Настройка оборудования Cisco

Есть несколько способов, рассмотрим способ с помощью traffic-policy Итак нам нужно сначала создать ACL Например у нас есть Vlan 2 (192.168.1.0/24) и мы хотим чтоб все ПК в этом VLAN могли ходить куда угодно кроме сети 192.168.2.0/24. Создадим такой ACL: acl number 3200   rule 10 deny ip destination 192.168.2.0 0.0.0.255   rule 40 permit ip source 192.168.1.0 0.0.0.255 Теперь нужно создать классификатор ну и описать поведение:   traffic classifier 3200 operator or   if-match acl 3200 traffic behavior 3200   statistic enable   И применить политику к VLAN: vlan 2   description PC   name PC   traffic-policy 3200 inbound

 Если вы используете каку либо утилиту, использующую управляющие коды ANSI для окраски вывода, но видите вместо этого чтото типа ←[0m то необходимо в реестре поправить (или создать) параметр: \HKEY_CURRENT_USER\Consol e VirtualTerminalLevel DWORD 1 

 Для начала нужно скачать файл ISO usergate_light_image.iso  и файл для чистой установки, например ngfw7-x86-hdd.bz2 Далее при помощи утилиты Rufus   записать образ  usergate_light_image.iso на USB диск. Затем  в папку utm_image на этом диске скопировать файл  ngfw7-x86-hdd.bz2   Затем снять имидж с usb диска утилитой USB Image Tool ,  Должен получится файл с расширением img, например ug7wi.img Далее заходим на LOM (это как iLO только LOM :-)) из браузера. Там HTTPS на 443 порту. Вводим логин пароль, по умолчанию имя и пароль admin Далее жмем кнопку Remote Control Launch. Скачивается файл  jviewer.jnlp Считаем что у вас установлена 32 битная JRE и в java control pannel (javacpl.exe) во вкладке Security в списке Exception Site List добавлен адрес вашего LOM. Открываем командную строку, переходим в папку загрузок, и выполняем  javaws.exe jviewer.jnlp Только если у вас не одна JRE то укажите полный путь к 32 битной, например у м...

Из режима system-view создать шаблон радиус сервера: radius-server template SRV_RADIUS   radius-server shared-key cipher <общий секретный ключ>   radius-server authentication <адрес радиус сервера> <порт> source <интерфейс (SVI) с которого   будут отправляться запросы>    undo radius-server user-name domain-included Далее aaa   authentication-scheme RADSH     authentication-mode radius local domain default_admin   authentication-scheme RADSH   accounting-scheme default   radius-server SRV_RADIUS У пользователя в нстройках на радиус сервере нужно прописать атрибут: Huawei-Exec-Privilege = <например 15 для администраторов>

При подключении пользователя по AnyConnect, ASA добавляет в таблицу маршрутизации маршрут /32 с метрикой: Known via "static", distance 1, metric 0 (connected) В таблице маршрутизайии он будет отмечен как V (VPN) Зачем это нужно и почему /32? Если два пользователя с одним и тем же пулом, подключаться к разным внешним интерфейсам то будет два разных маршрута, и все будет работать. Но вот чтоб этот маршрут передать кудато еще, нужно завести статический маршрут на весь пул, например 192.168.2.0/25 на null или на внешний какой то один интерфейс. И уже его анонсировать в другие протоколы маршрутизации. Хотя если у вас ASA маршрутизатор основной, и у всех за ней маршрут по умолчанию на нее, то и этого не требуется.    

 Итак есть атрибут userAccountControl И вроде бы у него есть все нужные биты (флаги): PASSWORD_EXPIRED 0x800000 LOCKOUT    0x0010 ACCOUNTDISABLE 0x0002  Выключаем пользователя и видим что флаг  ACCOUNTDISABLE  установлен. Теперь вводин несколько раз (согласно политике) неправильный пароль, и видим что флаг  LOCKOUT    не установлен. При этом атрибут  lockoutTime имеет не нулевое значение, что указывает на то что учетная запись таки заблокировалась. Так вот, с Windows 2003 есть еще один атрибут: msDS-User-Account-Control-Computed И в нем флаг LOCKOUT установлен. Вот по нему (или по lockoutTime ) и можно ориентироваться.