|
|
=========================================================== 5.1>Q: Как зажать исходящий ftp-трафик ? >A: (Vasily Ivanov) Для Active-FTP access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023 Для Passive-FTP access-list 115 permit tcp host 123.123.123.123 any eq ftp 5.2>Q: Как сделать traffic-shape на tun ? >A: (DY) Вот завалялся кусок рабочего конфига от 4000. interface Tunnel1 ip address xxx.xxx.xxx.xxx 255.255.255.252 tunnel source aaa.aaa.aaa.aaa tunnel destination bbb.bbb.bbb.bbb ! interface Ethernet0 ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary traffic-shape group 122 32000 8000 8000 1000 ! no access-list 122 access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb access-list 122 deny ip any any P.S. Vyacheslav Furist Помоему лучше было бы access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb 5.3>Q: Как зажать входящий трафик? >A: "Boris Mikhailov" При входе поможет policy route , если мочи процессора хватит. Еще добавлю что до 11.2(где-то 12~13) traffic-shap криво затыкается и не шейпит (очень частый вопрос был раньше). access-list 180 описывает тpаффик, котоpый надо шейпить interface Loopback1 ip address 192.168.11.1 255.255.255.255 traffic-shape rate 64000 ! interface Serial0 ip policy route -map incoming-packets ! access-list 180 permit ip any 192.168.1.0 0.0.0.255 ! route -map incoming-packets permit 10 match ip address 180 set interface Loopback1 =========================================================== 6. Routing =========================================================== 6.1>Q: Есть две Cisco 2511, которые должны соединятся двумя линками, один через serial, второй через async, оба линка по выделенках. В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую линию. То есть надо, что бы бакап поднимался только тогда когда ОБА линка пропадут. >A: (Vasily Ivanov) ip route <адpес куда надо попасть> <маска> <адpес на коммутиpуемом int.> 216 Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы. 6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом на Ethernet ppp-линки с маской /32, а не аггрегатировала их в подсеть. >A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky route r rip version 2 ! просто полезно redistribute static subnets no auto-summary ! Тоже не помешает redistribute connected subnets 6.3>Q: OSPF, RIP >A: (Alex Bakhtin) route r ospf 10 redistribute connected metric 1 subnets route -map only_public_net redistribute static metric 1 subnets route -map only_public_net redistribute rip network 194.186.108.0 0.0.0.63 area 0 ! route r rip version 2 redistribute connected route -map only_public_net redistribute static route -map ony_public_net redistribute ospf 10 metric 4 redistribute ospf 200 metric 4 network 194.186.108.0 neighbor 194.186.108.10 neighbor 194.186.108.138 ! Разумеется, стоит ip classless и ip subnet-zero. 6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера) то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться. Почему это и как от этого избавиться. >A: (Basil (Vasily) Dolmatov) У провайдера стоит route на весь ваш класс C. В следующей (вашей) Cisco прописаны только route s, которые она выяснила из адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное роутится по default route , то есть на провайдера . Как этого избежать? В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной командой: int Null0 ip unreachables
|