Настройка оборудования Cisco

Итак что нам понадобится: TC-SIP.JAR G3-TONES.XML их придется поискать и IOS с поддержкой SIP registar и наличием voice register global. Итак для примера регистрируем телефон cisco 7911 уже прошитый под SIP. кладем TC-SIP.JAR и G3-TONES.XML во флэш, и делаем их доступными по tftp tftp-server flash:TC-SIP.JAR alias Russian_Russian_Federation/tc-sip.jar tftp-server flash:G3-TONES.XML alias Russian_Federation/g3-tones.xml указываем что мы registar server voice service voip allow-connections h323 to sip allow-connections sip to h323 allow-connections sip to sip fax protocol cisco sip registrar server создадим класс кодеков voice class codec 1 codec preference 1 g711alaw codec preference 2 g711ulaw codec preference 3 g729r8 теперь собственно глобальные настройки регистрации voice register global mode cme source-address 192.168.175.39 port 5060 max-dn 10 max-pool 20 tftp-path flash: create profile network-locale RU user-locale RU теперь настройки относящиеся к конкретным но...

Итак предположим вам досталась Cisco ASA 5500 серии с лицензией K8. Вы с густью обнаружили что она не поддерживает ни 3DES ни AES... печально... Но не повод расстраиваться. Cisco не берет деньги за апгрейд на лицензию K9 - это бесплатная процедура. Что понадобиться - гостевая учетная запись на сайте Cisco.com (завести его можно за 10 минут), и терминальное подключение к ASA (telnet, ssh, console). Заходим на cisco ASA и вводим show version Ищем серийный номер. Заходим сюда: https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet?FormId=139 вводим серийный номер и заполняем поля. По e-mail получаем ключ. В терминале cisco ASA вводим: conf t activation-key и далее полученый ключ exit wr reload Все.

Итак вам понадобилось заблокировать на роутере какой нибудь сайт, например vkontakte.ru Понадобиться завести url фильтр ip inspect name VKONTAKTE http urlfilter alert on ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .vkontakte.ru ip urlfilter audit-trail В настройке наружного интерфейса ip inspect VKONTAKTE out Вот в принципе и все. Можно как альтернативу или дополнение использовать access-list и в нем указать запрещенные IP адреса, но их у vkontakte развелось много...

Вводим команду remote command module 2 show version видим примерно следующее: Cisco IOS Software, c6lc2 Software (c6lc2-SP-M), Version 12.2(33)SRD1, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Tue 24-Feb-09 23:14 by prod_rel_team ROM: System Bootstrap, Version 12.2(14r)S5, RELEASE SOFTWARE (fc1) DFC uptime is 0 minutes System returned to ROM by power-on Running default software Last reload type: Normal Reload cisco Catalyst 6000 (SB1121) processor with 1048576K bytes of memory. Processor board ID SALXXXXXXXX SB1121 Processor (Rev 32) SB-1 CPU at 400Mhz, Implementation 0x401, Rev 0.3 Last reset from power-on 123K bytes of non-volatile configuration memory. 16384K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x100

Ну наконец то! Наконец я это сделал! Опишу потом, пока конфиг version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname c2811 ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login default local aaa authentication login VPNUSERS local aaa authorization exec default local aaa authorization network VPNGROUP local ! aaa session-id common clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00 ! ! ip cef ! ! ip domain name local ip name-server 192.168.0.1 ! ! voice-card 0 no dspfarm ! ! ! ! ! ! ! ! ! ! ! ! ! crypto pki server CA_cisco issuer-name CN=powerc OU=enginers C=RU grant auto lifetime certificate 1 ! crypto pki trustpoint CA_cisco revocation-check crl rsakeypair CA_cisco ! crypto pki trustpoint CALOCAL enrollment url http://192.168.0.101:80 serial-number subject-name ou=enginers revocation-check crl rsakeypair VPN_remote ! ! ! crypto pki c...

Столкнулся с проблемой сильной загрузки процессора по прерываниям (постоянно около 20%). Несколько часов анализировал ситуацию. На маршрутизаторе всего одна таблица BGP full view, ничего за пределы TCAM не вылезает. Ну вроде бы все хорошо но процессор загружен. Оказалось виной всему icmp redirect. На одном из vlan было включено ip redirects. После выключения загрузка по прерываниям стала около 1%. Так как маршрутизатор не мой, и той сети я не знаю, включил обратно redirect но урезал на него производительность до 10000 пакетов в секунду командой mls rate-limit unicast ip icmp redirect 10000 . После этого загрузка по прерываниям упала до примерно 8%. Для тех кто не знает, суть в том что на маршрутизатор приходят пакеты которые должны быть направленны через другой маршрутизатор который доступен в том же сегменте сети, он пересылает пакет тому маршрутизатору и отвечает хосту ICMP пакетом - дескать не надо через меня давай впредь сразу через него.

Допустим у нас есть примитивный маршрутизатор от Cisco - скажем Cisco 1711 и мы решили его поставить в качестве офисного пограничного маршрутизатора. Итак что нам от него надо: 1 сервер DHCP 2 сервер DNS 3 NAT для выхода в интернет 4 ну и ssh для доступа на него админа. И так начнем с настройки интерфейсов: На Cisco 1711 встроенный модуль WIC-4ESW - это 4 порта FastEthernet 2 уровня - то есть по большому счету 4-х портовый коммутатор, соответственно портам нельзя задать IP адреса, поэтому создадим VLAN интерфейс: interface Vlan1  ip address 192.168.0.1 255.255.255.0  ip nat inside мы сразу указали что он nat inside. Теперь настроим интерфейс смотрящий к провайдеру: interface FastEthernet0  ip address xx.xx.xx.xx 255.255.255.252  ip nat outside Теперь создадим DHCP пул ip dhcp pool DPOOL  network 192.168.0.0 255.255.255.0  dns-server 192.168.0.1  default-router 192.168.0.1 Адреса будут раздаваться вида 192.168.0.xxx шлюзом и DNS будет наш маршрутизатор ...

Что надо прописать. Мы хотим WiFi точку доступа с wpa-psk и шифрованием TKIP. Аутентификация будет локальная (без радиуса). Итак, что нам надо: На Cisco в режиме конфигурирования, поднимем FastEthernet 0 и допустим пропишим получение IP адреса по DHCP ip address dhcp Включим интерфейс в бридж-группу bridge-group 1 . На интерфейсе Dot11Radio0 тоже нужно прописать бридж-группу bridge-group 1 , также надо прописать режим работы - точка доступа а не мост - "station-role root ap-only", там же прописываем метод шифрования "encryption mode ciphers tkip". Тут же надо прописать ssid, но для этого нам его надо подготовить. В глобальной конфигурации создаем ssid с параметрами: dot11 ssid mzf  authentication open  authentication key-management wpa  guest-mode "показывать ssid"  wpa-psk ascii и тут пароль какой нужен Собственно теперь на интерфейсе пропишем этот ssid и все! interface Dot11Radio0 ssid mzf Итак, ключевые моменты которые надо не забыть! 1. bridge-group 2....