Настройка оборудования Cisco

 И так нужна версия NXOS для которой есть утилита для обновления ПО секвенсеров. Такая есть под 9.7.1.4.N1.1 Соответственно заливаем ПО на buutflash, всего нам нужно 4 файла: n5000-uk9.7.1.4.N1.1.bin n5000-uk9-kickstart.7.1.4.N1.1.bin  nuova-or-dplug-mzg.7.1.4.N1.1.bin ucd-update.tar Далее устанавливаем NXOS: sh incompatibility system bootflash:n5000-uk9.7.1.4.N1.1.bin show install all impact kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если ничего критичного не видим то устанавливаем. install all kickstart n5000-uk9-kickstart.7.1.4.N1.1.bin system n5000-uk9.7.1.4.N1.1.bin  Если все успешно нам предложат перезагрузиться: Switch will be reloaded for disruptive upgrade. Do you want to continue with the installation (y/n)?  [n] y   Далее из консоли надо загрузить утилиту: load bootflash:nuova-or-dplug-mzg.7.1.4.N1.1.bin  Loading plugin version 7.1(4)N1(1) ############################################################### ...

Видимо начиная с какой то версии ПО на Cisco ASA, работа с LDAP сервером с использованием SSL(TLS) невозможна без импорта на ASA сертификата LDAP сервера (либо его, либо того кем он подписан, например корневого доменного). как узнать какой у вас на сервере сертификат  кем он подписан: Ну например при помощи openssl openssl s_client -showcerts -connect <адрес LDAP сервера> :636  Далее надо получить сертификат в формате BASE64 И добавить его на ASA, например через CLI: crypto ca trustpoint ROOTCA  enrollment terminal  no ca-check crypto ca authenticate ROOTCA  <вставляем base64 текст>  quit  yes  В aaa-server <имя> (INSIDE) host <адрес LDAP сервера> добавляем ldap-over-ssl enable И тестируем test aaa-server authentication <имя> host <адрес LDAP сервера> Вводим имя пользователя Вводим пароль    

Есть несколько способов, рассмотрим способ с помощью traffic-policy Итак нам нужно сначала создать ACL Например у нас есть Vlan 2 (192.168.1.0/24) и мы хотим чтоб все ПК в этом VLAN могли ходить куда угодно кроме сети 192.168.2.0/24. Создадим такой ACL: acl number 3200   rule 10 deny ip destination 192.168.2.0 0.0.0.255   rule 40 permit ip source 192.168.1.0 0.0.0.255 Теперь нужно создать классификатор ну и описать поведение:   traffic classifier 3200 operator or   if-match acl 3200 traffic behavior 3200   statistic enable  traffic policy 3200   classifier  3200  behavior  3200   И применить политику к VLAN: vlan 2   description PC   name PC   traffic-policy 3200 inbound

 Если вы используете каку либо утилиту, использующую управляющие коды ANSI для окраски вывода, но видите вместо этого чтото типа ←[0m то необходимо в реестре поправить (или создать) параметр: \HKEY_CURRENT_USER\Consol e VirtualTerminalLevel DWORD 1 

 Для начала нужно скачать файл ISO usergate_light_image.iso  и файл для чистой установки, например ngfw7-x86-hdd.bz2 Далее при помощи утилиты Rufus   записать образ  usergate_light_image.iso на USB диск. Затем  в папку utm_image на этом диске скопировать файл  ngfw7-x86-hdd.bz2   Затем снять имидж с usb диска утилитой USB Image Tool ,  Должен получится файл с расширением img, например ug7wi.img Далее заходим на LOM (это как iLO только LOM :-)) из браузера. Там HTTPS на 443 порту. Вводим логин пароль, по умолчанию имя и пароль admin Далее жмем кнопку Remote Control Launch. Скачивается файл  jviewer.jnlp Считаем что у вас установлена 32 битная JRE и в java control pannel (javacpl.exe) во вкладке Security в списке Exception Site List добавлен адрес вашего LOM. Открываем командную строку, переходим в папку загрузок, и выполняем  javaws.exe jviewer.jnlp Только если у вас не одна JRE то укажите полный путь к 32 битной, например у м...

Из режима system-view создать шаблон радиус сервера: radius-server template SRV_RADIUS   radius-server shared-key cipher <общий секретный ключ>   radius-server authentication <адрес радиус сервера> <порт> source <интерфейс (SVI) с которого   будут отправляться запросы>    undo radius-server user-name domain-included Далее aaa   authentication-scheme RADSH     authentication-mode radius local domain default_admin   authentication-scheme RADSH   accounting-scheme default   radius-server SRV_RADIUS У пользователя в нстройках на радиус сервере нужно прописать атрибут: Huawei-Exec-Privilege = <например 15 для администраторов>

При подключении пользователя по AnyConnect, ASA добавляет в таблицу маршрутизации маршрут /32 с метрикой: Known via "static", distance 1, metric 0 (connected) В таблице маршрутизайии он будет отмечен как V (VPN) Зачем это нужно и почему /32? Если два пользователя с одним и тем же пулом, подключаться к разным внешним интерфейсам то будет два разных маршрута, и все будет работать. Но вот чтоб этот маршрут передать кудато еще, нужно завести статический маршрут на весь пул, например 192.168.2.0/25 на null или на внешний какой то один интерфейс. И уже его анонсировать в другие протоколы маршрутизации. Хотя если у вас ASA маршрутизатор основной, и у всех за ней маршрут по умолчанию на нее, то и этого не требуется.    

 Итак есть атрибут userAccountControl И вроде бы у него есть все нужные биты (флаги): PASSWORD_EXPIRED 0x800000 LOCKOUT    0x0010 ACCOUNTDISABLE 0x0002  Выключаем пользователя и видим что флаг  ACCOUNTDISABLE  установлен. Теперь вводин несколько раз (согласно политике) неправильный пароль, и видим что флаг  LOCKOUT    не установлен. При этом атрибут  lockoutTime имеет не нулевое значение, что указывает на то что учетная запись таки заблокировалась. Так вот, с Windows 2003 есть еще один атрибут: msDS-User-Account-Control-Computed И в нем флаг LOCKOUT установлен. Вот по нему (или по lockoutTime ) и можно ориентироваться.