Заметки по конфигурированию C831 (MPC857DSL) Печать
Добавил(а) microsin   

Текущая конфигурация роутера:

#show version
Cisco IOS Software, C831 Software (C831-K9O3SY6-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 26-Jan-05 15:02 by pwade
ROM: System Bootstrap, Version 12.2(11r)YV3, RELEASE SOFTWARE (fc2)
nb-rf37lhn2h002 uptime is 8 minutes
System returned to ROM by reload
System image file is "flash:c831-k9o3sy6-mz.123-11.T3.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco C831 (MPC857DSL) processor (revision 0x500) with 58983K/6553K bytes of memory.
Processor board ID FCZ09224318 (583922919), with hardware revision 0000
CPU rev number 7
2 Ethernet interfaces
4 FastEthernet interfaces
128K bytes of NVRAM.
12288K bytes of processor board System flash (Read/Write)
2048K bytes of processor board Web flash (Read/Write)
Configuration register is 0x2102

1. C831 имеет интерфейсы:

Ethernet0 - логический, привязан к интерфейсам коммутатора FastEthernet1, FastEthernet2, FastEthernet3, FastEthernet4
Ethernet1 - для подключения Интернета, 10BASET
FastEthernet1 - интерфейс коммутатора 10/100BASET
FastEthernet2 - интерфейс коммутатора 10/100BASET
FastEthernet3 - интерфейс коммутатора 10/100BASET
FastEthernet4 - интерфейс коммутатора 10/100BASET

2. На FastEthernet1, FastEthernet2, FastEthernet3, FastEthernet4 можно назначить только один IP, через Ethernet0. Но использовать его для доступа к циске (например, чтобы залить по tftp IOS) у меня всё равно не получилось почему-то (может, из-за особенностей IOS). Доступ к циске через Ethernet1 получился моментально. Причём, если стереть конфиг (erase startup-config) и перезагрузить (reload) циску, то она автоматически получила настройки IP от нашего DHCP-сервера, и даже получила hostname и зарегистрировала его в локальном DNS. После чего начала попытки загрузить конфиг с сервера DHCP по tftp:

...
*Mar 1 00:00:25.435: AUTOINSTALL: Obtain siaddr aaa.bbb.ccc.dd1 (as config server)
*Mar 1 00:00:25.435: AUTOINSTALL: Obtain default router (opt 3) aaa.bbb.ccc.dd2
...
%Error opening tftp://aaa.bbb.ccc.dd1/network-confg (Timed out)
%Error opening tftp://aaa.bbb.ccc.dd1/cisconet.cfg (Timed out)
%Error opening tftp://aaa.bbb.ccc.dd1/nb-rf37lhn2h002-confg (Timed out)
%Error opening tftp://aaa.bbb.ccc.dd1/nb-rf37lhn2h002-confg (Timed out)
%Error opening tftp://aaa.bbb.ccc.dd1/nb-rf37lhn2h002-confg (Timed out)
%Error opening tftp://255.255.255.255/nb-rf37lhn2h002-confg (Timed out)
%Error opening tftp://255.255.255.255/nb-rf37lhn2h002-confg (Timed out)

3. Последовательность команд с комментариями после erase startup-config и reload (можно copy/paste, только без комментариев):

enable
conf t
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname router-831-eee.fff.ggg.hhh
!
enable secret 5 ...
username admin_login privilege 15 secret 5 ...
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa session-id common
!
ip subnet-zero
ip name-server aaa.bbb.ccc.dd1
ip inspect name tc-fw h323
ip inspect name tc-fw rtsp
ip inspect name tc-fw tcp
ip ips po max-events 100
no ftp-server write-enable
!
class-map match-all voip
 match access-group 160
class-map match-all limit2M
 match access-group 110
exit
!
policy-map voip-p
 class voip
  priority percent 50
  set ip precedence 5
  exit
 class class-default
  fair-queue
  exit
 exit
policy-map to_division
 class limit2M
  shape peak 2000000
  service-policy voip-p
  exit
 exit
!
interface Ethernet0
 bandwidth 100000
!под этим IP циска будет видна и будет управляться как изнутри, так и снаружи. IP принадлежит
! внутренней сети удалённой точки (её и обслуживает наш роутер)
 ip address eee.fff.ggg.hhh 255.255.240.0
 ip route-cache flow
 no ip mroute-cache
 no cdp enable
 !если не ввести эту команду, то после перезагрузки в конфиге будет вставлена команда shutdown,
 ! и интерфейс будет административно запрещён.
 no shutdown
 exit
interface Ethernet1
 bandwidth 2000
 !этот интерфейс настраивается по таблице, которая согласовывается с провайдером.
 !У каждого удалённого филиала своя подсеть.
 ip address kkk.lll.mmm.nn1 255.255.255.252
 service-policy output to_division
 ip route-cache flow
 no ip mroute-cache
 duplex auto
 no cdp enable
 exit
interface FastEthernet1
 no ip address
 duplex auto
 speed auto
interface FastEthernet2
 no ip address
 duplex auto
 speed auto
interface FastEthernet3
 no ip address
 duplex auto
 speed auto
interface FastEthernet4
 no ip address
 duplex auto
 speed auto
 exit
!
!этот параметр BGP утрясается с провайдером, у каждой удалённой точки (как раз ей и принадлежит
! этот роутер) свой номер bgp
router bgp 65459
 no synchronization
 bgp log-neighbor-changes
 !этот параметр вычисляется из IP Ethernet0 с помощью IP-калькулятора, например
 ! http://www.opennet.ru/ipcalc.shtml?ip=10.81.16.0&netmask=%2F22&submit=%D0%CF%D3%DE%C9%D4%C1%D4%D8+-%3E
 network eee.fff.0.0 mask 255.255.240.0
!Этот адрес берётся из таблицы, которая утрясается с провайдером (kkk.lll.mmm.nn2 принадлежит
! провайдеру, он же шлюз), у каждой удалённой точки свой IP.
!Циферка после remote-as (8342) - для всех точек, принадлежащих одному провайдеру, одинаковая
! (для разных провайдеров разная).
 neighbor kkk.lll.mmm.nn2 remote-as 8342
 neighbor kkk.lll.mmm.nn2 timers 3 9 9
 no auto-summary
 exit
!
ip classless
!маршрут по умолчанию на шлюз провайдера, понятно дело, у каждой удалённой точки свой
ip route 0.0.0.0 0.0.0.0 kkk.lll.mmm.nn2
!
ip http server
no ip http secure-server
!Настройки для работы с ManageEngine NetFlow Analyzer 4
ip flow-export version 5
ip flow-export destination aaa.bbb.100.77 9996
ip flow-export destination aaa.bbb.2.5 9996
!
access-list 8 permit 10.50.100.77
access-list 101 permit udp any any range 16384 32768
access-list 101 permit udp any any precedence critical
access-list 102 permit tcp any eq 1720 any
access-list 102 permit tcp any any eq 1720
access-list 110 remark Traffic from izev
!разрешить доступ к хостам удалённого филиала (eee.fff.0.0 0.0.15.255, этот параметр у каждой удалённой
! точки свой) и хостам головного офиса (aaa.0.0.0 0.255.255.255, этот параметр у каждой удалённой
! точки тот же самый).
!Параметры вычисляются на IP-калькуляторе.
access-list 110 permit ip eee.fff.0.0 0.0.15.255 10.0.0.0 0.255.255.255
access-list 160 remark -----------------------------
access-list 160 remark ----Nortel_VoIP_traffic------
access-list 160 permit tcp any any range 1720 1721
access-list 160 permit udp any any eq 1718
access-list 160 permit udp any any eq 1719
access-list 160 permit udp any any eq 4100
access-list 160 permit udp any any eq 5100
access-list 160 permit udp any any eq 7300
access-list 160 permit udp any any eq 5105
access-list 160 permit udp any any range 5200 5262
access-list 160 permit udp any any eq 5000
access-list 160 permit udp any any eq 15000
access-list 160 permit udp any any range 17300 17363
access-list 160 permit udp any any range 2001 2002
access-list 160 permit udp any any range 2300 2363
access-list 160 permit udp any range 5000 5201 any
access-list 160 permit udp any any range 16384 32768
!Это много для чего, например для Cisco Works
snmp-server community cisco RW 8
snmp-server enable traps bgp
snmp-server enable traps syslog
snmp-server enable traps config
!IP сервера Cisco Works и ManageEngine NetFlow Analyzer 4
snmp-server host aaa.bbb.100.77 cisco
no cdp run
!
!
control-plane
!
banner login ^CCCCCCC
                       ATTENTION !!!
                     It is xxxx yyyyyy Router
                   Please Call to RIC zzzzzzzz
                   before make any aCtion to this Router.^C
!
line con 0
 exec-timeout 120 0
 no modem enable
 transport preferred all
 transport output all
 stopbits 1
line aux 0
 transport preferred all
 transport output all
line vty 0 4
 exec-timeout 120 0
 length 0
 transport preferred all
 transport input all
 transport output all
 exit
!
scheduler max-task-time 5000
end
write