Ответы пользователя по тегу Cisco
  • Что из себя представляют Keepalive сообщения на Cisco switch?

    @John_Alban
    Network/IDS engineer
    Включите "no keepalive" на интерфейсе.
    C stp это никак не связано и с петлями тоже - просто проблема в совместимости медика и циски. Бывает
    Ответ написан
    Комментировать
  • Фаервол для веб-серверов в ДЦ?

    @John_Alban
    Network/IDS engineer
    Что именно вам нужно от файволов? Если что-то большее, чем VPN, то, может, посмотреть на Juniper SRX?
    Ответ написан
  • Cisco Packet Tracer: как сделать запрет доступа к резервному серверу, пока работает основной?

    @John_Alban
    Network/IDS engineer
    Если нужно решение уровня packet-tracer для чисто лабораторного стенда, то просто пропишите статику на каждый сервер, одной из статик поставьте вес побольше.
    Ответ написан
    Комментировать
  • Вопрос про сертификацию и резюме?

    @John_Alban
    Network/IDS engineer
    Лучше не заморачивайся на этом. Активно поглощай информацию, читай материал по CNNP R&S/Voice/SP/SEC веткам. Работодателю будут прежде всего нужны твои знания, ими ты и покажешь, что стремишься развиваться. Если работодателю важна сертификация, то он ее тебе и оплатит (как правило).
    CCNA - это крайне низкий уровень, его недостаточно для работы с более-менее серьезной сетью. Так что, даже если серф будет, им никого не удивить (если конечно работа будет заключаться не в управлении одним несчастным свичем).
    Ответ написан
    Комментировать
  • Как настроить связь между одинаковыми подсетями?

    @John_Alban
    Network/IDS engineer
    Странно построен вопрос. Как они могут быть в одной подсети? Вы настраивали bridge-domain? По умолчанию роутер не даст вам растянуть один broadcast-домен на два своих интерфейса.
    Либо рс3 у вас агрегируется на крайней справа C2560 и между ней и роутером L3 привязка? Тогда все просто - читайте про source/destination NAT. Если не ошибаюсь, у Cisco это называется twice NAT. Гляньте здесь и здесь
    Ответ написан
    Комментировать
  • Как в cisco поменять несколько параметров?

    @John_Alban
    Network/IDS engineer
    1. Включаем режим здоровой паранойи и забываем голый tftp/ftp
    3. Сохраням текущий конфиг, копируем его на комп.
    Готовим файл изменения конфига. Вбиваете в него команды, как будто вы находитесь в консоли и конфигурируете железку в config-mode. Т.е., если хотите изменить ip на интерфейсе, пишите:
    int gig1/0/1
    no ip add
    ip add 1.1.1.1 255.255.255.252
    если изменить маршрут:
    no ip route
    ip route $чтототам
    Думаю, вы поняли. Главное, предвидеть, как ASA отреагирует на команды и не забыть это учесть в файле.
    2. ASA должна поддерживать scp. Вот гайд, как настроить и закинуть файл изменения конфига
    3. На случай ошибки и потери доступа планируем ребут через 10мин:
    # reload in 10
    4. Просто активируем изменения:
    #(config) copy flash:changes.txt running-config
    5. Проверяем результат. Если неудачно, ASA перезагрузится на старом startup-конфиге и можно будет исправить ошибки и повторить процедуру.
    Если же по какой-то причине scp не заработает, можно сделать копирование файла изменений по tftp через easyVPN (который нужно будет поднять между рабочей станцией и ASA), но это уже другая история
    Ответ написан
    1 комментарий
  • Как посмотреть кто грузит канал на cisco asa 5510?

    @John_Alban
    Network/IDS engineer
    можно настроить сбор статистики по netflow и смотреть на коллекторе красивые графики по каждому из клиентов
    Ответ написан
    Комментировать
  • Как обрабытывается CEF-exception трафик внутри cppr-политики в Cisco IOS-XE?

    @John_Alban Автор вопроса
    Network/IDS engineer
    Итак, симтомы проблемы я устранил.
    Изначально ACL для отбора было таким:
    !
    permit udp object-group ext_hosts range 49152 65535 object-group int_hosts range 3784 3785
    !
    Собственно, возникла идея поиграть с условиями и я убрал ограничение по адресам. ACL превратился в:
    !
    permit udp any range 49152 65535 any range 3784 3785
    !
    И все заработало! Но вопрос все равно открыт - устранился симптом, почему ASR не обрабатывает условие по ip-заголовкам - непонятно. Баг или особенность обработки host-inbound трафика на IOS-XE?

    UPD: Весь сыр-бор возник из-за того, что внутри ACL для cef-exception трафика не работают object-groups. Для остального host-inbound трафика они работают.
    Если вместо object-groups напрямую писать ip-адреса, то все работает как надо.
    Ответ написан
  • Возможно ли настроить соединение 3 провайдеров на циске 3845?

    @John_Alban
    Network/IDS engineer
    Смотрите в сторону vrf - наименее затратный способ с точки зрения ресурсов. Делаете 3 vrf, к каждый из них вносите пару vlan/pppoe интерфейсов, плюс в каждом vrf прописываете свои маршруты по умолчанию.
    Ответ написан
    Комментировать
  • Не работает access-list. Что не так?

    @John_Alban
    Network/IDS engineer
    Можно заблокировать на уровне control-plane policy. В текущем виде не получится, т.к. трафик собственный трафик роутера под фильтр не попадет. Но входящий туннель у вас все равно не поднимется, так что задача в какой то степени решена..
    Ответ написан
    Комментировать
  • Как сделать сервер не видным в интернете?

    @John_Alban
    Network/IDS engineer
    На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
    На интерфейсах задать security-level:
    !
    interface gig0/0
    description --to_ISP--
    security-level 0
    nameif untrust
    !
    int gig0/1
    des --to_server--
    security-level 100
    nameif trust
    !
    конфиг NAT:
    object network server_local
    host 192.168.1.2
    object network ISP_peering
    host 111.111.111.111
    !
    object network out_nat
    nat (trust,untrust) dynamic ISP_peering #либо через static режим
    !
    Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
    access-list outside_access extended permit tcp any object server_local eq www
    access-group outside_access in interface untrust

    Естественно, это минимальный конфиг и для полного счастья его не хватит
    Ответ написан
    Комментировать