タグ付けされた質問 「cisco」

概要 私の最終的な目標は、Ciscoルーターを介してVPNを実行することです。つまり、Comcastゲートウェイを邪魔にならないようにすることです。このために、Ciscoルーター（またはスイッチ）を論理的にWANの近くに配置し、論理デバイスとしてのComcastモデムを削除します。モデムを実際に削除することはできません（結局、WANアクセスを提供します）が、そのDHCP、NAT、またはファイアウォールサービスは必要ありません。設定のアドバイスをお願いします。 細部 これが私の現在のネットワーク設定です： Comcastゲートウェイ-Ciscoルーター-Ciscoスイッチ<LAN＆Wifi（Ruckus） Comcastモデム：TC8305C Ciscoルーター：1941-sec / k9 + ehwic-4esg Ciscoスイッチ：2960S 48TS-L（マルチレイヤースイッチ、VLANなど） モデムは、DHCPサーバー、NATおよびファイアウォールとして動作し、内部アドレスは10.0.0.1/24です。ルーターのWANポートは、動的アドレス（DHCPクライアント）でルーターに接続されています。ルーターのLAN側では、NAT（はい、現時点では二重NATを実行しています）、DHCPサーバー、DNS、NTPも実行しています。 オプションについての私の考えは： モデムをブリッジモードで実行します。 ルーターをモデムのDMZに配置します。 1＆2の1つのバリエーションは、モデムをスイッチに接続することです。 ブリッジモードのモデム モデムをブリッジモードに設定しようとしましたが、インターネットアクセスがダウンしていて、非常に怒っているユーザーに耐えなければならない非常に不愉快な90分の期間がありました。ルータWANポートを正しく設定できなかったと思います。DHCPモードであったためと考えられます。静的アドレス（10.0.0.2/24など）に設定したいのですが、今のところ、ブリッジモードについては少し恥ずかしがり屋です。「コムキャストブリッジモード」を検索すると、Googleは大量のヒットを生成しますが、見つけたものをあまり活用できませんでした。コムキャストブリッジモードでのルーターWANポート構成に適切な呪文を見つけることができませんでした。 余談ですが、Comcastブリッジは完全に透過的ではありません。モデムはIPアドレス（10.0.0.1）を保持します。モデムのポート1にラップトップを直接接続すると、http経由で接続し、（幸いにも）再構成できます。したがって、私のラップトップは、ルーターがそうでなくても、ブリッジモードでモデムを処理する方法を理解しています。 また、ブリッジモードでは、ルーターがDHCPの場合と同様に、ルーターがComcast ISPから動的設定（DNSやデフォルトゲートウェイなど）を取得する方法も混乱しています。または、これらが実際に動的ではなく、ルーター構成ファイルでハードコーディングする必要がある場合。 モデムが完全に邪魔にならず、ルーターがセキュリティ、VPN、DDNSなどを実行できるため、これはネットワークにとって最良のオプションだと思います。 これを機能させるにはどうすればよいですか？ モデムDMZのルーター ここでは、構成に関するあらゆる問題を解決し、ルーター（静的IP、たとえば10.0.0.2/24）をモデムのDMZにドロップするだけで、すべてのインターネットトラフィックを転送できます。この構成と上記の構成との間に大きな違いはありませんが、モデムは依然としてレイヤ3デバイスのように機能します（まして、さらにレイヤ3デバイスのように機能します）。私はこれを動作させることができるとかなり確信しており、ルーターを介してVPNを動作させることができなかった理由はわかりません。 ここでの1つの欠点は、モデムが動的DNSを実行するためのdyndns.orgしか提供しないことです。この組織がDDNSプロバイダーであるという意見はありませんが、ルーターが許可するベンダーを選択したいと思います。また、私のエンジニアは、WANパスでの不要な処理を最小限に抑えたいので、モデムのブリッジングの方が快適です。 スイッチを介してモデムを実行 しばらく前にネットワークエンジニアとチャットしたところ、モデムを直接スイッチに接続することを提案されました。構成に関する詳細については触れませんでした。私の想定では、上記のシナリオ（ブリッジまたはDMZ）のいずれかが、次の条件で直接スイッチにも同様に機能する可能性があります。 外部攻撃を防ぐために、スイッチ/モデムポートに適切なACLを設定します。 着信DMZトラフィックをルーターに転送するためのモデムおよびルーター通信用の個別のVLAN。着信トラフィックはVPNトラフィックに制限する必要があります。他のすべてのトラフィック（TPC、UDP、ICMP）は、セキュリティ上の目的でブロックされます。ルータのWAN側にあるのと同じACL。 スイッチにモデムを直接配置することで、接続の確立後にIPパケットをショートカットするスイッチの機能を利用できるので、彼がこの設定を推奨したと思います。つまり、内部デバイスがモデム（おそらくルーターのVLANで開始された接続の確立）を介して接続すると、スイッチはこれを認識し、関連するすべてのIPパケットを内部デバイスとモデムの間で直接ルーティングし、ルーターをスキップします。これは、モデムとスイッチがルーターポート上にある物理構成では発生しません。 要約 ルーターのWANポート構成は、ブリッジモードのComcastモデムで動作するようにどのように見えるべきですか？（DNSサーバーのように）他に注意すべき構成オプションはありますか？ または、ルーターをDMZに配置することで解決できますか？ モデムを再構成して＃1または＃2のスイッチポートに移動する価値はありますか？

8 cisco  switch  router  vpn  bridge 

ここでは複数のCisco 2960Sスタックを運用しており、しばらくの間、定期的なスパニングツリーTCN（トポロジ変更通知）が発生しています。 show spanning-tree detailを使用してTCNのソースに到達すると、それらは異なる2960Sスタックメンバーから発信されます。 古いスイッチから構成が転送されているため、ポートはトランクとして構成され、データVLANがネイティブVLANであり、VoIP VLANがタグ付きとしてトランクに含まれています。今日の正しい構成は、スイッチポートモードのアクセスとスイッチポート音声VLANを組み合わせたものになりますが、現時点ではそうです。 問題の一部は、いくつかのポートを専用として設定されたという事実に基づいていたポートファースト、ないPortFastをトランクこれを固定する必要があるように、ポートファーストのみコマンドがトランクモードでポートに適用されていません。しかし、いくつかのポートは次のように構成されているのPortFastトランクシスコ製品のマニュアルの私の理解のように、リンクの変更にあれば、TCNが発生することは避けてください。 悲しいことに、彼らはそうします。 show spanning-tree interface Gi1 / 0 / x portfastを実行すると、そのインターフェイスのすべてのVLANに対して有効なportfastが表示されますが、show spanning-tree detailとshow loggingを併用すると、これらのインターフェイスがスパニングツリーの変更のソースであることを示しています。 これらのポートに接続されている「特別な」デバイスはなく、VoIP電話とデスクトップワークステーションのみであることを確認します。 実行されるバージョンは12.2（55）SE3で、デバイスは2960S-48LPS-Lおよび2960S-48FPS-Lです。 既知のバグを探すと、このような動作を引き起こす3550スイッチの12.1リリースにバグがありましたが、これは間違ったデバイスであり、はるかに古いバージョンであり、誰かが以前にそのバグを経験したことがあると思います。 どこを見ればいいのか、何を試してみるのか？

8 cisco  spanning-tree  cisco-2960 

Cisco 3750Gを設定して、802.1xプロセスの認証機能を実行しました。サプリカントとしてテストWin7マシンを、認証サーバーとしてNPSを実行するWindows 2008サーバーを持っています。Win7マシンは正常に認証できます。 これで、Win7マシンの前にCisco 7941 IP Phoneを接続し、swtichport voice vlanコマンドを使用してスイッチを構成しました。プラグを差し込むと電源が許可されますが、ポートはすぐにダウン状態に移行します。デバッグログを確認した後、問題は、802.1xがアクセスVLANと音声VLANの両方で認証を試みていることにあると考えています。アクセスVLANでのみ802.1xを実行する方法はありますか？声じゃない？ シナリオ： {RADIUS} <----> {3750G} <-----> {Cisco 7941 Phone} <-----> {Win7 802.1x client} 私は現在インターフェースgi1 / 0/3でテストしています、これはインターフェース設定行です： interface GigabitEthernet1/0/3 description TestPort switchport access vlan 100 switchport voice vlan 110 switchport mode access authentication port-control auto authentication periodic authentication timer reauthenticate server dot1x pae …

8 cisco  cisco-catalyst  authentication  ieee-802.1x  mac-auth-bypass 

すべて、 最近購入した3つのCiscoスイッチ：3560xと2つの2960X。コアスイッチとして機能する3560と他の2つのスイッチは、SFP +を使用して接続されます（1つのSFP-H10GB-CU1Mと他のSFP-10G-SR） SFP-10G-SRに問題があります。 50m OM3ケーブルでSFP-10G-SRを接続しました。最初は機能しましたが、ログには常に以下が含まれています。 026123: Jun 12 20:42:02.573: %SFF8472-5-THRESHOLD_VIOLATION: Te1/2: Rx power high warning; Operating value: -0.9 dBm, Threshold value: -1.0 dBm. 026124: Jun 12 20:48:35.730: %SFF8472-5-THRESHOLD_VIOLATION: Te1/2: Rx power high warning; Operating value: -0.9 dBm, Threshold value: -1.0 dBm. ある事件で、SFPポートSFP-10G-SRがダウンしていることに気付きました。私はそれで遊んでいたので気にしませんでした、そして私は単にスイッチをリブートしました、そしてそれはすべてが戻ってきました。 今日、SFPポートはもう起動しません。私は生産中なので、ファイバーを変更しようとし、SFP +モジュールを変更しようとしました。運が悪い 在庫を表示 NAME: "TenGigabitEthernet1/2", DESCR: "SFP-10GBase-SR" …

8 cisco  cisco-catalyst  fiber  sfp 

Cisco 2960とCisco 3560（アクセスレイヤースイッチ）に接続された2つのサイトのコアスイッチとして、Juniper EX 4200があります。偶数番号のVLANでは、1つのジュニパースイッチがルートブリッジになり、奇数番号のVLANでは、他のジュニパースイッチがルートブリッジになります。 コアスイッチを接続するCoxおよびVerizon Metro-Eリンクがあります（両方のサイトでJuniper EX 4200）。 VSTPを使用してVLANロードシェアリングを実行したいのですが、どういうわけか期待どおりに機能しません。一部のVLANをCOXを通過させ、一部をVerizonを通過させたい。Coxに問題がある場合、すべてのVLANトラフィックはVerizonを通過し、その逆も同様です。RSTPは、両方のジュニパー製スイッチでも有効です。 両方のMetro-Eリンクを一緒に立ち上げると、すべてのCiscoアクセスレイヤスイッチのログメッセージにMACフラッピングが表示されます。コックスのみが接続されている場合、すべてが正常に動作します。Verizonのみが接続されている場合、すべてが正常に動作します。しかし、COXとVerizonの両方が接続されていると、ネットワークが混乱し、すべてのCiscoスイッチでMACフラッピングが発生します。すべてのCiscoスイッチはPVSTを実行しています。 COXリンクとVERIZON Metro-Eリンクの両方がアクティブなときにVSTPが機能しないのはなぜですか。 更新（2013年12月9日）：===== ジュニパーのKB：KB18291およびKB15138に基づいて、私は次のことを行いました。 すべてのJuniperおよびCiscoスイッチで共通のネイティブVLAN 50（およびシャットダウンVLAN 1）を有効にし、CiscoスイッチがネイティブVLANのJuniperに接続するトランクポートを構成しました。（これは、スパニングツリーBPDUがCiscoとJuniperの間でネイティブVLANを介して交換されるためです）。デフォルトでは、CiscoネイティブVLANはvlan 1であり、JuniperにはネイティブVLANはありません。そのため、ジュニパーはBPDUを理解せず、対応するVLANにフラッディングするブロードキャストトラフィックとして扱います。このため、シスコとジュニパー間のSTPは収束しません。 シスコスパニングツリーモードをPVSTからRapid-PVSTに変更しました（ジュニパーでは、シスコスパニングツリーモードをデフォルトからPVSTからRapid-PVSTに変更することをお勧めしています）。Rapid PVSTは、ジュニパーのスパニングツリープロトコル「VSTP」とうまく収束します。 Juniperのドキュメントに従ってRSTPプロトコルステートメントを削除 ジュニパー製スイッチのVLANおよびネイティブVLANに対して入力されたvstpインターフェイスプライオリティコマンド CoxリンクとVerizonリンクが同時にアップすると、両方のサイトでジュニパーコアスイッチにハングオフする一部のCiscoスイッチがダウンすることがわかります。また、ジュニパーでは（「show ethernet-switching interfaces」コマンドを使用して）、Ciscoスイッチが接続されている一部のインターフェイスがSTPによってブロックされていることを確認しました。 誰かが何が起こっているのか理解できますか？

8 cisco  juniper-ex  metro-ethernet 

メッセージが表示された直後にカーソルが新しい行に移動するようにCisco機器でCLIを設定するコマンドを知りたいです。 だから例えば： Router# Router# *00:00:00: Interface Ethernet0 chaged state to up.Link blablalba* ***(cursor is here)**** その後、カーソルはメッセージが表示された同じ行に留まります。 自動ですぐに次の行に移動して欲しい。 例： Router# Router# 00:00:00: Interface Ethernet0 chaged state to up. Line protocol blablalba Router#****(cursor is here)****

8 cisco  router  cli 

我々は持っているのCisco 1900 ISRをし、で、最近のセットアップWebサーバを持っていますourdomain.com。サイトは完全に機能ourdomain.comしますが、LANからはサイトへのアクセスに使用できません。代わりに、全員がローカルIPアドレスを使用する必要があります10.1.1.xxx。 シスコのルーターには制限があることを理解しました。広範囲にわたるグーグル処理により、DNSの診断（またはDNS応答の変更）が発生しました。 私は何度もDNS Doctoringをセットアップしようとしましたが、私はそれを機能させることができません。私たちのISRには、試行しているコマンドを実行する機能がないためです。 object network our_server host 10.1.1.xx nat (inside,outside) static 50.100.100.10 dns DNSの診断を行う、または外部アドレスを使用してローカルサーバーにアクセスする別の方法はありますか？ ネットワーク構成は次のとおりです。 Modem > ISR > Switch > End Users ISRが実行されています。 Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1)

8 cisco  cisco-ios-15  dns 

シスコshow runが16.3.7この例にあるフルバージョンを表示しない理由はありますか？ IOSSW#show running-config | include ersion version 16.3 しばらくはshow versionいますか？ IOSSW#show version ... Switch Ports Model SW Version SW Image Mode ------ ----- ----- ---------- ---------- ---- * 1 56 WS-C3850-48T 16.3.7 CAT3K_CAA-UNIVERSALK9 BUNDLE ... IOSSW#

7 cisco  cisco-ios  cisco-commands 

「sfp-1ge-fe-et」sfpモジュールをCISCO Catalyst C3560G-48TSスイッチに接続しようとしています。 モジュールをポートに接続すると、次のエラーが表示されました： %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/49 has bad crc 次に、問題の解決策を検索したところ、同じ手順を説明する解決策がいくつか見つかりました。 そのように： サードパーティのSFPをCiscoスイッチに接続する方法 私は次のコマンドを試しました： # service unsupported-transceiver # no errdisable detect cause sfp-config-mismatch # no errdisable detect cause gbic-invalid しかし、実際には役に立ちませんでした。GBICポートをオンにできませんでした。常に「ステータスダウン、プロトコルダウン」と表示されます。 でも、show idprom interface gigabitEthernet 0/49コマンドは何も表示されません。 私は問題を2日間経験しています。 どの手順に従うべきですか？実際の解決策は何ですか？前もって感謝します

7 cisco  switch  sfp 

Cisco PDF "Cisco IOS Scripting with TCL Configuration Guide"以外のTCLに関してはあまり見つけることができず、クエリがいくつかあります。 この機能を潜在的に利用して、特定の範囲のDHCPでアドレス範囲にpingを送信し、ライブホストをチェックする方法を検討しています。（これは私たちの大規模サイトのブロードキャストアドレスを介して行うことができますが、不要な出力とIPダイレクトブロードキャストを生成します） 私が知りたいのは、TCLSHを入力して簡単なスクリプトを記述して、好きな範囲をテストする場合、これがルーターにどのような影響を与えるか-IE 保持されているメモリ内にスクリプトファイルを作成しますか、それともtclモードを終了した後に実行されて忘れられますか？ このスクリプトは、ルーターに重要なオーバーヘッドを引き起こしますか？ 重要性は低いですが、私が探していたもの-tclが標準でIOSに導入された特定のバージョンはありますか？ 乾杯みんな-提供することができるすべてのものを感謝:)

7 cisco  cisco-ios  network 

からにアップグレードしようとしています。アップグレード6.0.2.U6.5cするnxos.7.0.3.I4.7前に、すべてのチェックに合格したことを確認したいのですが、このエラーが発生しました。このスイッチはまだ運用段階ではありませんが、正常に動作することを確認する必要があります。私は何か間違ったことをしていますか？ バージョンを表示： Software BIOS: version 2.6.0 loader: version N/A kickstart: version 6.0(2)U6(5c) system: version 6.0(2)U6(5c) Power Sequencer Firmware: Module 1: version v1.0 SFP uC: version 2.12 BIOS compile time: 08/06/2014 kickstart image file is: bootflash:///n3000-uk9-kickstart.6.0.2.U6.5c.bin kickstart compile time: 4/6/2016 22:00:00 [04/07/2016 05:46:42] system image file is: bootflash:///n3000-uk9.6.0.2.U6.5c.bin system compile time: …

7 cisco  switch  cisco-ios  network-core  cisco-nx-os 

私はシスコ認定マネージャーと協力するデスクトップサポートエンジニアです。ネットワーキングの問題に関しては、彼女の意見を大いに評価しています。ただし、ネットワーキングの知識（彼女ほどではない）を知っているため、この特定の設定がどのように問題になるのかわからないので、私はこれに分かれています。しかしここに行きます： 私たちの上司から、6〜7台のクライアントマシンと2台のプリンターを建物の外のトレーラーに設置する、かなり安価なソリューションを求められました。建物内のネットワークは、ASA、3750スイッチ、ルーターなどのいくつかのシスコデバイスで構成されています。 私の解決策：3750スイッチの1つからトレーラーまでのCat6ケーブルを実行し、2つの8ポート小売りスイッチを追加します。クライアントマシンとプリンターはスイッチに接続し、そこから3750とネットワークに接続します。 彼女は、スイッチにSTPがなく、ケーブルの両端を小売店のスイッチに接続すると、ネットワーク全体でネットワークストームが発生するため、これは機能しないと述べました。 これに関する私の問題は、3750のSTPがそれを防ぐことができないということですか？

7 cisco  spanning-tree 

ネットワーキングラボを実行しようとしています。基本的に、私はこのようなネットワークを持っています： したがって、PC1とPC2がリモートHOSTと相互にアクセスできるように、NATルーターを構成することは可能です。私にとっての問題は、PC1とPC2が同じローカルIPアドレスを持っていることです。

7 cisco  routing  ip  ipv4  nat 

企業ネットワークにゲスト専用の新しいVLANをセットアップしました。ゲストWiFiサービスをセットアップして、すべてのトラフィックをビジネストラフィックから分離しようとしています。 これまでのところ、ゲストにVLAN 172を使用して172.16.0.0/24サブネットを作成しました。これは10.11.0.0ネットワークとは別ですが、同じCiscoハードウェアを経由してCisco Aironetからインターネットに到達します。 目的は、ゲストデバイスからのトラフィックを取得して、次のように複数のホップを通過させることです。 ゲストデバイス> Cisco Aironet 1600> Cisco WLC 2504> Cisco Catalyst 3560-すべてが1つの物理的な場所にある10.11.23.0サブネット上にある場合、10.11.1.0サブネットに渡され、Cisco WS-C2960G> Cisco 1941ルーター>インターネットを使用します。別の物理的な場所にあります。 10.11.23.0サブネット上のスイッチはすべて、172 VLAN上のすべてのルートホップを見ることができますが、その物理的な場所の外は見ることができません。たとえば、他の物理的な場所にあり、10.11.1.0と同じ次のホップを見ることができません。サブネット。そのため、中央に大きなギャップがあり、VLAN 172では2つの物理的な場所を結合する接続が失われています。 これら2つの場所を結合する役割を担うスイッチポートがトランキングされていないことは間違いありません。これが答えだと思いますが、私のライブネットワークの残りの部分はこれらのポートに依存しています。これをテストするためにトランクモードを有効にすると、現在動作している他のすべての接続を切断する可能性がありますか？

7 cisco  switch  vlan  cisco-catalyst  trunk 

私は私の心を包み込むのに非常に苦労しているという質問があります。 L3スイッチのVLANインターフェイス（VLAN 32）にアクセスリストを適用すると、VLAN 32サブネットにあるクライアントは、ルーティングされる途中でVLAN 32に入っていると見なされますか、それともトラフィックが）VLAN 32インターフェイス？別のVLANからのトラフィックはどうですか？ VLAN 32インターフェイスに対して「in」または「out」のトラフィックにアクセスリストを適用するかどうかを決定する目的で、これを整理しようとしています。

7 cisco  vlan  acl  cisco-ios-12  cisco-ios-15