Настройка оборудования Cisco

даем команду show sync timing и смотрим: Так плохо SOURCE     MM or VoIP           STATUS                   FAILURE ---------  -------------------  -----------------------  --------------- Primary    v1                   Locked Out               None Secondary                       Not Configured Local      v0                   Active                   None И так плохо SOURCE     MM or VoIP           STATUS                   FAILURE ---------  -------------------  -----------------------  --------------- Primary         ...

Если вы на WSA создадите access policy, и например запретите всем членам группы Domain Admin ходить в интернет, то это работать не будет. И вот почему, вся беда в пробеле. Как это лечить не ясно. Мы рещили просто создать еще одну группу NOINET и в нее включить администраторов домена.

LDAP к AD Для начала указываем адрес, учетную запись и порт AD контроллера. Тут мы указываем имя профиля, затем либо FQDN либо IP домен контроллеров, через запятую. Далее пользователя, от имени которого будем слать запросы, ну и порт (можно еще SSL включить, если на AD включен LDAP over SSL). Жмем Test Query и проверяем (как и все последующие запросы). Accept Query выполняется при попытке принять письмо на некоего адресата, которого мы и проверяем на существовании в AD. Query string – собственно как мы будем формировать зарос к AD (ну или open LDAP). Group Query – это запрос на проверку принадлежности адресата какой либо группе в AD. В запрос передается email адрес {a} и группа {g}. В примере мы проверим членство адресата в какой ни будь группе, с полным путем Группа,OU=Office,DC=mycompany,DC=local Ну и настройки доступа к спам карантину: Первый запрос – доступ к спам карантину пользователям. Мы используем доменную учетную запись ({u}). Второй зап...

Работа ACE в режиме когда он в одном VLAN с серверами и шлюзом, когда он принимает запросы от клиентов и переправляет их серверам, подразумевает наличие на этих серверах Loopback интерфеса с адресом VIP Пример конфига ACE (контекст работы с серверами): access-list WEBACL line 8 extended permit ip any any разрешаем пока весь трафик probe http SRV1 как будем проверять доступность   interval 5   faildetect 10   request method get url /index.html   expect status 200 210 rserver host POWERSRV1 сервер раз   ip address 192.168.0.20   inservice serverfarm host POWERFARM   transparent не натить!   probe SRV1   rserver POWERSRV1     inservice parameter-map type connection timeouts class-map match-any WEB_CLIENTS   2 match virtual-address 192.168.35.1 tcp eq www policy-map type loadbalance generic first-match WEBPOL   class class-default     serverfarm POWERFARM policy-map multi-match WEP...

Известная проблема - есть удаленная сеть по VPN - скажем 192.168.5.0/24 Мы включили трансляцию внутреннего WEB сервера 192.168.0.5 наружу, и по VPN больше на него по порту 80 не попадаем. Создаем ACL и route-map: ip access-list extended SNAT_ACL   deny ip host 192.168.0.5 192.168.5.0 0.255.255.255   permit ip host 192.168.0.5 any route-map SNATMAP permit 10  match ip address SNAT_ACL ip nat inside source static tcp 192.168.0.5 80 81.1.1.81 80 route-map SNATMAP extendable

Раньше: tacacs-server host 192.168.9.25 tacacs-server key xkeyx aaa group server tacacs+ TACN    server 192.168.0.10 Теперь: tacacs server AUTH     address ipv4 192.168.0.10     key xkeyx aaa group server tacacs+ TACN     server name AUTH

Есть одна особенность, при работе с VRF, нужно прописать Preshared key через isakmp profile: пример: interface Tunnel11  ip vrf forwarding VRF_TEST  ip address 192.168.20.1 255.255.255.252  tunnel source GigabitEthernet0/0  tunnel mode ipsec ipv4  tunnel destination XX.XX.XX.XX  tunnel vrf VRF_TEST  tunnel protection ipsec profile IPSECPROF1 end crypto keyring KR1 vrf VRF_TEST   pre-shared-key address XX.XX.XX.XX key SameKey crypto isakmp profile ISPROF1    keyring KR1    match identity address  XX.XX.XX.XX VRF_TEST    keepalive 10 retry 5 crypto ipsec transform-set TSET esp-3des esp-sha-hmac crypto ipsec profile IPSECPROF1  set transform-set TSET  set pfs group2

Нужно разрешить трафик в сторону машины с общими папками по следующим портам: TCP 139 - netbios-ssn TCP 445 UDP 137 - netbios-ns UDP 138 - netbios-dgm

key config-key password-encrypt <Пароль> password encryption aes Ну и за одно  service password-encryption

Есть простейшее решение. 1. Через FAC набрать самому 2. Через change station на странице 3, задать номера и активировать их. 3. Через change coverage remote задать там номера, потом change coverage path задать правила перехода. В 1 и последнем случае, нет дурацкого сообщения на экране. Вариант 3: r2 означает, что надо вять номер из таблицы выше (remote). На станции указываем нужный coverage path

Конечно хорошо прописать в файле 49xxsettings.txt SET SNMPADD XX.XX.XX.XX,YY.YY.YY.YY SET SNMPSTRING имя_community Но нужно заглянуть еще сюда: change node-names ip Тут грубо говоря, псевдонимы серверов И сюда: change system-parameters ip-options Тут сервера, с которых можно делать опрос по SNMP телефонов. Ну и community

https://cway.cisco.com/tools/ipsec-overhead-calc/ipsec-overhead-calc.html

Например 10 VLAN только на вход (из режима конфигурации) monitor session 1 type capture  source vlan 10 rx 100 пакетов monitor capture start for 100 packets Эта команда дается, уже не из режима конфигурации

Регистрируемся на например StartSSL . Просим сертификат для удостоверения сайта. С ASA нужен запрос на сертификат: Делаем: crypto key generate vpn.mysite.net modulus 20148 crypto ca trustpoint vpn.mysite.net  fqdn trustpoint vpn.mysite.net  subject-name CN= vpn.mysite.net  keypair  vpn.mysite.net  enrollment terminal crypto ca enroll vpn.mysite.net Видим чтото типа: WARNING: The certificate enrollment is configured with an fqdn that differs from the system fqdn. If this certificate will be used for VPN authentication this may cause connection problems.  Would you like to continue with this enrollment? [yes/no]:  говорим Y потом еще раз Y Display Certificate Request to terminal? [yes/no]:  и еще раз Y Видим запрос: -----BEGIN CERTIFICATE REQUEST----- тут всякое.... -----END CERTIFICATE REQUEST----- Его нужно будет ввести например в специальном окошке на StartSSL. В ответ вам сдела...