タグ付けされた質問 「cisco」

Cisco ASA 5510を1つ本番環境で使用しています。 それは： ASAバージョン 8.0(2) ASDMバージョン 6.0(2) 1GB RAM（最近256MBからアップグレード） 64MBフラッシュ フラッシュと設定をバックアップしました。 ASAのバージョンをに9.1(4)、ASDMのバージョンをにアップグレードする必要があります。7.1(5) 次のクエリがあります。 ソフトウェアのアップグレードのために、フラッシュを64MBからより大きなフラッシュにアップグレードする必要がありますか？ から8.0(2)への推奨アップグレードパスは何9.1(4)ですか？ これらのバージョン間でのNAT構文の変更などが原因で、スタートアップ構成を手動で更新する必要がありますか？または、推奨されるアップグレードパスに従っている場合、これは自動的に行われますか？ 御時間ありがとうございます！

7 cisco  cisco-asa 

Ciscoルータ1941シリーズを使用していますが、ルータのアクセスリストにいくつか変更を加えたいです。リストの1つを削除し、最後に拒否するものを記載しながら、追加したものを含めてすべてを再度追加する必要があることを知りました。削除するとうまくいきましたが、追加すると最初のステートメントの後でハングします。また、コードを一度に貼り付けようとすると、ハングアップします。 ファイルをtftpにコピーして編集し、元に戻しました。証明書の署名側でエラーが発生し、いくつかの不満が出ました。ACLで問題を解決するにはどうすればよいですか？ [編集] 現在、これは私が持っているものです、 interface GigabitEthernet0/0 description ### WAN INTERFACE ### ip address xxx.xxx.xxx.xxx 255.xxx.xxx.xxx ip flow ingress ip nat outside ip virtual-reassembly duplex full speed 100 no cdp enable ! interface GigabitEthernet0/1 description ### LAN INTERFACE ### no ip address ip flow ingress ip virtual-reassembly duplex auto speed auto …

7 cisco  router  cisco-ios  troubleshooting  acl 

まず、ネットワーキングの問題が常に頭を悩ませていることを指摘しておきます。特にルーティングについては、「ああ、わかった」という瞬間がまだないので、これは非常に基本的な設定ミスである可能性があります。 Cisco ASA 5505を1つのインターフェイスのパブリックIPアドレスに接続し、2番目のインターフェイスを内部ネットワークに接続するように設定しようとしています。現在、内部ネットワークは192.168.1.0/24にあり、ISPから取得したパブリックIPは125.xxxの範囲にあります。 ASAに3つのインターフェイスを設定しました。 内部 IP: 192.168.1.3 Mask: 255.255.255.0 Ports 1-6 Sec Level 100 外側 IP: 125.x.x.x Mask: 255.0.0.0 Port 0 Sec Level 0 管理 IP: 10.0.0.1 Mask: 255.255.255.0 Port 7 Restricted to management Restrict flow to Outside (had to do this for licensing reasons) ファイアウォールに、内部ネットワークの任意のソースから安全性の低いネットワークへのIPトラフィックを許可するアクセスルールがあります（IPv4と6の両方に1つあります）。 インターネットに接続するルーターをポート0に接続し、コンピューターをポート1にIP 192.168.1.20、マスク255.255.255.0、ゲートウェイで接続します192.168.1.3。このPCを使用すると、pingを実行できます192.168.1.3が、それ以上は実行できません8.8.8.8。パブリックIPアドレスまたはpingを実行できません。 同じPCをルーターに直接接続してパブリックIPアドレスを直接割り当てると、インターネットに問題なくアクセスできます。ここでの問題は、内部からのパスを表示するためにいくつかの静的ルートを追加する必要があることだと思います<->外部から。どんな助けや提案でも大歓迎です。 …

7 cisco  routing  cisco-asa  troubleshooting 

さまざまな理由で、NAT処理されたADSL接続の背後にCiscoルーターが配置されているというお客様がいます。彼らは私たちの拠点の1つにVPNを作成することを望んでおり、私たちが提供する唯一のオプションはサイト間またはL2TPダイヤルインです。 L2TPを介してPoPに接続するようにCisco（3925）を構成することは可能ですか？L2TPサーバーはFortigate 100Dのペアであり、この構成により、iPad、ラップトップなどがIPSECで保護されて問題なくダイヤルインできます。 私はこれを自分のオフィスで1921でテストしています。見つけたいくつかの参考資料は、疑似配線設定の使用が必要であることを示していますが、それを確立するのに問題があり、IPSECがそれに適合します。

7 cisco  vpn  cisco-ios  ipsec 

アクティブ/パッシブで実行されている2つのASA 5540とインターネットプロバイダーのジュニパールーターの間にOSPFを設定しました。route-mapを介してACLのコンテンツに基づいてルートをアドバタイズしたいと思います。 router ospf 1 router-id X.X.X.A network X.X.X.B 255.255.255.248 area 0 area 0 authentication message-digest log-adj-changes redistribute static metric 10 subnets route-map annonce_ospf_isp route-map annonce_ospf_isp permit 1 match ip address redistribute_isp access-list redistribute_isp standard permit Y.Y.Y.C 255.255.255.252 / 30をアドバタイズしても問題ありません。ospfデータベースに表示され、ルートが他のルーターに挿入されます。 ただし、/ 32をアドバタイズしても何も起こりません。データベースにないため、アドバタイズされません。 access-list redistribute_neo standard permit host Y.Y.Y.D 何が問題ですか？

7 cisco  cisco-asa  ospf  juniper  troubleshooting 

ユーザーが誤ったパスワードを何度も入力した場合に、Cisco IOSデバイスを構成できないようにしようとしています。これは私が使用しているコマンドです： Router(config)# login block-for 120 attempts 3 within 60 不正なパスワードが60秒以内に3回入力された場合に、120秒間のログイン試行をブロックする必要があります。私はこれをパケットトレーサーで試してみましたが、機能していないようです。ルーターのユーザーEXECモードにアクセスして、3回試行してもブロックされない不正なパスワードを使用しようとすると、唯一のことは、「不正なパスワード」の場合は、引き続き試行できます。このコマンドはどのタイプのログインをブロックすることになっていますか？ユーザーEXEC、特権EXEC、コンソールポート？

7 cisco  security  cisco-ios 

私はこれに対する答えを知っていると確信していますが、それを実装する方法がわかりません。 Cisco 2811からopenswanを実行するLinuxボックスにipsec vpnをセットアップしようとしています。これまでのところ、フェーズ1を開始できますが、フェーズ2に問題があります。その100％の構成の問題。 私がやろうとしていることは、ネットへのゲートウェイとしてその反対側のインターネット接続を使用して、Webおよびその他のトラフィックをVPNにプッシュすることです。クリプトマップエラーが発生します。これがセットアップです。1.1.1.1シスコである。2.2.2.2アドレスは、NICが1つしかないLinuxサーバーです。 192.168.xx / 24 ----- 1.1.1.1-インターネット2.2.2.2 ---- >>>インターネット フェーズ2トンネルを形成できない理由を理解しています。マップに同意できません。しかし、私はこの場合マップがどうあるべきかわかりません。 今のところ、ICMPのみでテストしています。 NATからICMPを除外しました： ip access-list extended NAT deny icmp 192.168.30.0 0.0.0.255 any 次に、VPNの「興味深いトラフィック」は次のとおりです。 access-list 153 permit icmp 192.168.30.0 0.0.0.255 any openswan側で私が使用しています： left=2.2.2.2 right=1.1.1.1 rightsubnet=192.168.30.3/24 さて、Ciscoはすぐに破棄を開始します。 2d11h: map_db_find_best did not find matching map 2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists …

7 cisco  vpn  ipsec 

Ciscoスイッチ、Cisco IP Phone、およびビデオトラフィックを含むネットワークがあります。QoSマーカーをトラフィックに追加したいのですが、手動で追加したくありません。 理想的には、Ciscoの自動QOS機能を使用したいのですが、コマンドをどこに追加すればよいかわかりません。 私のIP電話はアクセススイッチ上にあり、トラフィックはコアスイッチに戻り、いくつかのCall Managerサーバーにルーティングされます。 私の理解はこれを行うことです： 「mls qos」を使用して、すべてのスイッチ（アクセス、配布、コア）でQoSを有効にします 「auto qos voip cisco-phone」を使用して、Cisco IP Phoneに接続されたインターフェイスで自動QoSマーキングを有効にします 「auto qos voip trust」を使用してネットワークアップリンクで自動QoS信頼を有効にする これは正しいですか ？他に何かすることはありますか？トラフィックの両方向のネットワークアップリンクに「auto qos voip trust」を設定する必要がありますか？（前後に）注意する必要があるダウンタイムはありますか？ ありがとうジェレミー

7 cisco  qos  cisco-7900-ip-phones 

私たちは今、これに数週間苦労しています。適切に確立されたPPPoEを持つCISCO 3825（15.1 IOS）（つまり、CLI内からネットにpingできる）。 私たちが抱えている問題は、クライアントが外界にpingできないことです。クライアントをルーターに直接接続していますが、ネットに接続できません。設定： 更新された構成 interface GigabitEthernet0/0 no ip address duplex auto speed auto media-type rj45 pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface GigabitEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip broadcast-address 192.168.2.255 ip nat inside ip virtual-reassembly in duplex auto speed auto media-type rj45 no cdp …

7 cisco  pppoe 

問題の概要 最近、帯域幅の使用に関するいくつかの問題が発生しています。これは、オフィスでのインターネットの誤用（故意かどうかに関係なく）が原因と思われます。ネットワークトラフィックを監視して、特定の内部IPアドレスに障害があるかどうかを確認したい。私たちの帯域幅は十分以上でなければなりません。 私たちのセットアップ Cisco PIX 501ファイアウォールに接続された3Com Superstack 3スイッチがあり、それがISP提供のルーターに接続されています。 私が試したこと スイッチもファイアウォールもポートミラーリング機能が利用できないようです。そのため、永続的なトレースを維持できません。PIXは自身のメモリバッファへの一時的なトレースを提供しますが、これを使用する自信があまりありません。 私は（Windows 2000）DNSサーバーにWiresharkをインストールしようとしましたが、ここのパケットデータは役に立ちませんでした。 次のステップ トラフィックの監視方法に関する皆さんからの提案は素晴らしいでしょう。ただし、既存のハードウェアを交換する立場にはまだありません。スイッチとファイアウォール（またはファイアウォールとルーター）の間に配置できるネットワークタップのコストを調べ、そこにパケットを監視するマシンをセットアップしました。私はこれまでこのアプローチを採用したことがないので、それが本当に実行可能かどうか疑問に思いました。

7 cisco  monitoring  wireshark  packet-analysis  pix 

2つのスイッチ（Cisco 2960）があり、それらの間にトランク（イーサチャネルの2つのポート）があり、それぞれに別のルーターまでのトランクがあり、他のすべてのスイッチポートはエンドデバイスへのアクセスポートです。 R1 R2 | | | | | | SW1 === SW2 さまざまなSTPオプション、すべてのポートでの高速ポート、BPDUフィルター、BPDUガードを実装したい。さまざまなシスコのドキュメントやその他の評判の良いWebサイトのフィードを読んだことがありますが、ほんの一部です。 BPDUフィルターとBPDUガード（IPエキスパート） シスコのBPDUガードドキュメント その他のCisco BPDUガードドキュメント すべてのアクセスポートを次のように構成したいのですが、これらの機能をすでに理解して使用しているため、ここで問題はありません。 int gi0/10 description End Device Port switchport mode access switchport access vlan 10 spanning-tree portfast spanning-tree bpdufilter enable spanning-tree bpduguard enable 次のようにスイッチとルーターの間のトランクポートを構成したいのですが、すでにこの構成を使用しており、ここで問題は発生していません。 int gi0/1 description Trunk to R1 switchport mode trunk …

7 cisco  switch  ethernet  spanning-tree 

したがって、今朝、ネットワークで最初のIPv6マルチキャストフラッドが発生しました。Macアドレスを次のようにブロックすることで、問題のあるコンピュータをなんとか阻止しました。 mac-address-table static x.x.x vlan x drop MACアドレスをブロックする前に、Wiresharkキャプチャを開始して、後でパケットを分析できるようにしました。 パケットを調べたところ、ネットワークにフラッディングしたパケットは、IPv6マルチキャストアドレス33：33：00：01：00：02に接続しているIPv6 DHCP要求が破損していたようです。 洪水の影響は奇妙なものでした。影響を受けたと思われるのは通常のIPv4 DHCPリクエストのみでした。通常のクライアントはIPアドレスを取得できませんでしたが、洪水が始まる前にすでにアドレスを持っていた人には問題はありませんでした... CPUのスイッチのピークも95〜100％に達しましたが、通常のトラフィックのスイッチング/ルーティング操作に影響を与えていないようです。 30mbpsのIPv6マルチキャストトラフィックだけが6509 SUP720のCPUを100％にプッシュし、通常のIPv4 DHCPが動作を停止する方法と、それが再び発生した場合にこれから自分を保護する方法を決定するのに役立つ必要があります。 各アクセス/クライアントポートには次の設定があります。 switchport access vlan x switchport mode access switchport nonegotiate switchport block multicast switchport block unicast switchport port-security maximum 2 switchport port-security switchport port-security aging time 2 switchport port-security violation restrict switchport port-security aging …

7 cisco  ipv6  cisco-ios  cisco-6500  multicast 

デュアルWANリンクで構成されたCisco 891ルーターがいくつかあります。これらのルーターはすべてCisco IOS 15.xを実行しています。場合によっては、ポリシーベースのルーティングを使用して、特定のトラフィックを1つのリンクに強制的にダウンさせます。 お客様は通常、特定のトラフィックが特定のリンクを通過することを望んでいるため、デュアルWANセットアップでPBRをよく使用します。たとえば、VOIPなどのリアルタイムトラフィックが1つのリンクを通過し、次に一般的なインターネットが別のリンクを通過する必要があることがよくあります。通常、PBRを使用して、送信元/宛先IP、VLAN、またはそれに適合するものに従ってトラフィックをルーティングします。 。 もちろん、専用の音声リンクをオフラインにする必要がある場合は、サービスの品質を下げることをお勧めします。set next-hop verify-availability必要に応じて、トラフィックが他のWANにフェールオーバーできるようにするために、IP SLAトラッキングオブジェクトを使用する傾向があります。 私の質問は、ネクストホップではなくPBRを使用してインターフェイスを設定するときに、同じ構成（可用性を確認するために追跡オブジェクトを使用）を実行することはまったく可能ですか？ これにはいくつかの理由があります。 すべてのPPPoEダイヤラインターフェイスでIPおよびルーティング設定を自動ネゴシエートします。サードパーティのISPの1つが先に進み、すべてのDSL接続のデフォルトルートを変更しました。これは、ネクストホップをPBR構成にハードコードしていたため、機能しなくなったことを意味します。幸運なことに、PBRは他のWANにフェールオーバーしましたが、いずれにせよ、デフォルトルートを実行する方法と同様に、できる限りIPをハードコーディングする必要がないようにしています。ip route 0.0.0.0 0.0.0.0 Dialer0 10 track 1 今日、私はいくつかの新しいCPEでデュアルWANを構成するように求められ、PBRを使用してVOIPトラフィックを専用回線に送り、必要に応じてインターネットリンクにフェイルバックします。問題は、この顧客が同じISPからの2つのDSL回線を使用しているため、ネクストホップがどちらの場合でも同じになることです。したがって、明らかに次に行うのは代わりにインターフェースを設定することですが、これはつまり、検証可能性を失うことを意味します。 インターフェイスを設定するときに、これを実現するために使用できるPBR構成を知っている人がいることを願っています。 参考までに、ここで私が現在それを行う方法を以下に示しますnext-hop。 編集：より詳細な例が含まれています。 track 1 ip sla 1 delay down 20 up 10 ! track 2 ip sla 2 delay down 20 up 10 ! interface FastEthernet8 description PPPoE …

7 cisco  routing  router  cisco-ios-15  pppoe 

ルーターの設定は次のとおりです。誰でも概要を説明できますか？ 私はそれがVOIPのためにあると信じています。 このルーターをシスコ以外のファイアウォールに置き換えます。内部ネットワークのVOIPに問題はありますか？はいの場合、私はどのように知っているのでしょうか。 application service new-call flash:bootstrap.vxml paramspace english index 0 paramspace english language en paramspace english location flash paramspace english prefix en ! service cvp-survivability flash:survivability.tcl paramspace english index 0 paramspace english language en paramspace english location flash paramspace english prefix en ! service CVPSelfService flash:CVPSelfServiceBootstrap.vxml ! service app_transfer …

7 cisco  voip 

私は2日間この場所にいて、ASA-5505を構成するまで、数え切れないほどのフォーラムやチュートリアルに参加しています。ASAからのpingを使用していても、インターネットにアクセスできません。ネットワーク上でASAを「見る」ことができません。基本的に、コンソール以外のハードウェアの死体です。私のモデムもブリッジモードに設定されています。これは私が従ったチュートリアルです：ここ ..次にどこへ行くかわからない..「外部」VLANが誤って構成されているようであり、私は非常に多くの浸透を試みたので、何か大きなことを見落としていることは明らかです。ASAから8.8.8.8にpingできると、幸せになります。 Comcastの設定は次のとおりです。 Gateway MAC Address 78:CD:8E:D9:FB:34 WAN MAC Address 78:CD:8E:D9:FB:37 WAN DHCP IP Address 50.135.170.116 WAN DHCP IPv6 Address ::/64 WAN DHCP IPv6 DNS (primary) :: WAN DHCP IPv6 DNS (secondary) :: WAN DHCP Subnet Mask 255.255.254.0 WAN DHCP Default Gateway 50.xx.xx.1 WAN Internet IP Address 74.xx.xx.230 DNS (primary) …

7 cisco  cisco-asa  firewall