Questions tagged «cisco-ios»

在一个标准的静态PAT配置中，一个IP：端口组合始终映射到另一IP：Port组合，可以配置内部/外部/源/目标的三种可能的组合。 例如，这是一个配置示例： ip nat inside source static tcp 10.0.20.13 8080 2.2.2.33 80 ^^^^^^^^^^^^^ 用外行的话来说，此配置允许任何外部主机通过端口80发起到IP 2.2.2.33的TCP连接。当此数据包到达路由器时，目标IP地址和端口（2.2.2.33:80）将转换为10.0.20.13:8080。 如果内部主机10.0.20.13发送的TCP数据包的源端口为8080，则此情况也会发生相反的情况，因为该数据包穿过路由器时，源IP和端口（10.0.20.13:8080）会转换为2.2.2.33:80。（这通常是一个响应包，而不是从内部主机发起的响应包） 这是上面标记部分的所有三个配置选项： Router(config)#ip nat inside ? destination Destination address translation source Source address translation Router(config)#ip nat outside ? source Source address translation 实际上，您可以配置： 源静态TCP中的ip nat {IP} {端口} {IP} {端口} ip nat 在目标静态TCP 内部 {IP} {端口} …

10 cisco  router  nat  cisco-ios  cisco-commands 

Facebook的IPv6地址方案非常聪明，但是让我想到了ACL，是否有可能编写与之匹配的Cisco IOS IPv6 ACL？在IPv4中，您可以匹配一个中间的八位位组，例如10.xxx.10.xxx，以便用“忽略”命中任何“ x”。我认为这在IPv6中是不可能的，至少从IOS 15.1起是不可行的。 在我的示例中，由于Facebook很聪明，因此可以轻松地在FACE：B00C上进行匹配。这样就简化了，因为无需查找分配的块，我就可以在该范围内进行匹配。 2A03：2880：F000：[0000-FFFF]：FACE：B00C :: / 96 显而易见的正常方法是在2A03：2880：F000 :: // 48上进行匹配，但是不幸的是，我不确定FB是否具有较大范围（可能确实如此）。因此，在这种特殊情况下，如果我可以仅在FACE：B00C部分进行匹配，则可以匹配他们正在使用的所有内容，假设它们不会继续前进到FACE：B00D 由于无法在IOS for和IPv6 ACL中输入通配符掩码，因此我认为您无法执行此操作，但是我很好奇是否有人有一个有趣的解决方法。我认为了解这一点将很有用，因为在某些时候，我可能仅由于DDoS或激进的流量而需要过滤一个子块，而又不想为某个大型提供程序阻塞整个/ 32。 另外，这可能允许基于策略的流量重定向或优先级。如果我发现广告位于不同的块中，则可以对它们进行QoS调整，例如，对于低带宽，拥塞的卫星链路来说，这是一个不错的功能。 编辑：澄清一下。在某些情况下，我需要阻止或允许大范围内的某些范围（例如/ 32）。这些可能会有些连续，而不是数百个条目，通配符可能会匹配其中的大部分。这也可以按我可以路由所有10.x.10.0块的方式用于流量工程，其中如果x为奇数，则它沿一条路线进行运动，甚至经过另一条路线。 另一个示例是DDoS，其中使用拼写黑客的组名的模式来欺骗IPv6源IP。这将至少发生一次，能够对其进行过滤将是一件很不错的事情。 紧凑的ACL更干净，但并不总是更易于管理。这些东西可能是好主意或坏主意/做法，在这里并不是要争辩，只是试图掌握我拥有的工具与可能要创造的工具。

9 security  ipv6  cisco-ios  acl 

我知道能够显示分配给cisco交换机上的接口的访问VLAN。如何具体显示为接口分配的语音VLAN？ #show run int fa1/47 interface FastEthernet1/47 description Data&Voice switchport access vlan 1 switchport mode access switchport voice vlan 2 end #show int status module 1 | in Fa1/47 Port Name Status Vlan Duplex Speed Type Fa1/47 Data&Voice notconnect 1 full 100 10/100BaseTX show interface status命令仅显示访问VLAN，不显示语音VLAN。对命令有何建议，以专门显示分配给交换机端口的语音VLAN，而无需使用过多的正则表达式或查找正在运行的配置？

9 cisco  vlan  cisco-ios  voice 

我将在数百个Cisco VG224上升级IOS，以准备CUCM升级。 我正在尝试尽可能简化/自动化此过程，当前我的主要问题是IOS退回copy命令的“确认”提示。例如： GW-TEST#copy scp://USER:PASSWORD@SERVER//path/path/vg224-i6k9s-mz.151-4.M7.bin slot0:vg224-i6k9s-mz.151-4.M7.bin Destination filename [vg224-i6k9s-mz.151-4.M7.bin]? Translating "SERVER"...domain server (192.168.101.2) [OK] Sending file modes: C0644 28935060 vg224-i6k9s-mz.151-4.M7.bin !!! ::SNIP:: !!!! 28935060 bytes copied in 501.532 secs (57693 bytes/sec) GW-TEST# 我发现适当的语法使设备不会每次都提示我输入用户名或密码。 但是现在，无论我做什么，它仍然提示我确认Destination filename [vg224-i6k9s-mz.151-4.M7.bin]。 有没有办法停止这种行为？

9 cisco  cisco-ios 

我们最近从思科购买了一些新的AP3602E。 我试图了解为什么当我们向AP发送足够的功率时，此AP无法打开无线电。我正在使用来自交换机的嵌入式电源，但是AP接通电源后，它将发送%CDP_PD-2-POWER_LOW: All radios disabled到控制台。AP上的LED闪烁绿色。 拓扑结构： +---------------+ Gi1/0/1 Gi0/1 +-----------+ | AP_Test | | | | Cat2960S |-----------------| AP3602E | | | | | +---------------+ +-----------+ <------- cdp Req 13000mW power inline 13000mW -------> AP正在运行12.4（25e）JAL1a rcvk9w8接收图像。 2960S正在运行12.2（55）SE7。 问题：如何使此AP打开无线电？ 其他输出... debug cdp ilp... AP0006.6566.a57b#debug cdp ilp *May 8 00:11:54.391: CDP-ILP: sent …

9 cisco  wireless  ethernet  cisco-ios  power-over-ethernet 

我怀疑在24x7环境中运行的3750堆栈上错误的QoS设置会引起一些问题。3750主要在局域网网段的VLAN之间路由。由于它是局域网设备（不终止任何广域网链路），因此我想全局禁用QoS（no mls qos），因此我更喜欢仅在广域网链路上运行QoS。 我将在非高峰时间进行此操作，但想了解这将对中继和访问链接造成什么影响？会造成干扰吗？是否清除任何自定义QoS设置，还是保留但忽略了这些设置？不能找到结论性的答案。

9 cisco  qos  cisco-ios 

配置IOS 12.4（25f）以支持IPv6的必要步骤是什么？Comcast是ISP，我将使用Server 2012盒作为内部DHCPv6。 我需要从Comcast获取DHCPv6地址作为外部接口。 到目前为止，在我的外部接口上，我有： ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 对于“ al”访问列表，我有： permit udp any any eq 546

9 cisco  ipv6  cisco-ios 

每当使用AAA / TACACS +登录网络设备时，如果我在用户名提示后加了密码提示，即使密码正确，第二个密码提示也总是失败。我必须再次等待用户名提示，并且必须紧随其后的第一个密码提示中输入正确的密码。换句话说，每当我看到第二个密码提示时，它将不起作用。 请参阅下面的经过清理的交互和配置。 用户访问验证 用户名：用户名 密码： 密码：（此处总是失败） ％ 拒绝访问 用户访问验证 用户名：用户名 密码： 在第1行（站点名称）上连接到s-site-rack-agg2.example.net。 s-site-rack-agg2＃ 使用第二个密码提示来解决此问题可能有什么不同？ 我拥有的典型AAA和相关配置为： aaa新模型 aaa身份验证登录默认组tacacs +本地线路 aaa身份验证登录控制台无 aaa身份验证启用默认组tacacs +启用 aaa授权执行程序默认组tacacs +本地if-authenticated aaa授权命令1个默认组tacacs +本地if-authenticated aaa授权命令7个默认组tacacs +本地if-authenticated aaa授权命令15个默认组tacacs +本地if-authenticated aaa会计执行官默认启动-停止组tacacs + aaa accounting命令0缺省启动-停止组tacacs + aaa accounting命令1个默认的启停组tacacs + aaa记帐命令7默认的启停组tacacs + aaa记帐命令15个默认的启停组tacacs + aaa会计系统默认的起止组tacacs + ！ ip tacacs源接口Loopback0 tacacs服务器主机-prmiaryipremoved-单连接 …

9 cisco  cisco-ios  aaa 

为什么“ show adjacency”命令在Cisco IOS软件，7200软件（C7200P-SPSERVICESK9-M），版本12.4（4）XD5，发行软件（fc1）上运行需要这么长时间（以分钟为单位）？ 该路由器是运行BGP的Internet边缘路由器吗？地址后面的“（5）”，“（10003）”或“（75845）”是什么意思？它似乎主要枚举直接连接的/ 23网络上的地址。CPU <2％，并且内存似乎不是造成此问题的原因。 r-x-y-edge1#sh adjacency Protocol Interface Address IP GigabitEthernet0/2 x.67.155.9(5) IP GigabitEthernet0/2 x.67.155.8(5) IP GigabitEthernet0/2 x.67.155.11(5) IP GigabitEthernet0/2 x.67.155.10(5) IP GigabitEthernet0/2 x.67.155.13(5) IP GigabitEthernet0/2 x.67.155.12(5) IP GigabitEthernet0/2 x.67.155.15(5) IP GigabitEthernet0/3 172.31.4.130(10003) IP Serial1/0 point2point(75845) ... <truncated> CPU utilization for five seconds: 2%/1%; one minute: 3%; …

9 cisco  cisco-ios  cisco-commands  cef 

在Cisco网站上查看可用的下载时，它们具有文件的常规版本和NO PAYLOAD ENCRYPTION版本。有什么区别？为什么一个人选择另一个？

9 cisco  cisco-ios-15  cisco-ios 

执行数据包捕获时，我不断看到奇怪的“ DEC MOP远程控制台”帧： No. Time Source Destination Protocol Info 141 83.557841 Cisco_57:62:a0 DEC-MOP-Remote-Console 0x6002 DEC DNA Remote Console Ethernet II, Src: Cisco_57:62:a0 (00:0d:bc:57:62:a0), Dst: DEC-MOP-Remote-Console (ab:00:00:02:00:00) Destination: DEC-MOP-Remote-Console (ab:00:00:02:00:00) Address: DEC-MOP-Remote-Console (ab:00:00:02:00:00) .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast) .... ..1. .... .... .... .... …

9 cisco  cisco-ios