Kinzersky.ru

Cisco

Подписаться на эту рубрику по RSS

Cisco service password-encryption расшифровка пароля средствами IOS'а.

Просмотров: 6726Комментарии: 1
БезопасностьCisco

Почти сразу после начала работы с оборудованием компании Cisco я узнал, что пароли, "зашифрованные" простым словом password - легко ломаются. Оказывается, посмотреть, что скрывается за неизвестным паролем можно прямо с маршрутизатора, и достаточно простым способом.

Cоздаем нового тестового пользователя и включаем сервис шифрования пароля.

R1(config)#service password-encryption
R1(config)#username test password t35t:pa55w0rd

На выходе получаем

R1(config)#do sh run | i user
username test password 7 08351F1B1D431516475E1B54382F

Создаем key-chain (связку ключей - используют , например, в EIGRP - см. мои статьи):

R1(config)#key chain testdecrypt
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 7 08351F1B1D431516475E1B54382F

Расшифруем ключик:

R1(config-keychain-key)#do show key chain decrypt
Key-chain decrypt:
key 1 -- text "t35t:pa55w0rd"

Настройка NTP на Cisco.

Просмотров: 3227Комментарии: 0
Cisco

Говорим устройству запрашивать время с time.nist.gov:

ntp server 192.43.244.18

Делаем устройство NTP-мастером (на других маршрутизаторах/коммутаторах можно указать наш ntp-роутер в качестве сервера:

ntp master

CCNP: EIGRP (часть 1)

Просмотров: 4448Комментарии: 3
МаршрутизацияCisco

Начинаю вольный перевод книги CCNP Route Quick Reference Guide. Для подготовки к экзамену все равно нужно читать всю литературу на английском, чтобы до конца понимать терминологию, используемую авторами вопросов и лабораторных работ, но в "обычной" жизни может кому-то пригодится.

Итак, приступим.

Читать далее

Cisco: Переадресация броадкаст пакетов на сервер в другой подсети (ip helper-address)

Просмотров: 3820Комментарии: 0
МаршрутизацияCisco

На интерфейсе, принимающем широковещательные пакеты, прописываем адрес сервера (на котором, например, крутится DHCP-служба), и полученные броадкасты он будет переделывать в уникаст и отправлять на этот сервер. А сервер ему, соотв-но, отвечать.

http://s.qip.ru/201sc6G.jpg

Использование rate-limit на Cisco

Просмотров: 5805Комментарии: 1
МаршрутизацияCisco

Задача: зарезать трафик клиента в обе стороны до 1 Мбит/с

1. Создаем ACL:

access-list 133 permit ip any 192.168.99.0 0.0.0.255
access-list 133 permit ip 192.168.99.0 0.0.0.255 any

2. На интерфейсе

rate-limit input access-group 133 1000000 10000 10000 conform-action transmit exceed-action drop
rate-limit output access-group 133 1000000 10000 10000 conform-action transmit exceed-action drop

3. Проверяем:

#sh int fa4 rate-limit

Input
matches: access-group 133
params: 1000000 bps, 10000 limit, 10000 extended limit
conformed 16534 packets, 2178996 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 180ms ago, current burst: 0 bytes
last cleared 00:14:37 ago, conformed 19000 bps, exceeded 0 bps
Output
matches: access-group 133
params: 1000000 bps, 10000 limit, 10000 extended limit
conformed 18034 packets, 16472072 bytes; action: transmit
exceeded 2702 packets, 3592499 bytes; action: drop
last packet: 36ms ago, current burst: 0 bytes
last cleared 00:14:27 ago, conformed 151000 bps, exceeded 33000 bps

Как узнать загрузку процессора на маршрутизаторе cisco

Просмотров: 6452Комментарии: 0
Cisco
CISCO#sh processes cpu sorted ?
1min Sort based on 1 minute utilization
5min Sort based on 5 minutes utilization
5sec Sort based on 5 seconds utilization
| Output modifiers

CISCO#sh processes cpu sorted 5s
CPU utilization for five seconds: 53%/51%; one minute: 51%; five minutes: 50%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
65 27583724 41500859 664 0.57% 0.45% 0.42% 0 IP Input
210 10629500 12393401 857 0.24% 0.17% 0.16% 0 IP-EIGRP: HELLO
211 1421456 312031 4555 0.16% 0.02% 0.00% 0 RIP Send
2 643396 865989 742 0.08% 0.05% 0.06% 0 Load Meter
201 5079360 3661058 1387 0.08% 0.08% 0.08% 0 NHRP
30 285728 1556362 183 0.08% 0.00% 0.00% 0 Net Background
90 1674772 6376292 262 0.08% 0.06% 0.08% 0 CEF process
10 4607064 6706574 686 0.08% 0.08% 0.08% 0 ARP Input
8 5692 144328 39 0.00% 0.00% 0.00% 0 Environmental mo

А еще можно sh proc cpu so 5s | exclude 0.00 - тогда уберем процессы, не занимающие процессор.

Embedded Event Manager (Cisco EEM) - примеры использования

Просмотров: 6284Комментарии: 0
МаршрутизацияCisco

Общие для всех примеров настройки

Проверяем доступность восьмерок (бесплатный DNS-сервер google) через ip sla (если у нас два провайдера (а у нас их скорее всего два, иначе Вам врядли пригодится ip sla и eem, хотя кто знает), предварительно необходимо прописать маршрут, чтобы трафик до них всегда шел через нужного нам провайдера (ip route 8.8.8.8 255.255.255.255 )

ip sla 1

icmp-echo 8.8.8.8

timeout 1000

frequency 7300

ip sla schedule 1 life forever start-time now

track 1 rtr 1 reachability

Пример 1.

2. Создаем событие - если восьмерки не пингуются, в свойствах VPN-туннеля в качестве источника указываем WAN-интерфейс второго провайдера

event manager applet ISP1-DOWN

event track 101 state down

action 0.9 cli command "enable"

action 1.0 cli command "conf t"

action 1.1 cli command "int tu0"

action 1.2 cli command "tunnel source FastEthernet0/1/0"

3. Ура, восьмерки доступны - возвращаемся обратно ко второму провайдеру.

event manager applet ISP1-UP

event track 101 state up

action 0.9 cli command "enable"

action 1.0 cli command "conf t"

action 1.1 cli command "int tu0"

action 1.2 cli command "tunnel source FastEthernet0/2/0"

(взято отсюда)

Пример 2.

Для удобства объявим несколько переменных для EEM, где зададим адрес почтового сервера и адреса почтовых ящиков.

event manager environment _eserv 192.168.1.1 (адрес почтового сервера)

event manager environment _admin admin@localname.com

event manager environment _rep reports@localname.com

Создадим задания для EEM что делать в случае если пинга нет и в обратном варианте.

event manager applet host_is_down

event track 1 state down

action 1 mail server "$_eserv" to "$_admin" from "$_rep" subject "Host is not pinging"

event manager applet host_is_up

event track 1 state up

action 1 mail server "$_eserv" to "$_admin" from "$_rep" subject "Host is pinging now"

Встроенный в EEM почтовый клиент не полностью поддерживает RFC822. Письма отправляются с пустым телом. Для того чтобы устранить баг, можно руками вставить отправку комбинации CRLF при генерации письма.

action 1 mail server "$_mail_smtp" to "$_mail_rcpt" from "$_info_routername@$_mail_domain" subject "Interface state change" body "\015\012$_syslog_msg"

взято отсюда

Публикация PPTP-сервера, находящегося во внутренней сети

Просмотров: 5710Комментарии: 0
БезопасностьCisco

Иногда необходимо, например, расшарить службу RRAS, принимающую подключения от удаленных пользователей из интернета, для подключения к внутренней сети.

Тут вариантов два:

1. настроить на Cisco PPTP-сервер, при этом в качестве радиус сервера настроить виндовую или линуксовую машину. Пример настройки есть в этом разделе в соседней теме.

2. пробросить порты до RRAS-сервера, чтобы пользователи авторизовались на нем.

Оба варианта работоспособны, но второй мне больше нравится из-за удобства администрирования — в оснастке Майкрософта гораздо проще увидеть пользователей, подключенных в данный момент, и отключить их, чем в консоли циско. Да и сделать самые простейшие настройки могут и пользователи, не умеющие обращаться с цисками.

TCP-Порт 1723 используется для инициации и управления GRE-соединением

Через IP протокол №47 проходит GRE-трафик, так что его тоже пробрасываем. Практика показала, что порта 47-TCP для этого достаточно.

enable

config term

ip nat inside source static tcp {LOCAL RRAS SERVER IP} 47 {EXTERNAL CISCO IP} 47 extendable

ip nat inside source static tcp {LOCAL RRAS SERVER IP} 1723 {EXTERNAL CISCO IP} 1723 extendable

Видео по настройке pptp-сервера под windows 2008:

ru.administrating.tv/nastrojka-vpn-pptp-na-baze-windows-server-2008/

Cisco - два ip адреса на одном интерфейсе

Просмотров: 6869Комментарии: 0
МаршрутизацияCisco

Чтобы прописать два и более ip адреса на одном ethernet интерфейсе, надо, в режиме конфигурации данного интерфейса прописать подобное следующему:

ip address 10.0.0.1 255.255.255.0 secondary

ВНИМАНИЕ! Если Вы при записи нового адреса не указали параметр secondary, то этот адрес автоматически становится primary, а все остальные адреса автоматически становятся secondary, кроме бывшего primary, который будет автоматически удален… Это же случится если вы перепишете один из secondary адресов без параметра secondary (он станет primary, а бывший primary будет автоматически удален)…

ВНИМАНИЕ! Удалить primary адрес можно только предварительно удалив все secondary адреса, или добавив новый primary адрес.