Questions tagged «cisco-ios»

有关Cisco的Internetwork操作系统-Cisco IOS的​​讨论

2
思科路由器NAT配置中的这三个选项是什么意思?
在一个标准的静态PAT配置中,一个IP:端口组合始终映射到另一IP:Port组合,可以配置内部/外部/源/目标的三种可能的组合。 例如,这是一个配置示例: ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80 ^^^^^^^^^^^^^ 用外行的话来说,此配置允许任何外部主机通过端口80发起到IP 2.2.2.33的TCP连接。当此数据包到达路由器时,目标IP地址和端口(2.2.2.33:80)将转换为10.0.20.13:8080。 如果内部主机10.0.20.13发送的TCP数据包的源端口为8080,则此情况也会发生相反的情况,因为该数据包穿过路由器时,源IP和端口(10.0.20.13:8080)会转换为2.2.2.33:80。(这通常是一个响应包,而不是从内部主机发起的响应包) 这是上面标记部分的所有三个配置选项: Router(config)#ip nat inside ? destination Destination address translation source Source address translation Router(config)#ip nat outside ? source Source address translation 实际上,您可以配置: 源静态TCP中的ip nat {IP} {端口} {IP} {端口} ip nat 在目标静态TCP 内部 {IP} {端口} …

2
Cisco IOS中的IPv6通配符匹配可能吗?
Facebook的IPv6地址方案非常聪明,但是让我想到了ACL,是否有可能编写与之匹配的Cisco IOS IPv6 ACL?在IPv4中,您可以匹配一个中间的八位位组,例如10.xxx.10.xxx,以便用“忽略”命中任何“ x”。我认为这在IPv6中是不可能的,至少从IOS 15.1起是不可行的。 在我的示例中,由于Facebook很聪明,因此可以轻松地在FACE:B00C上进行匹配。这样就简化了,因为无需查找分配的块,我就可以在该范围内进行匹配。 2A03:2880:F000:[0000-FFFF]:FACE:B00C :: / 96 显而易见的正常方法是在2A03:2880:F000 :: // 48上进行匹配,但是不幸的是,我不确定FB是否具有较大范围(可能确实如此)。因此,在这种特殊情况下,如果我可以仅在FACE:B00C部分进行匹配,则可以匹配他们正在使用的所有内容,假设它们不会继续前进到FACE:B00D 由于无法在IOS for和IPv6 ACL中输入通配符掩码,因此我认为您无法执行此操作,但是我很好奇是否有人有一个有趣的解决方法。我认为了解这一点将很有用,因为在某些时候,我可能仅由于DDoS或激进的流量而需要过滤一个子块,而又不想为某个大型提供程序阻塞整个/ 32。 另外,这可能允许基于策略的流量重定向或优先级。如果我发现广告位于不同的块中,则可以对它们进行QoS调整,例如,对于低带宽,拥塞的卫星链路来说,这是一个不错的功能。 编辑:澄清一下。在某些情况下,我需要阻止或允许大范围内的某些范围(例如/ 32)。这些可能会有些连续,而不是数百个条目,通配符可能会匹配其中的大部分。这也可以按我可以路由所有10.x.10.0块的方式用于流量工程,其中如果x为奇数,则它沿一条路线进行运动,甚至经过另一条路线。 另一个示例是DDoS,其中使用拼写黑客的组名的模式来欺骗IPv6源IP。这将至少发生一次,能够对其进行过滤将是一件很不错的事情。 紧凑的ACL更干净,但并不总是更易于管理。这些东西可能是好主意或坏主意/做法,在这里并不是要争辩,只是试图掌握我拥有的工具与可能要创造的工具。

2
语音VLAN信息
我知道能够显示分配给cisco交换机上的接口的访问VLAN。如何具体显示为接口分配的语音VLAN? #show run int fa1/47 interface FastEthernet1/47 description Data&Voice switchport access vlan 1 switchport mode access switchport voice vlan 2 end #show int status module 1 | in Fa1/47 Port Name Status Vlan Duplex Speed Type Fa1/47 Data&Voice notconnect 1 full 100 10/100BaseTX show interface status命令仅显示访问VLAN,不显示语音VLAN。对命令有何建议,以专门显示分配给交换机端口的语音VLAN,而无需使用过多的正则表达式或查找正在运行的配置?

1
复制文件时抑制IOS中的确认提示
我将在数百个Cisco VG224上升级IOS,以准备CUCM升级。 我正在尝试尽可能简化/自动化此过程,当前我的主要问题是IOS退回copy命令的“确认”提示。例如: GW-TEST#copy scp://USER:PASSWORD@SERVER//path/path/vg224-i6k9s-mz.151-4.M7.bin slot0:vg224-i6k9s-mz.151-4.M7.bin Destination filename [vg224-i6k9s-mz.151-4.M7.bin]? Translating "SERVER"...domain server (192.168.101.2) [OK] Sending file modes: C0644 28935060 vg224-i6k9s-mz.151-4.M7.bin !!! ::SNIP:: !!!! 28935060 bytes copied in 501.532 secs (57693 bytes/sec) GW-TEST# 我发现适当的语法使设备不会每次都提示我输入用户名或密码。 但是现在,无论我做什么,它仍然提示我确认Destination filename [vg224-i6k9s-mz.151-4.M7.bin]。 有没有办法停止这种行为?

2
带有rcvk9w8图像的AP3602抛出“%CDP_PD-2-POWER_LOW:禁用所有无线电”
我们最近从思科购买了一些新的AP3602E。 我试图了解为什么当我们向AP发送足够的功率时,此AP无法打开无线电。我正在使用来自交换机的嵌入式电源,但是AP接通电源后,它将发送%CDP_PD-2-POWER_LOW: All radios disabled到控制台。AP上的LED闪烁绿色。 拓扑结构: +---------------+ Gi1/0/1 Gi0/1 +-----------+ | AP_Test | | | | Cat2960S |-----------------| AP3602E | | | | | +---------------+ +-----------+ <------- cdp Req 13000mW power inline 13000mW -------> AP正在运行12.4(25e)JAL1a rcvk9w8接收图像。 2960S正在运行12.2(55)SE7。 问题:如何使此AP打开无线电? 其他输出... debug cdp ilp... AP0006.6566.a57b#debug cdp ilp *May 8 00:11:54.391: CDP-ILP: sent …

1
在生产中的Cisco 3750上全局禁用QoS
我怀疑在24x7环境中运行的3750堆栈上错误的QoS设置会引起一些问题。3750主要在局域网网段的VLAN之间路由。由于它是局域网设备(不终止任何广域网链路),因此我想全局禁用QoS(no mls qos),因此我更喜欢仅在广域网链路上运行QoS。 我将在非高峰时间进行此操作,但想了解这将对中继和访问链接造成什么影响?会造成干扰吗?是否清除任何自定义QoS设置,还是保留但忽略了这些设置?不能找到结论性的答案。
9 cisco  qos  cisco-ios 

2
在Cisco IOS上为DHCPv6客户端配置外部接口
配置IOS 12.4(25f)以支持IPv6的必要步骤是什么?Comcast是ISP,我将使用Server 2012盒作为内部DHCPv6。 我需要从Comcast获取DHCPv6地址作为外部接口。 到目前为止,在我的外部接口上,我有: ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 对于“ al”访问列表,我有: permit udp any any eq 546
9 cisco  ipv6  cisco-ios 

3
思科交换机上的AAA / TACACS +密码始终在第二个密码提示符下失败
每当使用AAA / TACACS +登录网络设备时,如果我在用户名提示后加了密码提示,即使密码正确,第二个密码提示也总是失败。我必须再次等待用户名提示,并且必须紧随其后的第一个密码提示中输入正确的密码。换句话说,每当我看到第二个密码提示时,它将不起作用。 请参阅下面的经过清理的交互和配置。 用户访问验证 用户名:用户名 密码: 密码:(此处总是失败) % 拒绝访问 用户访问验证 用户名:用户名 密码: 在第1行(站点名称)上连接到s-site-rack-agg2.example.net。 s-site-rack-agg2# 使用第二个密码提示来解决此问题可能有什么不同? 我拥有的典型AAA和相关配置为: aaa新模型 aaa身份验证登录默认组tacacs +本地线路 aaa身份验证登录控制台无 aaa身份验证启用默认组tacacs +启用 aaa授权执行程序默认组tacacs +本地if-authenticated aaa授权命令1个默认组tacacs +本地if-authenticated aaa授权命令7个默认组tacacs +本地if-authenticated aaa授权命令15个默认组tacacs +本地if-authenticated aaa会计执行官默认启动-停止组tacacs + aaa accounting命令0缺省启动-停止组tacacs + aaa accounting命令1个默认的启停组tacacs + aaa记帐命令7默认的启停组tacacs + aaa记帐命令15个默认的启停组tacacs + aaa会计系统默认的起止组tacacs + ! ip tacacs源接口Loopback0 tacacs服务器主机-prmiaryipremoved-单连接 …
9 cisco  cisco-ios  aaa 

3
为什么“显示邻接”需要这么长时间才能运行?
为什么“ show adjacency”命令在Cisco IOS软件,7200软件(C7200P-SPSERVICESK9-M),版本12.4(4)XD5,发行软件(fc1)上运行需要这么长时间(以分钟为单位)? 该路由器是运行BGP的Internet边缘路由器吗?地址后面的“(5)”,“(10003)”或“(75845)”是什么意思?它似乎主要枚举直接连接的/ 23网络上的地址。CPU <2%,并且内存似乎不是造成此问题的原因。 r-x-y-edge1#sh adjacency Protocol Interface Address IP GigabitEthernet0/2 x.67.155.9(5) IP GigabitEthernet0/2 x.67.155.8(5) IP GigabitEthernet0/2 x.67.155.11(5) IP GigabitEthernet0/2 x.67.155.10(5) IP GigabitEthernet0/2 x.67.155.13(5) IP GigabitEthernet0/2 x.67.155.12(5) IP GigabitEthernet0/2 x.67.155.15(5) IP GigabitEthernet0/3 172.31.4.130(10003) IP Serial1/0 point2point(75845) ... <truncated> CPU utilization for five seconds: 2%/1%; one minute: 3%; …


2
什么是12月MOP以及如何禁用它?
执行数据包捕获时,我不断看到奇怪的“ DEC MOP远程控制台”帧: No. Time Source Destination Protocol Info 141 83.557841 Cisco_57:62:a0 DEC-MOP-Remote-Console 0x6002 DEC DNA Remote Console Ethernet II, Src: Cisco_57:62:a0 (00:0d:bc:57:62:a0), Dst: DEC-MOP-Remote-Console (ab:00:00:02:00:00) Destination: DEC-MOP-Remote-Console (ab:00:00:02:00:00) Address: DEC-MOP-Remote-Console (ab:00:00:02:00:00) .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast) .... ..1. .... .... .... .... …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.