The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Маршрутизаторы Cisco, VoIP

   Оглавление / Маршрутизаторы Cisco, VoIP
AAA, контроль dial-up пользователей [3]
ACL, ограничение доступа, безопасность [11]
VoIP [13]
Настройка маршрутизации (BGP, OSPF, RIP) [7]
Ограничение и учет трафика на Cisco [10]

----* JFFS и мониторинг активности wifi на роутере Linksys WRT54GL (доп. ссылка 1)   Автор: Sergey Volhin  [обсудить]
  Расскажу о двух возможностях, которые можно реализовать на роутере
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Выбор метода обмена ключами с при подключении по ssh к Cisco ASA   Автор: Аноним  [комментарии]
  Из-за отключения по умолчанию в OpenSSH 7.0 поддержки обмена 1024-битными ключами diffie-hellman-group1-sha1 при попытке подключиться по SSH к оборудованию Cisco ASA возникает ошибка:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Базовая настройка коммутатора Cisco   Автор: KoD  [комментарии]
  1. Настройка параметров терминала.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Подключение к VPN Juniper Network Connect используя perl-скрипт (доп. ссылка 1)   Автор: Alex Samorukov  [комментарии]
 
Для доступа к некоторым рабочим ресурсам мне необходимо использовать VPN. К
сожалению, он организован на решении Juniper Network Connect, которое
использует клиенты с закрытым исходным кодом для Windows (Windows Secure
Manager) и Linux/Mac (Network Connect). Линукс клиент - ущербный монстрик,
требующий для своей работы browser с устанвленной JVM, причем исключительно
i386 (32 бит) архитектуры (используется JNI). Искренне надеюсь, что дурацкая
модель security by obscurity подохнет вместе с компаниями, которые её
поддерживают. В данной заметке речь пойдет о том, как получить доступ к ВПН без
Java и Firefox.

Итак, когда мне надоело запускать бразуер для установления впн соединения, я
решил разобраться как же это убожество работает. Схема примерно такая:

1) С помощью браузера вводим имя пользователя и пароль (в моём случае rsa secure id из токена).
2) Происходит перенаправление на страничку с Host Checker (Java applet),
который проверяет соответствует ли наша система требованиям, в моём случае его
можно пропустить, видимо правила не жёсткие.  На этом этапе выдаётся
специальная кука DSID.
3) Запускается applet , который скачивает клиента для Linux (Java + JNI).
4) Клиентский applet проверяет, установлен ли клиент, если нет - запускает его установку.
5) Если клиент установлен - через JNI запускается процесс ncsvc, который в свою
очередь и поднимает впн. Кроме того - запускается Java GUI (Java + JNI) которое
показывает статистику.

Оставив за скобками кривизну архитектуры (особенно использование JNI там, где
оно никому не нужно) я стал думать как обойтись без Java. У ncsvc есть
аргументы командной строки, но в моём случае они не работали - виноват
включенный host checker, данный случай описан в Juniper KB20490. Отладка
показала, что взаимодействие с ncsvc происходит по протоколу tcp (демон слушает
на 127.0.0.1:4242). Формат обмена - закрытый, но пакеты небольшие и после
нескольких экспериментов я смог управлять демоном и без Java.

В итоге получился perl-скрипт, который позволяет скачивать Linux клиента,
устанавливать соединение, отображать статистику и работать в консоли. Скачать
скрипт и посмотреть скриншоты можно в моём блоге
(http://samm.kiev.ua/jvpn/jvpn-0.4.0.tar.bz2). Скрипт проверялся на RHEL5/6 и
Ubuntu 12.04. Буду рад замечаниям или сообщениям об ошибках.
 
----* Опции DHCP для маршрутизаторов Cisco для PXE-загрузки c SCCM (доп. ссылка 1)   Автор: Величко Д.С.  [комментарии]
  Настраиваем маршрутизатор Cisco для загрузки PXE клиентов с Microsoft System Center Configuration Manager (SCCM) Server. При этом SCCM сервер и PXE клиенты находятся в различных подсетях. Для такой загрузки необходимо настроить DHCP пул с указанием опций 66 и 67 для указания IP-адреса SCCM сервера и загрузочного файла.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Junoscript на удаленном устройстве c JunOS   Автор: nocn  [комментарии]
  Развертывание и поддержка крупной вычислительной сети требует значительных усилий инженеров различных специальностей. Во многом помогают средства автоматизации. Cisco IOS в этом смысле предоставляет возможность создания автоматических средств с помощью TCL. Juniper Networks JunOS предоставляет множество средств, основанных на XML. Linux/BSD-платформы в отношении автоматизации значительно гибче.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка CustomDNS (DynDNS) на маршрутизаторе Cisco   Автор: serg-dn  [комментарии]
  Шаблон настроек Cisco IOS для обновления хоста MyHost своего домена My-DNS-Domain.com в DynDNS. Конфигурация для ADSL. Проверено на Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T4. Для обновления раз в час необходима подписка на услугу DynDNS Pro, для корректной регистрации должна быть активирована услуга Custom DNS.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Равномерное использование транков в Asterisk (доп. ссылка 1)   Автор: ink08  [комментарии]
  Не секрет, что есть условно бесплатные (3000 минут) SIM-карты и если превысить их лимит, оператор может узнать, что используется gsm-шлюз. Представленный скрипт распределяет нагрузку и не звонит при превышении лимита по транку. Список разрешенных кодов задается в файле в /usr/share/asterisk/agi-bin/cods.txt
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* IPSec туннель между Cisco и CentOS Linux   Автор: PsV  [комментарии]
  Имеем:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Настройка корректного отображения шрифтов для работы Cisco Packet Tracer 5   Автор: toidi  [комментарии]
 
Чтобы при работе в Cisco Packet Tracer 5 шрифты выглядели нормально нужно
закомментировать в файле /usr/local/PacketTracer51/packettracer строку

   export LD_LIBRARY_PATH=$PTDIR/lib

, тогда будет использована стандартная версия библиотеки Qt, которая должна
быть установлена в системе.
 
----* Заметки по настройке времени, логов, BGP и Radius в Cisco IOS   Автор: fantom  [комментарии]
  ++ 1. Время.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Включение и настройка LLDP на коммутаторах Linksys / Cisco серий SPS и SRW средствами SNMP   Автор: Shadowcaster  [комментарии]
  Коммутаторы серии SPS и SRW не предоставляют средств для управления протоколом обнаружения (LLDP) из CLI. Данную функциональность можно активировать или выключить только при помощи протокола SNMP.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Превращение Cisco Catalyst 6500 в кабельный тестер (доп. ссылка 1)   Автор: Gleb Poljakov  [комментарии]
  Некоторые карты для Cisco Catalyst имеют встроенный "кабельный тестер" - Time Domain Reflectometry (TDR). TDR может использоваться для определения обрывов в кабеле, неверно обжатых коннекторов, повреждений изоляции и др.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Маршрутизатор Cisco как PPTP клиент (доп. ссылка 1)   Автор: BETEP  [комментарии]
  Задача: заставить маршрутизатор Cisco с ios 12.4 работать в качестве pptp-клиента. В данном примере 172.28.254.21 - pptp-сервер, а myusername и mypassword - соответственно имя пользователя и пароль. Адреса интерфейс получает по dhcp.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Подборка команд для диагностики Cisco (доп. ссылка 1)   Автор: Konstantin Mironov  [комментарии]
  Общие команды
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Получение информации о VLAN на Cisco по SNMP   Автор: Трушкин Вячеслав  [комментарии]
  Первый интересующий нас факт: наличие тегирования фреймов на порту как такового (switchport mode trunk для конфигурирования в CLI). Для этого справшиваем этот OID: 1.3.6.1.4.1.9.9.46.1.6.1.1.14. Значение 1 соответствует включенному тегированию, значение 2 - порт имеет какой-то другой режим, отличный от trunk.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Конфигурация маршрутизатора Cisco по TFTP не имея пароля   Автор: Константин Брызгалов  [комментарии]
  Если Вам попался в руки не сконфигурированный маршрутизатор cisco БЕЗ шлейфа для конфигурирования через последовательный порт - можно попробовать сконфигурировать устройство через tftp.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Выполнение консольных команд Cisco в web-браузере   Автор: Дармидон  [комментарии]
 
Довольно часто требуется посмотреть информацию, которая не умещается на экране. 
Например, конфигруация или поднятые Virtual интерфейсы. Гораздо удобнее посмотреть это в браузере. 

Базовая страница: https://xxx.xxx.xxx.xxx/level/15/exec/-

Чтобы вывести текущую конфигурацию, добавляем к базовой странице "/show/running-config", получаем:

  https://xxx.xxx.xxx.xxx/level/15/exec/-/show/running-config/CR

где xxx.xxx.xxx.xxx - IP адрес Cisco, 15 - уровень доступа.

На этой страничке вы можете ввести любую команду консоли. 
Причем, если вы введете, например, "show processes cpu ?" - Cisco вам выдаст
список доступных команд с описанием.

HTTPS доступ можно включить через глобальную опцию конфигурации:

   ip http secure-server
 
----* Копирование Cisco running-config с помощью net-snmp утилит   Автор: Бородин Олег  [комментарии]
  Ниже приведен рабочий скрипт для копирования running-config с маршрутизатора Cisco 2811 на BSD tftp/ftp сервер с помощью пакета net-snmp.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Ренумерация VLAN на Cisco (доп. ссылка 1)   Автор: Анджей  [комментарии]
 
Провайдер по тем или иным причинам отдает мне 802.1Q ethernet транк с несколькими вланами. 
Естественно, что план нумерации vlan у провайдера и у меня не совпадает. 

Пример преобразования  соответствующих vlan на коммутаторе:

   interface GigabitEthernet1/5
   description bla-bla-bla
   switchport
   switchport trunk encapsulation dot1q
   switchport trunk allowed vlan 1264-1266
   switchport trunk allowed vlan add 1356,1360-1364
   switchport mode trunk
   switchport nonegotiate
   switchport vlan mapping enable
   switchport vlan mapping 1362 1264
   switchport vlan mapping 1363 1265
 
----* Одна из причин зависания портов на коммутаторе Cisco Catalist   [обсудить]
  После многократного передергивания интерфейс перестает работать.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Логирование изменений конфигурации маршрутизатора Cisco (доп. ссылка 1)   Автор: pablo  [комментарии]
  Ниже приведен вариант организации слежения за изменением конфигурации, в лог сохраняется информация о том, кто и какие именно команды вводил. Как это выглядело раньше? Кто-то зашел на железяку и внес какие-то изменения. Об этом в логе останется информация следующая информация:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Объединение сетевых интерфейсов на Cisco (включение EtherChannel) (доп. ссылка 1)   Автор: shooter  [обсудить]
  1. в IOS'е: в конфигурации интерфейса дается командочка:
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* Решение проблем с транком на новых Cisco 2950 (доп. ссылка 1)   Автор: Иванов Александр  [комментарии]
 
Во-первых, приготовьтесь к тому, что про ISL можно забыть. Да-да! Cisco в новых
коммутаторах 2950 отказалась
от своего-же детища. Так что для тех, у кого есть Cisco 19хх (там как-раз из
транков только ISL) - это проблема,
связать 19хх и 2950 транком можно только при наличии между ними устройства понимающего dot1q и ISL.

На 2950 с версией Cisco IOS Release 12.1(14)EA1 есть проблемы при работе транка
dot1q в умолчательной
конфигурации, а так как там это единственно возможный транк, то это большие проблемы.

Первым делом на Cisco 2950 IOS Release 12.1(14)EA1 нужно выполнить
такую команду:
     #dot1x system-auth-control

Перезагрузить Cisco и настроить транки с vlan'ами...
Радоваться жизни.
Да, можно ещё IOS поменять :)
 
----* Как почистить подвисшую vty сессию заблокировавшую вход на Cisco (доп. ссылка 1)   Автор: Alexandre Snarskii  [обсудить]
 
Если на cisco невозможно зайти telnet'ом, ssh или rsh и "clear line" и "clear
line vty" не помогает.
(Telnet DoS: http://www.opennet.ru/base/fire/1093711089_1345.txt.html)

Найти tcb (tcp control block) этого соединения и почистить его на 
уровне tcp-соединения:

   #show tcp brief 
   TCB       Local Address           Foreign Address        (state)
   447236F0  192.168.10.131.23       remote.host.removed.32781   ESTAB

   #clear tcp tcb 447236F0
   [confirm]Connection closed by foreign host.
 
----* Тестирование модемов на сервере доступа Cisco (доп. ссылка 1)   [обсудить]
 
back-to-back тест:
    #test modem back-to-back нач_слот/нач_порт кон_слот/кон_порт
    #show modem test
Накопительная статистика по работе модемов:
    #show modem call-stats
Тестирование при загрузке:
    #modem startup-test
 
----* Как поднять туннель между Cisco и Linux   [комментарии]
 
Linux (192.168.2.1):
   /sbin/ip tunnel add tunl1 mode ipip remote 192.168.1.1
   /sbin/ifconfig tunl1 192.168.3.2 pointopoint 192.168.3.1 netmask 255.255.255.252 mtu 1500

Cisco (192.168.1.1):
  interface Tunnel0
    ip address 192.168.3.1 255.255.255.252
    ip mtu 1500
    tunnel source 192.168.1.1
    tunnel destination 192.168.2.1
    tunnel mode ipip
 
----* Как запретить вывод в логи Cisco ненужных сообщений (доп. ссылка 1)   [обсудить]
 
interface Serial0/0
  no logging event link-status
  no logging event dlci-status-change
  no logging event subif-link-status
 
----* Использование в FreeBSD IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch   [комментарии]
 
В конфигурации FreeBSD ядра:
    pseudo-device vlan 20 # VLAN support (для динамической генерации в новых версиях - 20 можно не писать)
Поднимаем VLAN вручную (где 28 - vlan id на свиче, fxp0 - интерфейс воткнутый в свитч):
    ifconfig vlan0 inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0
Прописываем в /etc/rc.conf:
  cloned_interfaces="vlan0"
  ifconfig_vlan0="inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0"
На коммутаторе Cisco Catalyst:
    interface FastEthernet0/1  # линк к FreeBSD
        switchport mode trunk
    interface FastEthernet0/2
        switchport access vlan 28
 
----* Как включить доступ к Cisco с определенного хоста по rsh.   [обсудить]
 
ip rcmd rsh-enable                                                              
ip rcmd remote-host test 192.168.1.1 test
ip rcmd remote-host admin 192.168.1.2 admin enable
ip rcmd remote-host local_username remote_addr remote_username enable
 
----* Как в IOS настроить временную зону и переход на летнее время.   [комментарии]
 
clock timezone TYUM 5
clock summer-time TYUMS recurring last Sun Mar 3:00 last Sun Oct 3:00
 
----* Как пересылать логи с Cisco в syslog   Автор: LS  [комментарии]
 
На Cisco:
    router(config)# logging x.x.x.x
    router(config)# logging source-interface fastethernet 0/0
    router(config)# logging facility local0
В syslog.conf (syslogd нужно запускать с ключем -r):
    local0.* /var/log/cisco.log
 
----* Как подключиться к Cisco через последовательный порт   [комментарии]
 
cu -l /dev/cuaa1 -s 9600
Выход из cu: ~.
 
----* Как установить точное время на системных часах.   [комментарии]
 
Для unix:
    в раз в час запускать через крон: ntpdate 194.186.254.22 195.2.64.5
Для Cisco IOS:
   ntp clock-period 17180070 
   ntp server 195.2.64.5 version 2
   ntp server 194.186.254.22 version 2
 
----* Заметки по работе с файлом конфигурации Cisco IOS   [комментарии]
 
Просмотреть текущий рабочий файл конфигурации:
show running-config
Посмотреть файл конфигурации устанавливаемый после перезагрузки:
show startup-config
Запустить систему автоматического интерактивного конфигурирования:setup
Сохранить текущий рабочий конфиг в NVRAM (чтобы изменения восстановились после перезагрузки):
copy running-config startup-config
Загрузить конфиг загружаемый по умолчанию:
copy startup-config running-config
Скопировать рабочий конфиг на tftp сервер:
copy running-config tftp
Загрузить IOS с удаленного tftp сервера, а не из флэша:
boot system tftp
Скопировать содержимое флэша на удаленный tftp сервер:
copy flash tftp
Обновить содержимое флэша с tftp сервера:
copy tftp flash
 
----* Шпаргалка по командам специфичным для Cisco 7600 (доп. ссылка 1)   Автор: Mar Loreto A. Apuhin  [обсудить]
  show catalyst [Catalyst 6000 info] show cwan [Catalyst WAN info] show diagnostic result [Diagnostics] show diagnostic result [Diagnostics] show fabric [Crossbar switching data]
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 
----* PPPoE сервер на Cisco с авторизацией через Radius (доп. ссылка 1)   Автор: kukachik  [комментарии]
  сделано на Cisco 7507, коммутатор Catalyst 5000 все интерфейсы FE Помимо предоставления фиктивных адресов через Radius, создан VLAN с реальными адресами для тех клиентов, которым в силу определенных причин необходимы реальные адреса.
...
[Слишком большой объем текста. Скрыт. Для просмотра см. продолжение
]
 

 Версия для печати





Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру