Настройка оборудования Cisco

Дорогие друзья! С Наступающим Новым Годом! Желаю чтобы следующий год был счастливым для всех нас! Удачи вам!

При попытке создать соединение с сервером, получаем ошибку "Date Separator" Идем в папку куда установлена программа - например  C:\Program Files\Avaya\Site Administration\bin И удаляем файл uxtheme.dll

Если у вас есть ASA и вы хотите пересылать сообщения на syslog сервер через туннель, то требуется использовать нечто похожее на это: anagement-access inside logging enable logging console warnings logging trap warnings logging asdm informational logging host inside 192.168.1.100 Не смотря на то, что ктото утверждал что нужно указывать logging host outside так как якобы, тут мы указываем только где расположен сервер, а не адрес источника. Тем не менее у меня так не заработало. А так как приведено выше, все успешно работает.

Сразу хочу отметить - если экспорт производится через VPN либо используется QoS - не забудьте, в flow exporter ввести команду  output-features. Итак нам нужен экспортер, монитор, ну и включить его на интерфейсах (это минимум). Экспортер: flow exporter FEEX_TO_L  destination 192.168.1.20 -- адрес коллектора  source Port-channel1.10  -- интерфейс с которого слать пакеты  output-features     -- уже писал выше  transport udp 9996 -- порт на который слать пакеты    template data timeout 60  Монитор: flow monitor FMON_RTR01  record netflow ipv4 original-input  exporter FEEX_TO_L -- экспортер  cache timeout active 60 Ну и на интерфейсе: ip flow monitor FMON_RTR01 input

Сначала сделаем ACL с указанием с каких машин/сетей, разрешен доступ по SNMP например: access-list 3 permit 192.168.1.0 0.0.0.255 Затем создаем view и можем указать какие MIB будут доступны snmp-server view READ iso included Создаем группу, в данном случае разрешается только чтение с сети 192.168.1.0/24 snmp-server group SNMP_G v3 priv read READ access 3 Создаем пользователя, который входит в выше описанную группу: snmp-server user SNMP_U SNMP_G v3 auth sha Cisco priv des Systems Красным отмечены пароли. Ну и укажем, кто будет получать SNMP traps: snmp-server host 192.168.1.3 version 3 auth  SNMP_U 

Как нам хорошо известно, на маршрутизаторах с IOS, можно создать монитор и слать пинги в туннель, надо только указать интерфейс - источник - внутренний интерфейс. Но на Cisco ASA хоть это и можно сделать, но почемуто не работает. Вообщем самый простой способ - прописать ntp server <узел за туннелем> sourse inside Причем в принципе не важно есть там NTP сервер, или его там нет. Главное, что UDP пакет будет послан в туннель, что и инициирует его создание, в случае если он не создан.

Чтобы полностью удалить ACL нужно использовать команду: clear configure access-list <имя списка>

Добрый день. Сегодня опишу как создавать списки доступа с использованием объектов. Это делает ACL более читаемым и его удобнее редактировать. Итак, предположим у нас есть ACL: ip access-list extended FACL  permit tcp host 10.1.1.5 host 10.2.1.1 eq 22  permit tcp host 10.1.1.5 host 10.2.1.1 eq 80  permit tcp host 10.1.1.5 host 10.2.1.1 eq 3306  permit tcp host 10.1.8.1 host 10.2.1.1 eq 22  permit tcp host 10.1.8.1 host 10.2.1.1 eq 80  permit tcp host 10.1.8.1 host 10.2.1.1 eq 3306  deny   ip any any Создадим группы: сервисная: object-group service PGROUP  tcp eq 22  tcp eq 80  tcp eq 3306 сетевые: object-group network SNGROUP  host  10.1.1.5  host 10.1.8.1 object-group network DNGROUP  host  10.2.1.1 Теперь можем переписать ACL в виде: ip access-list extended FACL  permit object-group <сервисная группа> object-group ...

Создадим следующие правила: Группа машин без ограничения доступа Группа машин с доступом на несколько разрешенных узлов (у нас будет cisco.com) И остальные, которым закрыты некоторые узлы (у нас будет vk.com и odnoklassniki.ru) Сначала опишем что будет видеть пользователь при попытке захода на непотребный сайт: parameter-map type urlfpolicy local URLFilter  alert off  block-page message "This site is blocked" Затем опишем все ненужные сайты: parameter-map type urlf-glob BlockedSites  pattern *.vk.com  pattern vk.com  pattern odnoklassniki.ru  pattern *.odnoklassniki.ru Теперь опишем все нужные сайты: parameter-map type urlf-glob PermitedSites  pattern * Теперь опишем те сайты, на которые будет доступ для той самой группы, у которой все кроме их запрещено: parameter-map type urlf-glob OnlyOneSite  pattern *.cisco.com  pattern cisco.com Теперь создадим списки доступа: ip access-list extended ACL_Limit ...

В свежих версиях IOS для маршрутизаторов Cisco есть такая штука как  zone based firewall . Суть ее проста: 1. Создаем зоны 2. Делаем интерфейсы членами зон 3. Создаем политики безопасности. 4. Создаем пары зон. 5. Применяем политики безопасности к парам зон. Рассмотрим пример. 1. Создаем две зоны - внешнюю и внутреннюю zone security inside  description Inside zone zone security outside  description outside  2. Делаем интерфейсы членами зон interface FastEthernet0/0  zone-member security outside interface FastEthernet0/1  zone-member security inside 3. Создаем политику безопасности: ip access-list extended SMTPS  permit tcp any any eq 465 class-map type inspect match-any SWeb  match protocol https class-map type inspect match-any Control  match protocol icmp  match protocol pptp  match protocol dns  match protocol ftp  match protocol snmp  match protocol pop3  ...

Рассмотрим сбор информации по SNMP с ASA на примере ManageEngine NetFlow analyser. На ASA необходимо настроить группу, имя, пароли и.т.д. Шпаргалка: snmp-server group SNMPGroup1 v3 priv (мы будем использовать и шифрование - des и гарантию целостности - md5) snmp-server user USER1 SNMPGroup1 v3 auth md5 PassMD5 priv des PassDES snmp-server host inside 192.168.0.100 version 3  USER1  snmp-server location Any snmp-server contact oleg@powerc.ru snmp-server enable traps snmp-server enable traps ipsec start stop Теперь при включении в NetFlow analyser SNMP V3 указываем: username  USER1 Authentication MD5 и пароль  PassMD5 Encryption - DES и пароль  PassDES Context Name - оставляем пустым (хотя на маршрутизаторе можно указать его, но я этим пока не занимался, так как на ASA все както уж очень урезано) Пробуем. И напоследок, чтоб по SNMP получить имена интерфейсов и чтоб они отображались в NetFlow analyser - сделайте unmanage инте...

Понадобилось мне тут через туннель, передавать информацию о трафике по NetFlow. Озадачился, как на ASA указать что source интерфейсом должен быть inside. Оказалось все просто: flow-export destination inside  <Адрес коллектора> <Порт коллектора> Ну а далее делаем так: flow-export template timeout-rate 1 flow-export delay flow-create 60 Без этого некоторые коллекторы, не принимают данные. access-list NETFLOW extended permit ip any any class-map NETFLOW_TRAFFIC  match access-list NETFLOW policy-map global_policy  class NETFLOW_TRAFFIC   flow-export event-type all destination <Адрес коллектора>

При получении интерфейсом IP адреса по DHCP, в случае если сервер выдает адрес шлюза по умолчанию, то добавляется статический маршрут по умолчанию через этот шлюз. Если вам этого не надо, то в настройках интерфейса надо отключить запрос шлюза: no ip dhcp client request router

Сдал сегодня CCNA экзамен, готовился сам, в принципе не учил вопросы и лабораторки. Набрал 947 баллов. Проходной балл - 825, всего 1000.

Почти тоже что и с IP-IP, делать проще. Так же как и при IP-IP надо создать правила первой и второй фазы: crypto isakmp policy 10  encr 3des  authentication pre-share  group 2 crypto ipsec transform-set TSET-T1 esp-des esp-md5-hmac И профиль crypto ipsec profile IPSEC-T1  set transform-set TSET-T1  set pfs group2 Теперь создаем туннельный интерфейс: interface Tunnel1  ip address 10.0.0.2 255.255.255.252  tunnel source xx.xx.xx.xx  tunnel destination yy.yy.yy.yy  tunnel mode ipsec ipv4  tunnel protection ipsec profile IPSEC-T1 xx.xx.xx.xx - наш внешний адрес yy.yy.yy.yy  -  удаленный внешний адрес Теперь маршруты: ip route 192.168.0.0 255.255.255.0 10.0.0.1 ip route 192.168.10.0 255.255.255.0 10.0.0.1 Где  10.0.0.1 адрес удаленного туннельного интерфейса. Вообщем то и все. Может что забыл - извиняйте :-)

Пароль по умолчанию на аппаратах Avaya 9640 - craft что тоже что и 27238