Paranoik_13 Крестоносец Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Настройка Cisco оборудования   Уже обсуждалось на форуме Общие Access list для Router (cisco) Cisco Catalyst 2950: как правильно обновить   IOS? Закачка IOS через tftp-сервер Switch Cisco 2950 Catalyst 3548 Series XL Router Как поднять NAT на Cisco 2600 Как настроить VPN на CISCO 2611 Cisco 1701 и PPPoE Настройка Cisco 877 мостом PIX / ASA Настройка Cisco PIX Firewall / ASA CISCO PIX 7.04 форвардинг портов. КАК? Сброс пароля на Cisco PIX 501 cisco pix 501 config помогите Помогите настроить PIX Cisco ASA 55x0 Remote Access VPN Aironet Cisco Aironet   Cisco IPS/IDS Cisco IDS Sensor (NM-CIDS)   Поиск OS Cisco IOS   Cisco Security Software Cisco Security Software   Полезные ссылки http://cisco.com - тут как гворится есть всё ! http://ciscolab.ru - CiscoLab Лаборатория Сетей http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru http://faq-cisco.ru/ - cisco на русском http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia http://dreamcatcher.ru -   http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco http://anticisco.ru - молодой портал по цискам     Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022

gog99 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Два года спустя -- тот же вопрос: как подключить 7942/7942G к Сипнету?     Есть даже версия, что в принципе не подключается: несмотря на наличие прошивки под SIP, никто не встречал человека, который бы видел 7942/7942G работающими под Сипнетом (или каким-то другим SIP-оператором). Только связка 7942/7942G+Asterisk. Всё.     Для справки: настройки для 7940/7940G совершенно иные и для 7942/7942G не подходят от слова "совсем".     Или, может, тут есть тот единственный секретный партизан, который смог побороть 7942/7942G и подключить его к Sipnet'у? Всего записей: 115 | Зарегистр. 08-04-2008 | Отправлено: 11:35 23-02-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Возможно ли разграничение привилегий так, что уровень дает право переключать VLAN на порту, может быть, сбрасывать port security, но не дает возможности изменять конфигурацию устройства в целом? Типа эникей. Кто-то пересел с места на место, надо сконфигурировать розетку. Понимаю, что возможно, но не встретил до сих пор конкретики, какой это уровень? Всего 15. no aaa new-model. В основном 2960. Есть 3560. IOS 15 Опция, но для меня важная. Уровень позволяет рулить acces mode но запрещает трогать trunk ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:24 02-03-2018

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Цитата: Понимаю, что возможно, но не встретил до сих пор конкретики, какой это уровень?   Такой конкретики просто нет, ибо в 15 уровней все варианты не влезут. Добавляешь к минимально необходимому уровню нужную функцию, назначаешь уровень юзеру. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 11:03 02-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Из вопроса же понятно, что я ориентируюсь чуть меньше, чем ноль... Конкретика такая: сейчас у меня нет пользователей на устройствах. Есть Код: enable secret ************ ! line vty 0 15 password ***** login exec-timeout 180 0   Из этого я имею просто и незатейливо: Цитата: telnet cisco User Access Verification Password: ********************************************************* *********        Welcome to Exec access. Be careful.     *********** ********************************************************* C3560G>en Password: C3560G# Соответственно, делай что хочешь. Я, хоть и лох чилийский, но от последствий того, что пишет вебморда на портах, даже у меня сводит скулы... Хочу это исключить. Надо, чтобы анукей не знал пароля к высоким привилегиям, а получил от меня что-то, логин и пароль, видимо, которые позволят ему рулить switchport access vlan и еще по мелочи Хочу так: Первоначальный запрос пароля на доступ к line vty оставляем как есть. Далее, инженер набирает то, что я у вас выпытаю (надеюсь) и получает тот уровень привилегий, который позволит ему выполнить свою работу, переключить вилан, сделать shut & no shut, что-то еще. Сам набор не принципиален. Я в принципе не вкуриваю, как, не имея имени пользователя, разграничить по привилегиям. Сам принцип... Дальше. Есть ли стандартный набор, аля юзер, повер юзер, админ или сам создаешь наборчик... Ну, если принцип долго, то можно сразу конфиг. Я допилю. Кого добавить, куда. Как установить привилегии. Или ссылки покурить. Понятные. В смысле, с конкретной реализацией ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:38 02-03-2018

uncleShi Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Гугли "aaa new-model". Если локально, на каждой железке, то: добавить пользователя(!!! первого добавь с privelege 15 !!!): (config)# service password-encryption (config)# username <NAME> privelege <0-15> secret <PASS1> (config)# enable secret <PASS2> Включить ААА: (config)# aaa new-model (config)# aaa authentication login default local (config)# aaa authorization exec default local (config)# aaa authorization console (config)# (config)# line {console | vty | tty} <N> (config-line)# login exec default (config-line)# authorization exec default   2. Дальше гугли про "privilege level" Требуется выдать права на выполнение определённых команд для к-л уровня от 0 (самого ограниченного) до 15(самого высокого). Т.о., можно предоставить пользователю ограниченные права на изменение конфига устройства (например, менять только настройки интерфейса, просмотр конфигурации итп). Например: (config)#privilege exec level 3 configure terminal (config)#privilege configure level 3 interface GigabitEthernet1/0/1 (config)#privilege interface level 3 switchport access vlan 3. Telnet -         Добавлено: вводная теория: https://habrahabr.ru/company/pt/blog/192668/ Всего записей: 3023 | Зарегистр. 29-05-2003 | Отправлено: 01:23 03-03-2018 | Исправлено: uncleShi, 17:50 04-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору uncleShi Гугль рулит. Почти всё понятно, можно "лабораторку делать", оборудование есть... Кроме одного. Без aaa new-model разграничение возможно? Сложилось впечатление, что да. Сеть весьма малая. Не хочется включать то, что не совсем понимаешь. Не навреди, как кто-то сказал, нет такой задачи. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:25 04-03-2018

uncleShi Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Не хочется включать то, что не совсем понимаешь (config)# aaa new-model (config)# username <NAME> privelege <0-15> secret <PASS1> Первая команда служит для активации модели ААА (Authentication, Authorization, Accounting). Нужна, чтобы была возможность использовать для аутентификации на устройстве через RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username. Только один момент: приоритет aaa new-model выше, чем у vty команд. Поэтому если не будет пользователей в локальной базе, зайти на коммутатор не получится. Всего записей: 3023 | Зарегистр. 29-05-2003 | Отправлено: 17:49 04-03-2018

alespopov Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Slavik099 Представьте еще раз, что у вас три циски, КАЖДАЯ со своими маршрутами (хотя они и находятся физически в одной) которые ничего про другие не знают и знать не могут,  -  и в этом-то и вся прелесть. Например циска, с именем ISP1, у себя имеет только один маршрут (если не считать DMVPN туннель ) типа такого (по вашему конфигу):   ip route 0.0.0.0 0.0.0.0 шлюз     И все!!!, больше она ничего не знает ни про какие "192.168.50.3 255.255.255.0" она сети слыхом не слыхивала и понятия не имеет как туда трафик передавать, - разве что через дефолт, который ей уже тут и указан. Само-собой так NAT работать не будет.   Глобальная-же таблица, которая без vrf-а сейчас, ничего кроме 'directly connected' (а именно 192.168.50.0/24 ) не знает, и понятия не имеет куда ей слать дефолт, ну т.е. который 0.0.0.0 0.0.0.0, и в какую сторону слать пакеты "в интернет", которые она сможет уже и за-NAT-тить, в том числе.   А что-бы она/и об этом узнала(и) нужно: 1) Проложить между этими цисками внутренний туннель и маршруты нужные командами в EIGRP прописать. 2) Либо сеть 192.168.50.x та-же назначить на VRF и между ними стоить маршруты на основе BGP. Подробнее... 3) Есть еще третий вариант, но это симбиоз двух первых, там сложнее еще.. 4) А если нет времени/желания, все настроить на роут-мапах, там будет быстрее ... наверно ...   Оба этих способа самым подробнейшим образом, включая настройку NAT-а, описаны  в моем блоге, о чем я уже вам и писал. Даже все команды даны, и схема, и как маршруты будут выглядеть.... Все вроде разжевал там уже, - прочитай-же уже все не наискось, а внимательно, и по шагам ... Нужно просто их за мной повторить, - разобраться в этой магии, и потом щелкать будете эти vrf-ы как орешки.   PS Конфиги неплохо-бы под тег 'more' прятать.... PSPS Я-б не стал сразу криптографию прикручивать, сначала без нее DMVPN заведите ... ---------- Да помогут Вам те боги, в которых Вы верите Всего записей: 377 | Зарегистр. 04-09-2001 | Отправлено: 20:18 04-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору uncleShi Цитата: Поэтому если не будет пользователей в локальной базе, зайти на коммутатор не получится.   Именно этот момент был. Второй раз наступить - грабли, однако. Но то была лично моя, ЦОДовская, читай серверная, сЫска в момент его формирования. Не смертельно, обресетил. Наступить же так в рабочей сети... Понимаете. Только исходя из этого и возникает вопрос, а обязательно ли... Понимаю кошерность и феншуйность. Понимаю прошлую ошибку, не задал пользователя. Можно расшифровать вот это? (config)#line vty <N>    (config-line)#login exec default    (config-line)#authorization exec default     ибо всегда встречается  (config-line)#login local ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:21 04-03-2018

uncleShi Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Можно расшифровать вот это? (config)#line vty <N>    (config-line)#login exec default    (config-line)#authorization exec default   Включили ааа, создали метод аутентификации. А это применение метода для соответствующих виртуальных(vty) или реальной консоли(-ей).   https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/fsecur_r/srfauth.html   Цитата: Именно этот момент был. Второй раз наступить - грабли, Гм, ходить по граблям надо в Packet Tracer и GNS. Всего записей: 3023 | Зарегистр. 29-05-2003 | Отправлено: 23:34 04-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Опять по privilege level   Достаточно ли будет на интерфейсе одной строчки ! interface GigabitEthernet0/1  switchport access vlan 2 ! Чтобы по нему забегал второй VLAN? Дело в следующем рассуждении: Если я дам права на privilege interface level 3 switchport mode access то, пользователь может взять и испортить транковый порт. Возьмет и switchport mode trunk переделает в switchport mode access Перечислять же порты, конкретные, не хочу по нескольким соображениям. Отсюда и вопрос. Если той стороки достаточно, то получает этот уровень privilege interface level 3 switchport access vlan выставляет конфиг, приведеннгый в начале и все счастливы. Если же недостаточно будет, то to be continued   И второе. Чтобы значила сия конфигурация?? ! interface GigabitEthernet0/1  switchport access vlan 2  switchport mode trunk ! таки это асессный порт или транковый? Или, техинтуиция права и это транк с allowed vlan 2 ? Тогда, как будет кошерно феншуйно?   Добавлено: По первому вопросу, я не один такой. Вот, человека тоже заботит нечто вроде "except some interfaces like trunk interfaces. is it possible to be done?" И предлагает он к критике следующее   # privilege interface level 5 shut # privilege interface level 5 no shutdown # privilege interface level 5 switchport # privilege interface level 5 switchport access vlan # privilege interface level 5 switchport mode access # privilege configure level 7 interface vlan # privilege configure level 7 interface GigabitEthernet1/0/52 # privilege configure level 7 interface GigabitEthernet1/0/51 # privilege configure level 7 interface GigabitEthernet1/0/50 # privilege configure level 7 interface GigabitEthernet1/0/49 # privilege configure level 5 interface # privilege exec level 5 configure terminal # privilege exec level 5 write memory   но, во-первых, никто не высказался, а во-вторых, он таки перечисляет конкретные интерфейсы. Мне бы без последнего.   Добавлено: http://www.tek-tips.com/viewthread.cfm?qid=1680948 ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 09:28 07-03-2018

uncleShi Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Опять по privilege level А попробовать то слабо? например: sh ver Cisco IOS Software, C2960C Software (C2960c405-UNIVERSALK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1) --- sh run ! username test privilege 3 secret 5 $blablabla ! privilege interface level 3 switchport privilege configure level 3 interface privilege exec level 3 configure terminal privilege exec level 3 configure ! --- sw3(config)#int f0/3 sw3(config-if)#? Interface configuration commands:   default     Set a command to its defaults   exit        Exit from interface configuration mode   help        Description of the interactive help system   no          Negate a command or set its defaults   switchport  Set switching mode characteristics   sw3(config-if)#switchport mode ?   access  Set trunking mode to ACCESS unconditionally   ---   Всего записей: 3023 | Зарегистр. 29-05-2003 | Отправлено: 12:51 07-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору uncleShi Цитата: А попробовать то слабо?   Конечно же я пробовал, но можно еще раз. Вот, компилятором выступает WS-C2960G-48TC-L  15.0(2)SE6 C2960-LANBASEK9-M Накатываем ваш конфиг из под админа #sh privilege Current privilege level is 15 #conf t (config)#privilege interface level 3 switchport (config)#privilege configure level 3 interface (config)#privilege exec level 3 configure terminal (config)#privilege exec level 3 configure (config)#exit #exit   Логинимся пользователем уровня 3 и "рулим портом"   telnet switch   Username: adm Password: #sh priv Current privilege level is 3 #sh run ! interface GigabitEthernet0/1  switchport mode trunk ! #conf t (config)#int gi0/1 (config-if)#switchport mode access (config-if)#exit (config)#exit #sh run ! interface GigabitEthernet0/1  switchport mode access !   Как видим, пользователь с ограниченными привилегиями убил транк. Осталось ему, только назначить только номер вилана, для полного счастья. Мне надо, чтоб они жили, транковые, но точного количества аксессных я не знаю. Понятно, что такая ситуация может возникнуть только по невнимательности. Никто в здравом уме не станет физически вынимать RJ-45 из тракового порта и вставлять в него комп... Но раз существует теоретическаая возможность сделать глупость, то моя задача, если уж я полез тут рулить - исключить даже теоретическую возможность. Тогда "сдаём на поддержку" и забываем... Видимо, придётся перечислять все порты, исключая те, к которым доступа нет. Либо, отдать с транками, сказав, чтоб за руками следили... Это сделано, сэр... Такой набор нарисовался. Вроде бы всё   privilege interface level 3 shutdown privilege interface level 3 switchport privilege interface level 3 description privilege configure level 3 interface privilege exec level 3 write memory privilege exec level 3 write privilege exec level 3 configure terminal privilege exec level 3 configure privilege exec all level 3 show running-config privilege exec level 3 show ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:40 07-03-2018 | Исправлено: Paromshick, 20:50 07-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Встречаю постоянно конфиги типа   switchport access vlan 123 switchport mode trunk   и не совсем понимаю, что себе сыска думает при этом. А что она думает?   switchport trunk allowed vlan 123 switchport mode trunk   Так что ли? Как вообще, победить в конкурсе лучшей настройки порта, когда арбитром будет загруженность ЦП на тысячные доли процента. Феншуй. Скажем, 1.Мне нужен на порту комп, воткнутый в вилан 2 и только это. 2.Другое. Нужен порт, в который уходят все виланы транком 3.Последнее. Порт, в который уходит транком один единственный вилан, второй   На закуску, такая настройка   interface GigabitEthernet0/24  switchport access vlan 2  switchport trunk native vlan 24  switchport trunk allowed vlan 5,16,24  switchport mode trunk   WTF? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:54 29-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По зрелом размышлении, всё это никуда вообще не годится. Удалил сообщение. Всё равно никого тут нет ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 09:52 31-03-2018 | Исправлено: Paromshick, 22:03 31-03-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может кто-то уже отдохнул и вышел на работу)   Какие есть варианты отправить трафик с C3560 на два разных провайдера? PBR у меня не работает. Применил все модели бубнов - не хочет. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:11 13-04-2018

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Цитата: Какие есть варианты отправить трафик с C3560 на два разных провайдера?   Вообще-то С3560, ЕМНИП - это свитч. А PBR и провайдерами занимаются роутеры. С ними я никаких проблем с PBR не встречал. У меня С3825 исправно отправляет нужный трафик на каждого из 3 имеющихся провайдеров. Транзитный - используя повешенный на входящий интерфейс route-map. Локальный (DMVPN, WEBVPN, NAT) - используя local policy maps.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17279 | Зарегистр. 13-06-2007 | Отправлено: 14:35 13-04-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Вообще-то С3560, ЕМНИП - это свитч.   К сожалению, или к счастью, это так. Только он L3. PBR у него заявлен, поддерживается, команды принимаются. Фичанавигатор тоже согласен с этим. Только вот у меня не работает или я что-то не так делаю.   Есть схема, практически лабораторной сети. Два шлюза. Два свитча. Два клиента. На 2960 маршрутизация включена, на 3560 сразу была. Клиенты, провода. Маски везде /24 Как мне заставить VLAN 101 выходить через GW1, а VLAN 102 через GW2. Весь VLAN целиком, каждый чрез свой шлюз.   Схема Ситуация осложнена следующим моментом. Я не могу вешать карты и др. на физический интерфейс, только на логический, ака int vlan 101   Не могу пройти этот уровень, заминка. Читал... много, к примеру http://xgu.ru/wiki/Cisco_PBR https://habrahabr.ru/post/101796/ https://habrahabr.ru/post/114197/ Тема оказалось избитой.     Добавлено: Могу изменить сеть. Мне не особо нравится, что интерфейсы шлюзов в той же подсети, что и у роутеров. Все в одной плоской ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:08 13-04-2018 | Исправлено: Paromshick, 16:18 13-04-2018

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование