол транка 802.1q, ведь 2950 больше ничего не поддерживает.

Очень прошу помочь, заранее спасибо всем!

ЗЫ. Железо Cisco 2621МХ router, версия IOS 12.2, Catalyst 2950.

26.09.04, Vladimir Poludintsev (пользователь):
Могу предположить IP Plus нужен.

c2600-is-mz.123-3.bin

interface FastEthernet0/1.201
encapsulation dot1Q 201
pppoe enable
no cdp enable

28.09.04, Евгений Солошенко (администратор):
1-й Vlan это Native Vlan по умолчанию, в котором "живет" служебный трафик и соответственно для совместимости с не dot1q оборудованием он не маркируется. Для него не обязательно выделять подъинтерфейс. Попробуйте другие допустимые номера VLAN. Какой результат выдает выражение encapsulation ? в режиме конфигурации подъинтерфейса с номером, например, fa0/1.2?

06.06.06, (гость):
vlan1 just NATIVE..
start from vlan2 and first u have to make the encaps and then you may enter the ip add.....

10.03.07, (гость):
Вранье, что 1 влан нельзя назначить на интерфейс циски - у меня куча коммутаторов через него управляется... Затык в IOS - он должон быть IP Plus минимум

09.04.07, Валерий (гость):
Вот это сделай, ИОС самый простой

interface FastEthernet0/1.1
encapsulation dot1Q 1 native


interface FastEthernet0/1.2
encapsulation dot1Q 2

Написать ответ / Наверх

8. password (09.04.07, Alex - пользователь)

можно ли, ценрализованно, не заходя индивидуально на каждый модем, сменить пароли доступа?

01.04.07, birolkamas@gmail.com (гость):
[sm4]

09.04.07, Алексей Митюхин (эксперт):
Пароль - он на то и пароль, чтобы ограничить доступ на устройства.И меняют его только локально.....А то теряется весь смысл-меняй централизованно и ходи куда хочешь.....[sm3] Если есть проблемы с паролем - удалите его один раз везде и навсегда[sm7]

Написать ответ / Наверх

9. подскажите [b]кто знает как настроить VPN [/b] (09.04.07, mettall - гость)

Можно ли настроить VPN канал, или что нить в этом роде (точка - точка) давно интересуюсь есть 33 офиса по всему городу как их соединить не пойму[sm1]

03.04.07, mettall (гость):
смысл в том что примерно знаю куда приложить свои руки
но всеже хотелась бы совета от знающих людей

интересно какое оборудование использовать
какие кабеля тянуть
конфигурация сервера для работы в основном с документа офисного пакета [sm1]

03.04.07, Георгий Ромский (эксперт):
Подключаете все ваши 33 офиса к интернет с помошью маршрутизаторов, например Cisco 870 и 2801 в центр. И настраиваете виртуальные интерфейсы с шифрованием. Все просто, такие сети давно и успешно работают.
Обращайтесь к нам в офис и мы сделаем Вам проект

09.04.07, mettall (гость):
а сколько это будет стоить

09.04.07, Георгий Ромский (эксперт):
Я думаю что форум это не самое подходящее место для обсуждения подобных вопросов. Напишите на адрес rotek@telecomsite.ru или позвоните по нашим телефонам и мы это обсудим.
В двух словах - коммерческое предложение делаем бесплатно, проект в зависимости от степени детализации.

Написать ответ / Наверх

10. Самопроизвольная перезагруза SLC (05.04.07, Gek - гость)

Здраствуйте.

Имеется IES 2000 с четырьмя платами SLC-1024 f/w version V2.05(DX.2), и msc V3.60(DS.5)
Проблема - перодически, самопроизвольно, перегружаются некоторые SLC платы, приэтом выдаются сообщения:
SPECTRAP 13: module 02 down
SPECTRAP 12: module 02 up

Никто не сталкивался с данной проблемой, в чём может быть причина?

Варианты с вредоносными действиями человеков не имеют места быть!

02.04.07, Евгений (пользователь):
Причина может быть довольно банальная - перегреваются модули.

04.04.07, Gek (гость):
К сожалению или к счастью этот вариант не подтвердился.
Модули перегружаются в определённое время, обычно 7 до 9 утра. При этом в субботу и воскресенье не перегружаются никогда.
Такое впечатление, что по модемной линии приходит какая-то помеха, от включаемого оборудования, которая и вызывает перезагрузку.

04.04.07, Алексей Митюхин (эксперт):
Если все локализовано-что мешает устранить причину?[sm3]

04.04.07, Gek (гость):
[cit]Если все локализовано-что мешает устранить причину?[sm3][/cit]

Локализовано то локализовано, но вот вопрос. В чем собственно причина?
А если это не помеха, что тогда?
А если помеха, то как с ней бороться?

04.04.07, Алексей Митюхин (эксперт):
Если вы вычислили даже график перезагрузки модулей- вам не трудно будет найти и причину.Проверьте, что еще работает по данному кабелю, сам кабель, проанализируйте какое оборудование не работает в выходные дни, проверьте питание и т.д.и т.п. И на основании полученной информации делайте выводы...А так сидет и гадать можно долго и упорно....

04.04.07, Gek (гость):
Алексей, спасибо за советы.
В принципе, обратился на форум… а вдруг у кого аналогичные проблемы были и народ смог их порешать…
В нашем случае
[cit]Проверьте, что еще работает по данному кабелю, сам кабель, проанализируйте какое оборудование не работает в выходные дни, проверьте питание и т.д.и т.п.[/cit]
Выполнить данные действия не представляется ни какой возможности, в силу большого числа зданий и сооружений через которые проходят телефонные линии, различного электрооборудования в них установленного, а так же разнообразных сигналов, бродящих по телефонным кабелям, начиная с модемной и селекторной связью и заканчивая телеавтоматикой. Плюс отсутствия персонала, возле самого шасси и его удалённого территориального расположения.

05.04.07, Евгений Солошенко (администратор):
Тут похоже кроме Вас самого никто Вам не поможет.

Я бы на Вашем месте попробовал бы оценить вот что:

Перегружаются одни и те же платы?

Если одни и те же, то чем они отличатся от других плат? (HW, FW, размер конфига, объем свободной памяти NVRAM/FLASH)

После того как соберете полные данные, напишити официальное письмо поставшику оборудования с подробным описанием проблемы.

05.04.07, Gek (гость):
Ещё раз спасибо за ответы.
Теперь опишу ситуацию более подробно, может, кому ни будь пригодиться.

После обнаружения данной проблемы, были произведены следующие мероприятия:
Было заменено
- шасси (2 штуки)
- управляющий модуль (2 штуки)
- SLC платы (5 штук)
- менялись прошивки

Было проанализировано
- всё что вы написали
+ было предположение что перезагрузка модуля происходит в момент подключения ранние выключенного модема (в пользу чего говорило время перезагрузки, начало рабочего дня, и наличие выходных), к сожалению это тоже не подтвердилось.
- путём перекоммутации портов, выяснили, что перегружается тот модуль в который подключен некий модем (группа модемов), то есть перегружается тот модуль к которому подключено конкретное устройство! Но выяснить какая линия глючит не получилось, выходило, что кроме всего прочего есть какая то связь в сочетании модемов подключенных к определённой плате. Учитывая удалённость девайса, довести вычисления таких комбинаций до конца пока не получается.

Проделав довольно большую работу по локализации неисправности и не получив конкретного результата мы обратились в службу технической поддержки ZyXEL, и после продолжительной переписки (к стати на данном форуме всего в четырёх месагах, были дано больше полезных советов, чем получено от производителя) ситуация остаётся прежней.

Вот и спросил… может кто сталкивался с подобной проблемой.

З.Ы. мысли в слух. На месте производителя, узнав о подобной проблеме, я бы приложил все усилия, в плоть до посылки собственных спецов, дабы выяснить причину неисправности, потому как, если мы её сами выясним, эту причину… а если ещё её и обнародуем, то у компании ZyXEL могут быть большие проблемы. В плане устойчивости её оборудования к атакам.

05.04.07, Алексей Митюхин (эксперт):
Уже лучше- осталось из группы модемов выявить конкретного виновника(-ов) и наказать его по всей строгости пролетарского правосудия[sm3]

Написать ответ / Наверх

--
С уважением,
компания "РОТЕК-Новосибирск"
Телефон/факс: (383) 222-06-08, 222-30-97, 222-62-48
Сайт: www.telecomsite.ru