Kinzersky.ru

cisco

Подписаться на эту метку по RSS

Перезагрузка маршрутизатора Cisco по расписанию

Просмотров: 6698Комментарии: 0
Cisco

Такое может пригодиться при использовании не самых стабильных прошивок.

Например, можно настроить перезагрузку по выходным в полночь, и забыть о том, чтобы перезагружать оборудование руками в понедельник утром.

Делается это все также через EEM:

Читать далее

Восстановление пароля на Cisco

Просмотров: 5257Комментарии: 0
CiscoБезопасность

Часто бывает необходимо, чтобы пароль на роутере был сброшен, а конфигурация осталось той же что и была.

Порядок действий следующий:

1. Подключаем маршрутизатор консольным кабелем

Читать далее

Сброс настроек на Cisco (reset)

Просмотров: 9182Комментарии: 0
Cisco

Наверняка многим, кто хоть когда-нибудь сталкивался с маршрутизаторами и коммутаторами компании Cisco, приходилось сбрасывать найстройки в дефолт из-за потери доступа к маршрутизатору.

Читать далее

CCNP: EIGRP (часть 3)

Просмотров: 4721Комментарии: 0

Часть 1

Часть 2

Часть 4

Настройка конфигурации EIGRP

Для дополнительной настройки EIGRP имеет несколько возможностей - пассивные интерфейсы, уникастовые соседи, суммаризация маршрутов, неравнозначная балансировка и аутентификация. Познакомимся с каждой из них поподробнее

Пассивные интерфейсы

Команда passive-interface предотвращает отправка обновлений маршрутизации и hello-сообщений с указанного интерфейса.

Читать далее

Начальная настройка SSH на маршрутизаторах CIsco

Просмотров: 4156Комментарии: 0
Cisco
Router# crypto key generate rsa

How many bits in the modulus [512]: 1024

Указываем что хотим 1024 бита (или больше), иначе не даст пользоваться версией SSH выше первой

%Generating 1024 bit RSA keys, keys will be non-exportable...

[OK] (elapsed time was 2 seconds)

Теперь смотрим, разрешен ли у нас SSH:

Cisco#sh run | s vty 0 4

line vty 0 4

exec-timeout 0 0

transport input all

В данном случае transport input all - а может быть написано, например, transport input telnet. Тогда надо поправить:

Cisco(config)#line vty 0 4

Cisco(config-line)#transport input telnet ssh

Еще можно поднять версию:

Cisco(config)#ip ssh version 2

И количество попыток входа:

Cisco(config)#ip ssh authentication-retries 4

И конечно же не забываем открыть порт файрвола, и сохранить после всех действий конфиг.

DMVPN (часть 1)

Просмотров: 3984Комментарии: 0

Введение

DMVPN - Dynamic Multipoint VPN - под данным названием объединяется пачка технологий, позволяющая организовать защищенную корпоративную сеть с помощью оборудования Cisco.

Основными преимуществами построения туннелей на основе DMVPN, на мой взгляд, являются 4 фактора:

1. Возможность создать туннель через NAT.

2. Минимальные (шаблонные) настройки на spoke-маршрутизаторах.

3. Создание динамических туннелей между spoke-маршрутизаторами.

4. Возможность держать на spoke-маршрутизаторах динамический внешний IP-адрес.


DMVPN состоит из следующий частей:

1. NHRP - Next Hop Resolution Protocol - протокол, позволяющий хостам, находящимся в NBMA-сети (Non Broadcast Multi Access - например, Интернет!), общаться напрямую между собой. База адресов находится на Hub-маршрутизаторе, который является Next Hop Server'ом, и клиенты (Spoke-маршрутизаторы) при необходимости её запрашивают.

2. Multipoint GRE - GRE-туннели, позволяющие на одном туннельном интерфейсе содержать несколько ipsec-подключений к различным маршрутизаторам.

3. IPSec

4. Протокол динамической маршрутизации. Обычно это OSPF или EIGRP, в зависимости от устройства сети. Например, если кроме оборудования Cisco есть еще и другие маршрутизаторы, имеет смысл пользоваться OSPF, чтобы не извращаться с редистрибьюцией маршрутов.

С другой стороны, в 4 различных технологиях сложнее локализовать проблему и решить её, чем в туннелях точка-точка. Но, несмотря на это, в свое время данная технология меня очень сильно выручила. На тот момент пришлось вычистить настройки точка-точка всего-лишь с 5 роутеров, доставшихся мне "по наследству", да и весь трафик ходил через центральный. Теперь же настройка нового оборудования для использования в корпоративной сети занимает время, сравнимое с вытаскиванием роутера из коробкиsmile

Также из минусов хотелось бы отметить неприятное поведение при наличии двух интернет каналов в филиале, когда в центральном офисе канал всего один. Тут придется мудрить с eem и трэкингом, при изменении канала меняя tunnel source на интерфейсе. Подробнее напишу в следующих статьях.

Пример настроек для трех маршрутизаторов

Рассмотрим следующую сложнейшую топологию:

dmvpn1.jpg

Соотв-но, имена роутеров будут: Hub1, Spoke1, Spoke2. В следующих статьях усложним, добавив бэкапный hub2.

Адресация:

Внешние IP: 10.0.0.1/24 (hub1), 10.2.0.1/24(spoke1), 10.3.0.1/24 (spoke2) (int fa1) (10.1 оставим в резерве)

Внутренние IP: 192.168.0.0/24 (int fa2)

Туннели: 172.16.0.0/24 (int tu0)

А в серединке будет роутер с 3 интерфейсами, смотрящий во все эти сети. Вместо интернета. (0.2 на конце)

Базовые настройки сети

1. Маршрутизация.

Т.к. у нас не Интернет, настроим статические маршруты между роутерами.

Пример на Hub1. На остальных аналогично.

Hub1(Config)# ip route 10.2.0.0 255.255.255.0 10.0.0.2
Hub1(Config)# ip route 10.3.0.0 255.255.255.0 10.0.0.2

Настройки маршрутизаторов

Данные настройки - общие для всех трех роутеров.

Создаем туннель:

Hub1(config)#interface Tunnel0

IP-адрес

Hub1(config-if)#ip address 172.16.0.1 255.255.255.0

Указываем источник туннеля

Hub1(config-if)#tunnel source FastEthernet1/0

Говорим нашему роутеру, что это не point-to-point GRE, a mGRE.

Hub1(config-if)#tunnel mode gre multipoint

Указываем ключик. Должен быть одинаковым в пределах одной DMVPN-сети.

Hub1(config-if)#tunnel key 123

Снижаем MTU на интерфейсе, т.к. GRE увеличивает длину заголовка

Hub1(config-if)#ip mtu 1416
Hub1(config-if)#ip tcp adjust-mss 1416

Настройка NHRP

Пока без описания. Скоро добавлю.

Hub-маршрутизатор:

Hub1(config)#int Tu0
Hub1(config-if)#ip nhrp network-id 666
Hub1(config-if)#ip nhrp map multicast dynamic
Hub1(config-if)#ip nhrp authentication authpass

Spoke-Маршрутизатор

Spoke1(config)#interface Tunnel0
Spoke1(config-if)#ip nhrp network-id 666
Адрес туннельного интерфейса hub-маршрутизатора указывается как next-hop-сервер:
Spoke1(config-if)#ip nhrp authentication nhrppass
Spoke1(config-if)#ip nhrp map multicast 172.16.0.1 10.0.0.1
Spoke1(config-if)#ip nhrp map 10.0.0.1
Spoke1(config-if)#ip nhrp nhs 10.10.10.1
Spoke1(config-if)#ip nhrp registration no-unique

Настройка EIGRP

Hub1(config)#router eigrp 20
Hub1(config-router)#network 10.0.0.0 0.0.0.255
Hub1(config-router)#network 172.16.0.0 0.0.0.255
Hub1(config-router)#no auto-summary

Только на Hub-маршрутизаторе (int tu0) отключим Split Horizon и next hop self

Hub1(config-if)#no ip split-horizon eigrp 20
Hub1(config-if)#no ip next-hop-self eigrp 20

Настройки для OSPF добавлю позже.

Настройка IPSec

Hub1(config)#crypto isakmp policy 10
Hub1(config-isakmp)#authentication pre-share
Hub1(config)#crypto isakmp key 0 ciscovpnkey address 0.0.0.0 0.0.0.0
Hub1(config)#crypto ipsec transform-set DMVPNset esp-des
Hub1(cfg-crypto-trans)#mode transport
Hub1(config)#crypto ipsec profile DMVPN-profile
Hub1(config-profile)#set transform-set DMVPNset
Hub1(config)#interface Tunnel0
Hub1(config-if)#tunnel protection ipsec profile DMVPN-profile

Если нигде не ошиблись, должно работатьsmile

Чуть позже добавлю диагностические команды и конфигурации маршрутизаторов.

Администрирование Cisco через веб-интерфейс. Часть 2 - автоподстановка логина, пароля и команды в строку браузера.

Просмотров: 3281Комментарии: 0
Cisco

А оказывается, еще можно подсунуть логин и пароль браузеру, чтобы руками каждый раз не вводить.

Это, конечно, небезопасно, но нужно пользоваться https и непривилегированным режимом с самым низким уровнем доступа и минимумом доступных команд.

Так мы, можно сказать, просто залогинились.

http://username:password@CiscoRouter/level/1/exec/-

А так мы посмотрели список интерфейсов на роутере:

http://username:password@CiscoRouter/level/01/exec/-/sh/ip/int/br/cr

Как видно из последней стройки, команды можно сокращать так же как и в консоли, только через слэш.

Безумно удобно. Но в Internet Explorer'e не работает.

Использование алиасов для упрощения администрирования маршрутизаторов и коммутаторов Cisco

Просмотров: 2785Комментарии: 0
Cisco

Во всех железках на Cisco IOS есть возможность создавать короткие алиасы для длинных команд, например, чтобы быстро выполнить какое-нибудь действие или вывести кусок конфига или диагностики.

Чтобы их использовать, для начала надо их создать.

Создаем.

Пример 1. сокращаем ввод до трех символов для вывода куска конфига, включающего определенные значения.

alias exec sri show run | include

Или

alias exec srb show run | begin

Используем

router#sri snmp
!выведет все строки текущего конфига, содержащие 'snmp'