IOS-XE и Netflow timestamp
коллеги а что в IOS-XE выпилили возможность генерировать нетфлоу с абсолютными таймстампами ?

flow record v4_r1
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
collect counter bytes long
collect counter packets long
collect timestamp absolute first
^
% Invalid input detected at '^' marker.
</lj_cut>
Или это теперь как-то по другому делается?

(Read Comments |Comment on this)

Есть кто живой?
?

(Read Comments |Comment on this)

FreePBX и ip-phone Cisco 9951
Коллеги!
Вопрос древний, поэтому дельных статей не смог нагуглить, много ссылок протухло.

Итак, с аппаратом 9951 что-то случилось, из серии "сбились настройки", и он перестал работать, точнее -- звонить на него звонят, а на выход -- отбой. В логах --  Received SIP INVITE with unsupported required extension: required: unsupported:sdp-anat.

Из обрывков того, что нагуглил, предлагались варианты:

1. Попробовать полностью отключить поддержку IPv6.
2. Разрешить на аппарате ssh, взять SEP-файл (конкретно для этой можели не нашёл, но говорят, найти можно), поколдовать с параметрами и залить его через шелл по tftp. Видел статью по этому поводу, там решалась другая задача, но общий принцип понял.
3. Бывший админ сказал, что он как-то "заливал прошивку на tftp, правил конфиг прошивки и телефон автоматом перепрошивался с нужными параметрами", но, во-первых, в архиве с прошивкой никаких конвигов нет, только бинарии во-вторых, я не настолько крут в циско, чтобы понимать, что и как там править.

Может, у кого-нибудь сохранились живые ссылки или сами статьи, как победить этот аппарат?

X-posted

(Read Comments |Comment on this)

2811 статический нат и DNS rewrite
Дано: две 2811 с прошивкой 12.4(25b), настроенный HSRP, за роутерами разношерстная сеть. Настроена пара site-to-site VPN, настроен static NAT пары хостов наружу с роутмапом.

Проблема: при запросе DNS-записей из-за циски на сервер снаружи (8.8.8.8) ответ приходит локальный. Разобрался, что это работает включенный по умолчанию DNS doctoring, рассчитанный на то, что клиенты внутри сети и клиенты вне сети для доступа к наченому ресурсу будут использовать один и тот же DNS-сервер, и IPv4-адрес из соответствующей зоны. В принципе, идея неплохая, но мы поймали, что эта же циска затеяла вмешиваться в DNS zone transfer с основного DNS-сервера, находящегося в публичном сегменте, на наченый вторичный сервер за циской. Симптом - некоторые записи (точнее, соответствующие статическому NAT на этой циске) на вторичном сервере прописаны локальными адресами (10.х.х.х), вместо публичных адресов. Проблема в том, что вторичный сервер - публичный, то есть ни при каких условиях не должен отдавать ответ 10.х.х.х.

Кусок конфига:
interface FastEthernet0/0
description ISP
ip address 217.x.x.x 255.255.255.224
ip access-group AL-ISP-OUT-v2016.06.10 out
ip verify unicast source reachable-via rx allow-default
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip inspect ISP-IN in
ip inspect ISP-OUT out
ip virtual-reassembly
ip route-cache flow
load-interval 30
duplex auto
speed auto
standby version 2
standby ip 217.x.x.y
standby ip 217.x.x.x secondary --- 10 адресов из подсети главного
standby timers msec 250 msec 750
standby priority 110
standby preempt
standby authentication md5 key-string 7 XXXXXXXX
crypto map CRYPTOMAP-ISP
!
interface FastEthernet0/1.1010
description HOSTING
encapsulation dot1Q 1010
ip address 10.x.x.2 255.255.255.0
ip verify unicast source reachable-via rx allow-self-ping
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
standby version 2
standby 1010 ip 10.x.x.1
standby 1010 timers msec 250 msec 750
standby 1010 priority 110
standby 1010 preempt
standby 1010 authentication md5 key-string 7 XXXXXXXX
standby 1010 track FastEthernet0/0 25
!
ip nat inside source static tcp 10.x.x.9 53 217.x.x.y 53 route-map RM-NAT-ISP extendable
ip nat inside source static udp 10.x.x.9 53 217.x.x.y 53 route-map RM-NAT-ISP extendable --- NAT вторичного DNS-сервера
ip nat inside source static 10.x.x.31 217.x.x.z route-map RM-NAT-VNETWORK01-EXCHANGE --- NAT машины, которая в итоге разрешается изнутри в локальный адрес

Роутмапы нужны, чтобы адреса не натились при доступе через VPN.

Искал команду, чтобы отключить DNS rewrite, нашел всего одну - тут: http://serverfault.com/questions/17170/cisco-nat-causes-nslookup-to-return-local-ip команда no ip nat service alg udp dns. Однако внутри ip nat service никакого alg или dns просто нет. Вывод:
R1(config)#ip nat service ?
H225 H323-H225 protocol
allow-h323-keepalive Allow H323 KeepAlive
allow-sip-even-rtp-ports Allow even RTP ports for SIP
append-ldap-search-res Append ldap search result
fullrange allocate all available port of 1 to 65535
list Specify access list describing global addresses
mgcp Media Gateway Control Protocol
nbar nbar protocol
ras H323-RAS protocol
rtsp Real Time Streaming Protocol
sip SIP protocol
skinny skinny protocol

R1#sh ver
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(25b), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 12-Aug-09 11:53 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1)

R1 uptime is 33 weeks, 6 days, 9 hours, 55 minutes
System returned to ROM by Reload Command
System restarted at 03:43:40 GMT+3 Tue Jul 19 2016
System image file is "flash:c2800nm-adventerprisek9-mz.124-25b.bin"

Cisco 2811 (revision 53.51) with 512000K/12288K bytes of memory.
Processor board ID FGL153312DD
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
126976K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Куда дальше копать? Меня катастрофически не устраивает этот DNS rewrite, а размещать его вовне циски опасно, даже если закрыть к нему доступ средствами виндового файрволла. Мало того, я подозреваю, что этот же dns rewrite мешает паре процессов, общающихся через VPN-соединение, поэтому хочу его отключить. Прошу содействия.

(Read Comments |Comment on this)

nat
Коллеги, не могу нагуглить решение.

Есть внутри сети некий сервер к которому с наружного ip делается статический нат порта
ip nat inside source tcp static <int ip> 6666  <out ip> 6666 exten

Как сделать, чтобы клинты внутри сети также могу коннектиться к наружному ip адресу.
Помню что вроде через route map

(Read Comments |Comment on this)

2811 статический нат и DNS rewrite
Дано: две 2811 с прошивкой 12.4(25b), настроенный HSRP, за роутерами разношерстная сеть. Настроена пара site-to-site VPN, настроен static NAT пары хостов наружу с роутмапом.

Проблема: при запросе DNS-записей из-за циски на сервер снаружи (8.8.8.8) ответ приходит локальный. Разобрался, что это работает включенный по умолчанию DNS doctoring, рассчитанный на то, что клиенты внутри сети и клиенты вне сети для доступа к наченому ресурсу будут использовать один и тот же DNS-сервер, и IPv4-адрес из соответствующей зоны. В принципе, идея неплохая, но мы поймали, что эта же циска затеяла вмешиваться в DNS zone transfer с основного DNS-сервера, находящегося в публичном сегменте, на наченый вторичный сервер за циской. Симптом - некоторые записи (точнее, соответствующие статическому NAT на этой циске) на вторичном сервере прописаны локальными адресами (10.х.х.х), вместо публичных адресов. Проблема в том, что вторичный сервер - публичный, то есть ни при каких условиях не должен отдавать ответ 10.х.х.х.

Кусок конфига:
interface FastEthernet0/0
description ISP
ip address 217.x.x.x 255.255.255.224
ip access-group AL-ISP-OUT-v2016.06.10 out
ip verify unicast source reachable-via rx allow-default
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip nat outside
ip inspect ISP-IN in
ip inspect ISP-OUT out
ip virtual-reassembly
ip route-cache flow
load-interval 30
duplex auto
speed auto
standby version 2
standby ip 217.x.x.y
standby ip 217.x.x.x secondary --- 10 адресов из подсети главного
standby timers msec 250 msec 750
standby priority 110
standby preempt
standby authentication md5 key-string 7 XXXXXXXX
crypto map CRYPTOMAP-ISP
!
interface FastEthernet0/1.1010
description HOSTING
encapsulation dot1Q 1010
ip address 10.x.x.2 255.255.255.0
ip verify unicast source reachable-via rx allow-self-ping
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1360
standby version 2
standby 1010 ip 10.x.x.1
standby 1010 timers msec 250 msec 750
standby 1010 priority 110
standby 1010 preempt
standby 1010 authentication md5 key-string 7 XXXXXXXX
standby 1010 track FastEthernet0/0 25
!
ip nat inside source static tcp 10.x.x.9 53 217.x.x.y 53 route-map RM-NAT-ISP extendable
ip nat inside source static udp 10.x.x.9 53 217.x.x.y 53 route-map RM-NAT-ISP extendable --- NAT вторичного DNS-сервера
ip nat inside source static 10.x.x.31 217.x.x.z route-map RM-NAT-VNETWORK01-EXCHANGE --- NAT машины, которая в итоге разрешается изнутри в локальный адрес

Роутмапы нужны, чтобы адреса не натились при доступе через VPN.

Искал команду, чтобы отключить DNS rewrite, нашел всего одну - тут: http://serverfault.com/questions/17170/cisco-nat-causes-nslookup-to-return-local-ip команда no ip nat service alg udp dns. Однако внутри ip nat service никакого alg или dns просто нет. Вывод:
R1(config)#ip nat service ?
H225 H323-H225 protocol
allow-h323-keepalive Allow H323 KeepAlive
allow-sip-even-rtp-ports Allow even RTP ports for SIP
append-ldap-search-res Append ldap search result
fullrange allocate all available port of 1 to 65535
list Specify access list describing global addresses
mgcp Media Gateway Control Protocol
nbar nbar protocol
ras H323-RAS protocol
rtsp Real Time Streaming Protocol
sip SIP protocol
skinny skinny protocol

R1#sh ver
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(25b), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 12-Aug-09 11:53 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1)

R1 uptime is 33 weeks, 6 days, 9 hours, 55 minutes
System returned to ROM by Reload Command
System restarted at 03:43:40 GMT+3 Tue Jul 19 2016
System image file is "flash:c2800nm-adventerprisek9-mz.124-25b.bin"

Cisco 2811 (revision 53.51) with 512000K/12288K bytes of memory.
Processor board ID FGL153312DD
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
126976K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Куда дальше копать? Меня катастрофически не устраивает этот DNS rewrite, а размещать его вовне циски опасно, даже если закрыть к нему доступ средствами виндового файрволла. Мало того, я подозреваю, что этот же dns rewrite мешает паре процессов, общающихся через VPN-соединение, поэтому хочу его отключить. Прошу содействия.

(Read Comments |Comment on this)

IOS-XE и Netflow timestamp
коллеги а что в IOS-XE выпилили возможность генерировать нетфлоу с абсолютными таймстампами ?

flow record v4_r1
match ipv4 tos
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
collect counter bytes long
collect counter packets long
collect timestamp absolute first
^
% Invalid input detected at '^' marker.
</lj_cut>
Или это теперь как-то по другому делается?

(Read Comments |Comment on this)

IP телефония на базе CISCO
Есть офис. Около 60 рабочих мест. Есть оборудование Cisco: ISR4331-V/K9 и 2690-X . Руководство хочет получить на базе этого полноценную телефонную связь с использованием 4331 в качестве телефонной связи и шлюза E1. В качестве оконечных устройств убудт использоваться телефоны опять же Cisco.

Кто официально возьмется за эту работу, каковы цены и сроки выполнения?

Территориально - Москва

(Read Comments |Comment on this)

Cisco VPN Client & Windows 10 AU
Коллеги, а удавалось ли кому-нить заставить работать Cisco VPN Client (или что-то совместимое) под Windows 10 Anniversary Update?
До прихода обновления удавалось запустить через установку делловского клиента, и издевательства над реестром, а сейчас вообще не запускается даже инсталятор

(Read Comments |Comment on this)

ASA 8.4.2, NAT
Дорый день. коллеги!

Имею следующую ситуцаию (моделирую на GNS3):
Есть ASA 8.4.2 на которой подняты 2 интерфейса

interface gigabitethernet1
nameif nonat
securitylevel 0
ip address 192.168.0.1 255.255.255.0

interface gigabitethernet3
nameif outside
securitylevel 0
ip address 192.168.1.1 255.255.255.0

есть соседний роутер, который подключен к ge3 и имеет адрес 192.168.1.2/24. На нем настроен статический маршрут до сети 192.168.0.0/24 через 192.168.1.1. С роутера могу пинговать 192.168.1.1, но не могу 192.168.0.1.

Поискал в интернете, все указывают что надо Nat корректно настроить.

Подскажите, как настроить, чтобы с роуетра был виден адрес 192.168.0.1?

(Read Comments |Comment on this)

[SOLVED] 7301 IOS regression

Есть Cisco 7301 с одним гигабайтом памяти. Если загрузить её с c7301-a3jk91s-mz.122-31.SB11.bin, то EoMPLS прекрасно работает, xconnect over MPLS бегает и "show mpls l2transport hw-capability interface Gi0/0" показывает много всего, включая:

Transport type Eth VLAN
  Core functionality:
    MPLS label disposition supported
    Control word processing supported
    Sequence number processing supported
    VCCV CC Type CW [1] processing supported
  Edge functionality:
    MPLS label imposition supported
    Control word processing supported
    Sequence number processing supported

Transport type Ethernet
  Core functionality:
    MPLS label disposition supported
    Control word processing supported
    Sequence number processing supported
    VCCV CC Type CW [1] processing supported
  Edge functionality:
    MPLS label imposition supported
    Control word processing supported
    Sequence number processing supported

Если же загрузить её с c7301-adventerprisek9-mz.152-4.M6.bin, то та же команда говорит только:

#show mpls l2transport hw-capability interface Gi0/0
Interface GigabitEthernet0/0 does not support MPLS L2 transport

А так же, в конфигурации саб-интерфейса:

#xconnect 1.1.1.1 12 encapsulation ?    
   l2tpv3  Use L2TPv3 encapsulation

#

Нет варианта инкапсуляции mpls, хотя в старом IOS есть. В новом IOS:

show mpls interfaces detail
Interface GigabitEthernet0/0:
         Type Unknown
         IP labeling enabled (ldp):
           Interface config
         LSP Tunnel labeling not enabled
         IP FRR labeling not enabled
         BGP labeling not enabled
         MPLS operational
         MTU = 1536

В старом IOS вывод такой же, кроме строчки со словами "Type Unknown", которой просто нет.

Почему так? Feature Navigator утверждает, что в новом IOS фича Any Transport over MPLS (AToM): Ethernet over MPLS (EoMPLS) есть во всех фичесетах.


Проблема полностью снята переходом на c7301-adventerprisek9-mz.152-4.S5.bin

(Read Comments |Comment on this)

ESW-PWR
Коллеги, а вообще модуль NM-16ESW-PWR он самодостаточен будучи поставленным в 3725 питать телефоны или же нуже доп. блок питания?

(Read Comments |Comment on this)

Cucm sip trunk
Привет!
КАК сделать чтобы вызовы пришедшие с SIP-Trunk на cucm таки попадали на hunt pilot?

(Read Comments |Comment on this)

Cisco не понимает static routing при выключенном ip routing?
Добрый День!
Столкнулся сегодня с проблемой:
- Cisco IE3010 с несколькими IP интерфейсами на разных VLAN
- ip routing выключен (устройство работает как свитч)
- один из IP интерфейсов используется для связи с NTP сервером, от которого синхрится сама Cisco
- другие IP интерфейсы используются для раздачи синхры внутри сегментов
- есть статические маршруты для удалённых IP-сегментов, находящихся за другими маршрутизаторами
Маршрутизация между сегментами на самой Cisco выключена специально, этого надо избежать.
Но статика не работает, пока не включишь "ip routing". Без включения маршрутизации работает только default gateway - но этого не хватает, так как удалённых сегментов - несколько.

Можно, конечно, включить маршрутизацию и на все интерфейсы навесить access-list и route-map. Но это какие-то лишние сущности в данной ситуации. Я был 100% уверен, что маршрутизация в даном случае должна работать аналогично маршрутизации на обычных рабочих станциях, где несколько интерфейсов отлично уживаются с несколькими статическими маршрутами.

Что скажете? Есть какой-то простой способ решить данную проблему?

(Read Comments |Comment on this)

Cisco 2951 PPTP Server + PPTP Client
Коллеги приветсвтую,

имеется проблема.
В качестве сервера PPTP Cisco 2951 (C2951-UNIVERSALK9-M, Version 15.2(2)T)
Настройки следующие, выкладываю всё что касаемо PPTP
!
ip dhcp pool pptp-users
 network 10.10.10.0 255.255.255.0
 default-router 10.10.10.1
 dns-server 192.168.0.2
 option 249 hex 10ac.100a.0a0a.0110.c0a8.0a0a.0a01
 lease 0 1
!
!
vpdn enable
!
vpdn-group STO
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
!
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.0
!

!
interface Virtual-Template1
 ip unnumbered Loopback0
 peer default ip address dhcp-pool pptp-users
 ppp encrypt mppe auto
 ppp authentication ms-chap-v2
!
В целом всё работает, да и конфиг то в целом стандартный. НО!
Цепляемся Windows 7 клиентом или Ubuntu, пытаемся передать на удалённый хост за Cisco файл, и получаем фриз. Т.е сессия всё ещё активна, но доступа куда-либо нет. А самое интересное не это, а то что включение  debug ppp mppe events решает вопрос Карл, сессия стабильна! В логах
Vi4 MPPE: missed 1 key changes, recomputing
Vi4 MPPE: missed 4 key changes, recomputing
Vi4 MPPE: rx key change error - diff = 4094

Убунта пишет когда всё перестаёт работать
pppd[2743]: Protocol-Reject for unsupported protocol 0xa4e8
pppd[2743]: Protocol-Reject for unsupported protocol 0xb038

Может кто сталкивался?

(Read Comments |Comment on this)

2811 и USB boot

В каком случае 2811 со свежим ROMMON может отказаться грузиться с USB, при том, что тот же IOS нормально загружается с CompactFlash?

Имеется тестовая 2811, доступная локально с подключенной консолью. Успешно обновил ROMMON до ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1) через upgrade rom-monitor file. Вроде бы этот ROMMON умеет грузить IOS с usbflash0:

В конфигурации:

boot-start-marker
boot system usbflash0:c2800nm-adventerprisek9-mz.124-22.T.bin
boot system flash c2800nm-adventerprisek9-mz.124-13a.bin
boot-end-marker

При ребуте пишет на консоль:

Upgrade ROMMON initialized
program load complete, entry point: 0x8000f000, size: 0x3d240
*** TLB (Load/Fetch) Exception ***
Access address = 0x364
PC = 0x8003d878, Cause = 0x8, Status Reg = 0x3040a803
monitor: command "boot" aborted due to exception

И потом идёт на второй заход и грузит IOS уже с CompactFlash. Если выйти в ROMMON, то видим, что загрузчик, с одной стороны, предлагает использовать usbflash0, а с другой стороны, не может этого:

rommon 1 > dev
Devices in device table:
        id  name
    flash:  compact flash              
bootflash:  boot flash                 
usbflash0:  usbflash0                  
usbflash1:  usbflash1                  
    eprom:  eprom 
rommon 2 > dir usbflash0:
program load complete, entry point: 0x8000f000, size: 0x3d240
*** TLB (Load/Fetch) Exception ***
Access address = 0x364
PC = 0x8003d878, Cause = 0x8, Status Reg = 0x3040a803
monitor: command "dir" aborted due to exception

Флешка на 256M (249M реальных, 261849088 байта), отформатирована на этой же 2811 и IOS скопирован туда через copy /verify тоже на ней. Уже загруженный IOS признаёт флешку за поддерживаемую:

#show usb device          
Host Controller: 1
Address: 0x1
Device Configured: YES
Device Supported: YES
Description: USB Mass Storage
[skip]

(Read Comments |Comment on this)

помогите с иосом
c5400-jk9s-mz.124-15.T(что-нибудь).bin

(Read Comments |Comment on this)

ASA и отключение NAT
Коллеги, добрый день.

Ситуация следующая: есть ASA 5520 с прошивкой 8.2, локалка и два ISP
ISP1 - оптика, внешний ip-адрес, NAT - тут все работает.
ISP2 - резервный LTE на 29xx ISR, на который траффик нужно пускать без NAT'а.
Переключение между каналами настроено переключением default route через sla monitor.

Вопрос: как убедить ASA передавать пакеты на ISP2 без NAT'а, поскольку на ISR должны быть свои правила обработки трафика, которые конечно не сработают если все будет приходить под видом одного ip с ASA. Ну и двойной нат - тоже некрасиво.

(Read Comments |Comment on this)

Juniper WLC + Zabbix. Автообнаружение и мониторинг точек доступа.
Оригинал взят у smart_bit в Juniper WLC + Zabbix. Автообнаружение и мониторинг точек доступа.

(Read Comments |Comment on this)

Трафик через туннель в MPLS VRF

Здравствуйте, господа.

Есть небольшая MPLS конструкция из четырёх маршрутизаторов. Количество не суть важно, важно вот что.
Есть VRF XX, который успешно крутится везде и работает. Потребовалось построить туннель в этом VRF. Построили, всё хорошо. Но. Трафик проходит частично.
Т.е., если интерфейс в VRF XX на том же маршрутизаторе, что и описываемый ранее туннель, то трафик по этому пути ходит. А если трафик для туннеля пришёл с другого маршрутизатора в том же VRF, то трафик получается consumed. Что-то типа вот такого выдаёт в deb ip packets
Jun 17 12:24:27.115 MSK: pak 5007EFF4 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.479 MSK: pak 46DE58A4 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.651 MSK: pak 46DDC984 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
Jun 17 12:24:27.947 MSK: pak 50089F48 consumed in input feature , packet consumed, MCI Check(55), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE

спросите вопросы, отвечу ответами.
x-posted cisco_ru, ru_cisco, ru_telecom

(Read Comments |Comment on this)