Настройка оборудования Cisco

Появилась следующая задача: Люди подключаются по VPN к центральному узлу, и работают между собой. Но тут возникло желание, чтоб они все, выходили в Interet не локально а через центральный узел. В принципе все тривиально, но надо помнить, если у вас crypto map на outside интерфейсе, то чтоб клиенты из сети скажем 192.168.15.0/24 имели доступ в интернет через тот же outside требуется NAT с outside на outside типа такого object network USERS_0  subnet 192.168.15.0 255.255.255.0  nat (outside,outside) dynamic interface

Друзья! Решил поучаствовать в конкурсе Cisco I-Prize, со своим проектом прибора фототерапии для новорожденных с уникальным функционалом. Поддержите меня пожалуйста голосами! https://iprize.brightidea.com/ct/ct_a_view_idea.bix?c=06F4177D-D430-4A65-8F44-1AD2DBD1D835&idea_id=0AD14970-9CAD-43D3-A220-4B1B517F6F9C#comments И идея в области Li-Fi https://iprize.brightidea.com/ct/ct_a_view_idea.bix?c=06F4177D-D430-4A65-8F44-1AD2DBD1D835&idea_id=7D3599F8-FA74-413E-995E-AC5C668D8447

Хожу, слушаю... Упор на виртуализованые сервисы

В Native Configuration Manager ввести команду: display system-parameters customer-options  В табличке Option Feature видим SID

Типичная ситуация, у вас есть туннель, но при этом сотрудники бродят по интернету, качают файлы, и т.д. При этом связь с филиалом по VPN начинает тормозить. Чтоб такого не происходило, нам нужно сделать трафик в туннеле приоритетным. Все сказанное здесь, я тестировал на ASA5505 с ОС 8.4.4. Включаем приоритетную очередь на исходящем интерфейсе: priority-queue outside Нам потребуется классифицировать трафик, создаем список доступа: access-list TCP_NON_IPSEC extended permit tcp any any И класс мапы: class-map TCP_NON_IPSEC_MAP  match access-list TCP_NON_IPSEC А сюда попадает все что идет через  tunnel-group xx.xx.xx.xx class-map TCP_IPSEC_MAP  match tunnel-group xx.xx.xx.xx Теперь создаем полиси мап: policy-map QoS_MAP  class TCP_IPSEC_MAP   priority  class TCP_NON_IPSEC_MAP   police input 10000000 10000000 Тут мы ограничиваем входящую скорость до 10Mbps Включаем ее на исходящем интерфейсе: service-policy QoS_MAP i...

Если вы хотите скопировать образ ПО с flash на TFTP сервер расположенный в удаленной подсети, доступной через туннель, то нужно вводить следующую строку: copy flash:asa844-1-k8.bin tftp://192.168.20.6/asa844-1-k8.bin;int=inside где int=inside указание что интерфейс-источник будет интерфейс с nameif inside

Через VPN не доступен SSH на внутренний интерфейс. Я уже описывал как делается выключение NAT для удаленной подсети пример: nat (inside,outside) source static LOCALLAN LOCALLAN destination static LAN_13 LAN_13 надо переписать так: nat (inside,outside) source static LOCALLAN LOCALLAN destination static LAN_13 LAN_13 route-lookup

Требуется создать список доступа: access-list NETFLOW extended permit ip any any Добавить параметры: flow-export destination inside2 9996 flow-export template timeout-rate 1 flow-export delay flow-create 10 Класс мап: class-map NETFLOW_TRAFFIC  match access-list NETFLOW В существующую global policy map добавить: class NETFLOW_TRAFFIC   flow-export event-type all destination

Ну что сказать - только одно - мне не нравится :-) Например хочу посмотреть с каким IP адресом какой extantion связан - а никак (ну или я не нашел). Приходится выводить по каждой станции (телефону)  status station "extantion" и листать до четвертой страницы

Столкнулся с аппаратной проблемой с некоторыми коммутаторами WS-C3750G-16TD-E или S. Суть проблемы в том, что коммутатор самопроизвольно перезагружается. А у меня, к тому же, он в конце концов вообще перестал стартовать. Выяснилось что есть целая партия таких проблемных коммутаторов. Их материнская плата имеет парт-номер 73-9143-05 . Мною, была изучена проблема, она расплывчато описана в документе Field Notice: FN - 62042 - WS-C3750G-16TD-E/-S: Hardware Failure, System Reboots, Lose Network Connectivity - Replacement Required Посмотреть какая у вас материнская плата можно командой show version | include number Пример ее вывода: C3750G-16TD#show version | include number Motherboard assembly number : 73-9143-05 Power supply part number : 341-0045-01 Motherboard serial number : CAT082307DN Power supply serial number : LIT081801JU Model revision number : A0 Motherboard revision number : A0 Model number : WS-C3750G-16TD-S System serial number : CSG0824P07Y После тог...

Дорогие читатели! Я планирую, до конца года перенести блог на свой сервер. Данную работу буду проводить в рамках лечения от гуглозависимости. К тому же, скорее всего, свой блог объединю с рабочим сайтом www.powerc.ru и сделаю его как часть портала компании. В будущем, в планы входит создать собственный узел, находящийся в России, где будет аккумулироваться информация о сетевых технологиях.

Столкнулся с аппаратной проблемой с некоторыми коммутаторами WS-C3750G-16TD-E или S. Суть проблемы в том, что коммутатор самопроизвольно перезагружается. А у меня, к тому же, он в конце концов вообще перестал стартовать. Выяснилось что есть целая партия таких проблемных коммутаторов. Их материнская плата имеет парт-номер 73-9143-05 . Мною, естественно была изучена проблема, она расплывчато описана в документе Field Notice: FN - 62042 - WS-C3750G-16TD-E/-S: Hardware Failure, System Reboots, Lose Network Connectivity - Replacement Required Посмотреть какая у вас материнская плата можно командой   show version | include number Пример ее вывода: C3750G-16TD#show version | include number Motherboard assembly number : 73-9143-05 Power supply part number : 341-0045-01 Motherboard serial number : CAT082307DN Power supply serial number : LIT081801JU Model revision number : A0 Motherboard revision number : A0 Model number : WS-C3750G-16TD-S System serial numb...

Если требуется чтоб пользователь, мог попасть только в одну туннельную группу (на примере Cisco ASA с софтом 8.4), надо прописать ему атрибут group-lock value и туннельную группу. Например: username Test attributes   group-lock value ANY_TG1

1. Отключаем Ethernet кабель 2. Зажимаем кнопку (она там одна, справа от кабелей) 3. Подключаем консольный кабель 4. Подключаем AC-DC адаптер Теперь не отпуская кнопки ждем когда на консоли появится примерно следующее: Initializing ethernet port 0... Reset ethernet port 0... Reset done! link auto-negotiating....  auto-negotiation takes 10000 milli-seconds to complete ERROR: timeout waiting for auto-negotiation to complete  ERROR: fail to bring ethernet link up The system has been encountered an error initializing ethernet port. You may need to check hardware The system is ignoring the error and continuing boot. If you interrupt the system boot process, the following commands will reinitialize ethernet, tftp, and finish loading the operating system software:     ether_init     tftp_init     boot button is pressed, wait for button to be released... Тут мы должны отпустить кнопку, и далее увидим button pressed for 55 sec...

Довольно часто, возникает необходимость в резервном канале связи. Иногда удобно использовать сотовые сети. Для этого в маршрутизатор Cisco надо установить 3G модуль, например HWIC-3G-GSM. Расскажу о том как его настроить для работы с МТС. Итак, для начала надо ему прописать профиль: cellular 0/3/0 gsm profile create 1 internwt.mts.ru chap mts mts Он прописывается без входа в режим конфигурации! и храниться он непосредственно в 3G модеме а не в файле конфигурации маршрутизатора. Затем входим в режим конфигурации маршрутизатора: conf t И создаем список доступа, какие IP адреса смогут получить доступ к сети через 3G access-list 1 permit 192.168.57.0 0.0.0.255 В данном случае, наша внутренняя сеть 192.168.57.0/24 Далее нужен dialer-list: dialer-list 1 protocol ip list 1 Теперь chat script: chat-script MTS "" "ATDT*99*1#" TIMEOUT 30 CONNECT Настройки интерфейса: interface Cellular0/3/0  ip address negotiated  ip nat outside  ip virtual-reassembl...

Имеем: Медная, городская телефонная линия (ну или линия от мини АТС) и модуль VIC2-4FXO. Мы хотим, чтоб звонок, приходящий на линии этого модуля, уходил на IP телефон (или куда нибудь в другое место). Для этого нужно указать тип соединения - PLAR суть его в том, что при приходе вызова, модуль будет автоматический "снимать трубку" и "набирать" указанный номер, чтоб переадресовать вызов. Ниже приведен пример, тут указан номер 400 (voice-port 0/2/0 Это FXO !) . voice-port 0/2/0  cptone RU  connection plar 400 Номер 400 присвоен FXS порту: dial-peer voice 1 pots  destination-pattern 400  port 0/3/0 При звонке на городской номер, будет звонить телефон, подключенный к FXS порту 0/3/0 IP телефона у меня под рукой не было  но разницы нет никакой.

В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...

В некоторых коммутаторах и маршрутизаторах Cisco, существует команда: service unsupported-transceiver После ее ввода видим следующее: Switch(config)#service unsupported-transceiver  Warning: When Cisco determines that a fault or defect can be traced to the use of third-party transceivers installed by a customer or reseller, then, at Cisco's discretion, Cisco may withhold support under warranty or a Cisco support program. In the course of providing support for a Cisco networking product Cisco may require that the end user install Cisco transceivers if Cisco determines that removing third-party parts will assist Cisco in diagnosing the cause of a support issue. Зато работают не оригинальные оптические модули - например Moxa

Figure 4. IOS Packaging Model for 1900, 2900 and 3900 Series Integrated Services Routers

Странный у нас мир. На  http://www.kickstarter.com/  недавно появился проект игровой консоли. Разработчики хотели собрать 950 тысяч долларов за 30 дней. В итоге, эту сумму, они собрали за 8 часов. А на сбор средств на лечение больного ребенка, суммой в 30 тысяч долларов, уходит обычно не один месяц... Неужели поиграть пару месяцев в игрушки на приставке и потом забросить ее в дальний угол, для людей стало важнее жизни маленького человека, у которого еще вся жизнь впереди?

Провел небольшой редизайн блога, расставил приоритеты так сказать :-)

Недавно один человек спросил как можно сделать так, чтоб пользователи одного из VLAN на коммутаторе, получали доступ в интернет от одного провайдера, а пользователи другого VLAN от другого, при этом маршрутизатор с коммутатором соединены отдельным сегментом. На коммутаторе есть три VLAN: VLAN1 - 192.168.1.0/24 - Сеть компьютеров 1 VLAN2 - 192.168.2.0/24 - Сеть компьютеров 2 VLAN3 - 192.168.33.0/30 - Сеть маршрутизатора и коммутатора Интерфейсы на коммутаторе: VLAN1 - 192.168.1.1/24 он же шлюз для сети 1 VLAN2 - 192.168.2.1/24 он же шлюз для сети 2 VLAN3 - 192.168.33.2/30 И маршрут по умолчанию на маршрутизатор (192.168.33.1) Интерфейсы и сети на маршрутизаторе: interface GigabitEthernet0/1  ip address 192.168.33.1 255.255.255.252  ip nat inside  ip policy route-map VLANWEB подключен к порту коммутатора (на коммутаторе этот порт - порт доступа VLAN3) И два субинтерфейса на интерфейсе GigabitEthernet0/0 - внешние интерфейсы (у м...

Для создания единого WiFI пространства, иногда одной точки доступа не достаточно. Тогда приходится либо использовать Wireless Controller либо технологию WDS, ее мы и опишем. Итак настраиваем одну точку как WDS, остальные как AP. Начнем с первой. Сначала настроим авторизацию и аутентификацию: aaa new-model aaa authentication login default local aaa authentication login wds_server group wds_server aaa authorization exec default local Далее нам нужен радиус сервер, чтоб авторизовать точки. Можно использовать как внешний так и локальный сервер. Мы будем использовать локальный, на главной точке. radius-server local   nas 192.168.0.15 key ciscoaironet  <- тут мы указываем IP на BVI интерфейсе   user cisco password cisco ip radius source-interface BVI1 radius-server host 192.168.0.15 auth-port 1812 acct-port 1813 key  ciscoaironet Теперь опишем авторизацию группы wds_server aaa group server radius wds_server  server 192.168.00....

Практически на любом оборудовании Cisco есть такой сервис как Kron, благодаря чему, мы можем создать задание выполняющееся по расписанию. Чтоб сохранить конфигурацию на TFTP создадим задание и расписание для него: kron policy-list SAVECFG  cli sh running-config | redirect tftp://192.168.1.1/switch1.config kron occurrence Backup at 23:00 recurring  policy-list SAVECFG Вот собственно и все.

Если хочется посмотреть настройки только интерфейса или VLAN'а, можно использовать команду: show running-config interface Например sh run interface gigabitEthernet 0/1 Так же, можно посмотреть конфигурацию какого нибудь, одного VLAN show running-config vlan sh run vlan 1

CBAC -  Context Based Access List технология инспектирующая сеансы связи и создающая временные разрешения во входном списке доступа. Суть в следующем: На внешний интерфейс вешается список доступа запрещающий все на вход При инициализации содинения изнутри наружу, во входном списке доступа, временно создается правило, разрешающее входящие пакеты, предназначенные для этого соединения. Теперь собственно к делу. Создаем список протоколов, которые подвергнутся инспекции, можно например сделать только www и т.д. или полностью tcp. Для примера приведен список с tcp, udp и icmp ip inspect name FIREWALL tcp ip inspect name FIREWALL udp ip inspect name FIREWALL icmp Теперь нам нужен запрещающий список доступа, но не забываем разрешить например ssh, иначе снаружи не попадем на маршрутизатор. ip access-list extended FIREWALL_ACL  permit object-group IPSEC_VPN_OGS any any  permit tcp any any eq 22  permit icmp any any  deny   ip any a...

Чтобы в конфигурационном файле, пароли не лежали в открытом виде, требуется включить их шифрование: service password-encryption А чтобы зашифровать pre-shared ключи, требуется ввести: key config-key password-encrypt password encryption aes  

Для предотвращения атак на все что внутри вашей сети и на сам маршрутизатор, неплохо включить списки доступа на внешнем интерфейсе Cisco. Вот примерный шаблон: Список на вход: ip access-list extended GLOBAL_ACL_IN  deny   ip host 92.4.155.148 any log Hackers_IP  deny   ip host 109.230.246.53 any log Hackers_IP  deny   ip host 65.182.110.230 any log Hackers_IP  deny   ip host 175.208.161.80 any log Hackers_IP  deny   ip host 108.171.179.137 any log Hackers_IP  deny   ip host 115.170.65.64 any log Hackers_IP  deny   ip host 199.195.212.30 any log Hackers_IP  deny   ip host 95.211.37.229 any log Hackers_IP  deny   ip host 88.249.123.221 any log Hackers_IP  deny   ip host 85.105.182.240 any log Hackers_IP  deny   ip host 115.168.71.84 any log Hackers_IP  deny   ip host 122.116.192.196 any log Hackers_IP  deny   ip host 190.247.207.25 any log ...

чтобы в логах на Cisco было корректное время, нужно ввести следующую строку service timestamps log datetime localtime Ну и заодно в режиме отладки service timestamps debug datetime localtime

Недавно у меня возникла задача, на коммутаторе Catalyst 6500 отфильтровать трафик с многочисленных VLAN в один важный VLAN. На коммутаторе, на каждый VLAN был свой SVI интерфейс. Немного подумав, было решено использовать VACL. Нужен один разрешающий лист access-list 12 permit 10.0.1.1 access-list 12 permit 10.0.1.2 access-list 12 permit 192.168.0.0 0.0.0.255 access-list 12 deny   any и еще вот такой access-list 13 permit any Теперь создаем карту доступа vlan access-map VACL_10 10  match ip address 12  action forward vlan access-map VACL_10 20  match ip address 13  action drop И включаем фильтрацию на нужном нам VLAN'е (можно указывать сразу несколько VLAN) vlan filter VACL_10 vlan-list  10 В итоге, трафик с хостов  10.0.1.1 и  10.0.1.1 и со всей сети  192.168.0.0/24 будет проходить в VLAN 10, а весь остальной трафик, не будет проходить в наш десятый VLAN.

license modify priority SSL_VPN high

Допустим у вас возникла необходимость сделать доступ к внутреннему FTP снаружи. Вам понадобится добавить в конфиг следующее: object network obj_FTP  host 192.168.0.4 <- Тут внутренний адрес вашего FTP   nat (inside,outside) static interface service tcp ftp ftp policy-map global_policy  class inspection_default   inspect ftp Все, теперь ваш FTP доступен по вашему внешнему IP

Итак начнем банить IP с которых идут атаки: 58.215.239.30 - Это Китай 50.115.168.80 - Это США 92.4.155.148 - Англия

Создаем правила для безопасности. 1. Делаем блокировку доступа с определенного IP на один час, при 5 неудачных попытках в течении 1 минуты login block-for 3600 attempts 5 within 60 2. Включаем 10 секундную задержку, после ввода пароля login delay 10 3. Включаем логгирование попыток получения доступа login on-failure  login on-success 4. Переносим порт SSH на какой нибудь другой (к примеру 2233) ip ssh port 2233 rotary 1  ip access-list extended SSHACL permit tcp any any eq 2233 line vty 0 15  access-class SSHACL in   rotary 1  transport input ssh 5. Теперь ночью спим спокойно.

Суть вопроса: При удаленном доступе через outside интерфейс, вы можете пинговать хосты за интерфейсом inside, а вот сам интерфейс не можете, как и попасть на него по SSH/ASDM Чтоб такого не происходило, надо прописать management-access inside

Тестирую AnyConnect на ASA5505 Скоро опишу как это настраивать

Проверено на ASA5505 8.4 Суть в том что простая и понятная команда nat(inside) 0 ну и дальше что выключаем, пропала. Теперь надо использовать странно-непонятную группу команд: Первое, описываем сеть с которой уходит трафик, например сеть 172.16.4.0/24 object network NET_INSIDE subnet 172.16.4.0 255.255.255.0 теперь опишем сеть на которую уходит трафик, например сеть 192.168.77.0/24 object network NET_VPN subnet 192.168.77.0 255.255.255.0 А теперь волшебная команда nat (inside,outside) source static NET_INSIDE NET_INSIDE destination static NET_VPN NET_VPN

Включаем в список доступа NONATACL (адреса которые не надо натить) адреса клиентов access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.20.0 255.255.255.0 Создаем список доступа для расщепленного роутинга (чтоб интернет был локальный) access-list SPLITACL standard permit 192.168.1.0 255.255.255.0 Создаем пул адресов для клиентов ip local pool VPN_RA_POOL 192.168.20.2-192.168.20.10 mask 255.255.255.0 Опишем вторую фазу crypto ipsec transform-set DTSET esp-3des esp-md5-hmac Создаем динамическую крипто карту crypto dynamic-map DMAP 10 set transform-set DTSET crypto dynamic-map DMAP 10 set reverse-route Подключем ее к существующей статической карте crypto map SMAP 100 ipsec-isakmp dynamic DMAP Опишем групповую политику group-policy REMACCESS_P internal group-policy REMACCESS_P attributes vpn-tunnel-protocol IPSec password-storage enable split-tunnel-policy tunnelspecified split-tunnel-network-list value SPLITACL Теперь создадим тунельную группу tunnel-group REMACCE...

Итак, есть две сети, предположим 192.168.1.0/24 и 192.168.2.0/24 ASA1: Внешний (якобы) IP 10.10.10.1 Сеть 192.168.1.0/24 ASA2 Внешний (якобы) IP 10.20.20.1 Сеть 192.168.2.0/24 Начнем: создадим список доступа для запрета NAT и собственно запретим NAT access-list NONATACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 Создадим список доступа для VPN access-list VPNACL extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 Теперь опишем крипто карту и параметры фазы 1 и фазы 2 Первая фаза crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group 2 lifetime 86400 Вторая фаза crypto ipsec transform-set TSET esp-3des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto map SMAP 10 match address VPNACL crypto map SMAP 10 set peer 10.20.20.1 crypto map SMAP 10 set transform-set TSET crypto map SMAP 20 set pfs group2 Теперь создадим туннельную г...