Настройка оборудования Cisco

Все очень просто: access-list <имя списка> line   <номер строки> куда надо вставить запись, и далее как обычно.

Попытаюсь начать цикл коротких статей по WSA. Начну не сначала, в последствии постараюсь дописать все с начала. Итак, предположим что WSA уже настроен, так же на ASA и WSA настроено перенаправление WEB трафика по WCCP. Внутренние пользователи работают через прокси сервер, а вот пользователи, подключенные через AnyConnect работают без прокси. Вы решили внедрить концепцию BYOD - то есть, все пользователи, как локальные так и удаленные, работают по одним и тем же правилам. Одна из составляющих этого - WEB безопасность. Как же нам быть? как пустить удаленных пользователей через прокси? Сделать это можно несколькими способами: 1. Использовать явное указание прокси сервера в групповой политике удаленных пользователей. 2. Использовать WCCP перенаправление не на ASA, а на другом маршрутизаторе. 3. Отправить весь трафик AnyConnect пользователей на маршрутизатор за Cisco ASA, и вернуть его обратно (U-Turn), после чего он уже будет аналогичен трафику от локальных машин. Мы рассмо...

Нам нужны порты TCP и UDP 445,88,389 И TCP 135,3268 и диапазон 49152-65535 object-group service AD_LOGIN tcp-udp  port-object eq 445  port-object eq 88  port-object eq 389  port-object eq domain object-group service AD_LOGIN_TCP tcp  port-object eq 135  port-object eq 3268  port-object range 49152 65535 access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN access-list AD_ACL extended permit udp object  <сеть откуда идет трафик>  object-group  <сеть с доменом>  object-group AD_LOGIN access-list AD_ACL extended permit tcp object  <сеть откуда идет трафик>  object-group  <сеть с доменом>  object-group AD_LOGIN_TC

Трафик который будем фильтровать access-list PC_to_Internet extended permit ip 192.168.1.0 255.255.255.0 any Что будем фильтровать regex rgx_VK "\.vk\.com" Тут можно перечислить много правил class-map type regex match-any VK_DOMAIN  match regex rgx_VK Тут опишем как же мы будем искать то что описали выше class-map type inspect http match-all VK_DOMAIN_INSPECT  match request header host regex class VK_DOMAIN Это классификация трафика, по ACL class-map PC_TO_INTERNET  match access-list PC_to_Internet Тут мы мы опишем что будем делать с классифицированным трафиком. policy-map type inspect http HTTP_D_POL  parameters   protocol-violation action drop-connection  class  VK_DOMAIN_INSPECT   reset А это уже политика для интерфейса. policy-map DMZ_POL_M  class PC_TO_INTERNET   inspect http HTTP_D_POL Применение политики на интерфейсе. service-policy  DMZ_POL_M  interface inside Но есть один могильни...

Даже если вы прописали параметры SNMP в настройках NetflowAnalyser - ifDesc все равно не будет нормально показываться, пока вы не сделаете интерфейс  ifindex65535 unManagement!

Нахожусь в Москве, на конференции Cisco Connect 2014. Много интересного - особенно ACI технология.

SSH по radius, Console и Radius и Local aaa new-model aaa group server radius RADIUS_SERVER   server-private 192.168.0.2 auth-port 1812 acct-port 1813 key Cisco aaa authentication login VTYLIST group RADIUS_SERVER local //Радиус пользователи, и Failover - локальные aaa authentication login CONSOLE local //Только локальные пользователи aaa authentication enable default enable aaa authorization console aaa authorization exec VTYLIST group RADIUS_N local line con 0  login authentication CONSOLE line vty 0 4  privilege level 0  authorization exec VTYLIST  login authentication VTYLIST line vty 5 15  privilege level 0  authorization exec VTYLIST  login authentication VTYLIST

Рассмотрим случай - у вас есть локальная сеть 192.168.0.0/24 (центральная ASA) и есть удаленная сеть, доступная по L2L туннелю - 192.168.1.0/24. Необходимо разрешить клиентам, подключающимся по AnyConnect к центральной ASA, получать доступ к удаленной сети. Можно разрешить эту сеть в ACL L2L туннелей, но иногда может быть достаточно "прикинуться" узлом из сети 192.168.1.0/24. Можно например так: object network CENTRAL_LAN  subnet 192.168.0.0 255.255.255.0 object network ANYNET  subnet 192.168.10.0 255.255.255.192 object network REMLTOL_LAN  subnet 192.168.1.0 255.255.255.0 object network NATTOLTOL  host 192.168.0.210 nat (outside,outside) source dynamic ANYNET   NATTOLTOL  destination static REMLTOL_LAN REMLTOL_LAN  

Конфиг Cisco: voice call send-alert ! voice service voip  allow-connections h323 to h323  allow-connections h323 to sip  allow-connections sip to h323  allow-connections sip to sip  fax protocol cisco  h323 ! ! ! voice class codec 10  codec preference 1 g711alaw  codec preference 2 g711ulaw  codec preference 3 g728 ! ! ! ! voice class h323 1   h225 timeout tcp establish 3 dial-peer voice 100 voip  tone ringback alert-no-PI  destination-pattern 2..  progress_ind setup enable 3  progress_ind alert enable 8  progress_ind progress enable 8  progress_ind connect enable 8  voice-class codec 10  voice-class h323 1  session target ipv4: XX.XX.XX.XX :1720  no vad XX.XX.XX.XX - Это адрес Avaya CM. Но учтите, что у вас должен быть так же доступ и на Avaya Media Gateway для этого network region - ибо он будет играть музыку и посылать гудки. Так как мой случай э...

После обновления K8 до K9 - нужно обновить тип шифрования: ssl encryption rc4-sha1 Так же полезно знать как посмотреть порты которые слушает ASA: sh asp table socket

Добрый день! Дорогие коллеги. Срочно ищу сотрудника на работу (Санкт-Петербург). Требуется знание Cisco на уровне хотя бы CCNA . Требуется поддерживать сеть из более 200 коммутаторов Cisco , немного маршрутизаторов и сетевых экранов ASA и IronPort . Зарплата около 40 -50 тысяч рублей.

Иногда, случается что на станции чтото настраиваешь, и рвется связь. Сессия остается открытой и мы уже не можем настроить то что хотели: видим чтото типа user какой то там, чтото делал и " has data lock " Нужно ввести: status logins Найти зависшую сессию (там будет указано что открыто - например chanche station 200 и сделать reset login-ID с нужным ID

Друзья! Нужен НОКСАФИЛ на четыре месяца. стоимость препарата на месяц 171248 * 4мес. итого 684 992р. Реквизиты получателя (Мама Ангелины) лицевой счет 42307810155136804527  получатель : Дениско Александра Владимировна банковские реквизиты ИНН 7707083893, БИК 044030653 кор.сч 30101810500000000653  карта СБЕРБАНК 4276 8800 7060 6599 получатель: Дениско Александра Владимировна Яндес деньги 410011098161359 Группа Ангелины  http://vk.com/club70985407

Предположим что вы хотите чтобы ваш маршрутизатор, не анонсировал какую либо определенную сеть через EIGRP. Пусть эта сеть будет 10.10.10.0/24 Мы рассмотрим фильтрацию через route-map Итак, сначала пишем что нельзя: ip prefix-list IGRPFILTER_PLIST seq 5 permit 10.10.10.0/24 Теперь создаем route-map, в которой первым правилом будет deny - тоесть запрет тех сетей, который попали в match: route-map EIGRP_TUN_FILTER deny 10  match ip address prefix-list IGRPFILTER_PLIST И в конце обязательно правило, разрешающее все остальное (хотя если вам нужна только одна сеть, то можно наоборот сделать - первым permit с этой сетью, а вторым deny - тоесть его вообще не писать - оно по умолчанию подразумевается) route-map EIGRP_TUN_FILTER permit 20 Теперь добавим эту route-map в качестве distribute-list: router eigrp 1  distribute-list route-map EIGRP_TUN_FILTER out Все, смотрим на соседе sh ip route eigrp и не видим более сети 10.10.10.0/24

Чтоб быстро посмотреть какие порты открыты (слушаются именно самим маршрутизатором - тоесть control-plane) можно использовать команду: show control-plane host open-ports На Cisco ASA как всегда все по другому: sh asp table socket

Приветствую! Вот и пришла беда и к моим друзьям....... У них дочка Дениско Ангелина - 10 лет. Все было хорошо, но тут случилась беда - обнаружили у нее мелиобластную лейкимию. Понадобиться трансплантация костного мозга. Сейчас она лежит на Авангардной, пока информации мало - но скорее всего придется делать трансплантацию не в России - так врачи говорят. Сейчас, как я понимаю, главное провести химию, и подготовку к трансплантации. Документы будут позже. Телефоны родителей тоже выложу. Прошу поддержки и помощи. Спасибо! Группа в Вконтакте  http://vk.com/club70985407 Нужны будут как всегда деньги на оплату лечения за рубежом - если тут не смогут помочь. Кто эти люди: У моей сестры есть хорошая подруга - Ира, мы с женой тоже с ними общаемся, так вот это дочка ее брата. Тоесть этих людей я лично знаю. Сейчас попросил их сделать сканы всех документов какие есть - сделают - выложу.

Дорогие друзья, хотел бы поговорить о горячо обсуждаемой проблеме с памятью некого производителя, которая поставлялась с 2005 по 2010 год компании Cisco и была установлена на широкий спектр оборудования. Ну что за производитель, думаю уже всем известно. Теперь о печальном, эта память так же устанавливалась на коммутаторы 2960 и многие другие. И, увы, прецедентов выхода ее из строя, более чем достаточно. Мы, в условиях своей лаборатории, меняем микросхемы памяти, после чего оборудование с успехом продолжает функционировать многие годы. Так что, если вы столкнулись с данной проблемой, иле не хотите столкнуться с ней в ближайшем будущем, и превентивно заменить «часовую бомбу», милости просим.

На коммутаторах, ACL обрабатывается аппаратно, и команда show access-list может не показывать статистику. Нужно использовать команду: show tcam interface <интерфейс - например Vlan 10> acl in (или out) ip (или arp, ipv6, mpls, other)

Конфигурируем 3G модем для Cisco (на примере Sierra Wireless 880E-G). Сначала нужно создать профиль соединения (тоесть APN логин и пароль) делается это так (не из глобальной конфигурации а из enable) Router#cellular 0 gsm profile create 3 fixedip.nw chap megafon megafon Далее нужно настроить интерфейс cellular - у меня это cellular 0 Router#conf t Router(config)#interface cellular 0 Router(config-if)#encapsulation ppp Router(config-if)#ppp chap hostname megafon Router(config-if)#ppp chap password megafon Router(config-if)#ppp ipcp dns request Router(config-if)#async mode interactive Router(config-if)#ip address negotiated Router(config)#chat-script MEGAFON "" "ATD*99* 3 #" TIMEOUT 30 CONNECT Тут 3 - это номер профиля который мы создали выше. Router(config)#interface cellular 0 Router(config-if)#dialer string MEGAFON Ищем линию связанную с модемом: Router#sh line    Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   ...