Cisco ASA NAT

Будут рассмотрены ряд моментов и тонкостей которые связаны с Cisco ASA

И так первый из них это PROXY-ARP

К примеру есть сеть /29 один адрес у провайдера второй ввешаем на Cisco ASA  , для того что б испольвать NAT  для оставшихся WAN адресов (а их у нас осталось еще 3 штуки) можно использовать proxy-arp  :

Читать далее

Опубликовано в рубрике Cisco

Cisco ASA трафик между интерфейсами

По умолчанию на Cisco ASA трафик между интерфейсами с одинаковыми  security-level  — запрещен, это политика безопасности по умолчанию

К примеру у нас есть:

interface Port-channel2.1007
 description ### 
 vlan 1007
 nameif inside_1c
 security-level 100
 ip address 172.16.34.254 255.255.255.0 standby 172.16.34.253
!
interface Port-channel2.1008
 description ### 
 vlan 1008
 nameif inside_sap
 security-level 100
 ip address 172.16.35.254 255.255.255.0 standby 172.16.35.253
!

Читать далее

Опубликовано в рубрике Cisco

Понимание dot1x

Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных юзеров подключенных к коммутатору , если доступ запрещен то трафик любой кроме dot1x на порту блокируется

Сервер аутентификации — это как правило Радиус (или его реализации) и как правило этот сервер стучится в AD/LDAP для того что б понять в какой лан надо прибить пользователя

Рассмотрим конфигурация для Juniper :

Читать далее

Install Nexus5k and initial confioguration

В данной статье будет рассмотрена инсталяция Nexus 5k и первичная его конфигурация . И так приступим к работе , далаем сетевой доступ до железки

 

interface mgmt0
  description switch Gig1/0/8 
  ip address 10.100.X.X/X
!
vrf context management
  ip route 0.0.0.0/0 10.100.X.X

Читать далее

Опубликовано в рубрике Cisco

Rancid for Cisco and Juniper

 

#cat /home/rancid/.cloginrc

add user * rancidd
add password jsw* YYYYYYY
add noenable jsw* 1
add autoenable XX2 1
add autoenable XX2 YYYYYYY
add autoenable * 0 
add password XX2 YYYYYYY {XXXXXXX}
add password 10.xx.xx.xx YYYYYYY {XXXXXXX}
add password * YYYYYYY {XXXXXXX}
add method * telnet ssh


Читать далее

Update NX-OS on Cisco Nexus 7k

Рано или поздно (я думаю что  рано , в силу большого количества багов на Nexus вам прийдется его обновлять) , ниже будет описан процесс как это делать  , постараюсь как можно подробней описать данный процесс :

И так в нашем случае обновление было и версии NX-OS 6.13 на NX-OS 6.14 , для этого вам потребуется :

n7000-s1-dk9-npe.6.1.4.bin

n7000-s1-epld.6.1.4.img

n7000-s1-kickstart-npe.6.1.4.bin

Читать далее

Опубликовано в рубрике Cisco

Замена плат на Cisco 7600

и у вас есть необходимость , заменить или демонтировать плату на Cisco 7600 (на компрессоре — Cisco 6500 этот процесс очень похож) , прежде  всего необходимо выключить все порты (при этом есть след. момент — если это была плата L3 — возможно в памяти этой платы есть маршруты — то есть память и процессорная совокупность всех плат размазывается) — тем самым возможно маршрутизатор будет не много тупить — в зависимости от числа маршрутов . А если же это L2 тогда и того проще .

Далее выполняем выключени питания на плате

#no power enable modolу 1

после чего можно производить демонтаж плат  , по демонтажу у вас вопросов не должно возникнуть — тут все достаточно просто есть 2 замка , и направляющие — в общем по другому если и захочешь , плату поставить не получится .

После того как плата установелна , выполняем
#power enable modolу 1
Будет происходить процесс инициализации , спустя 10-15 минут , плата полностью загрузится и статус на плате будет гореть зеленым — это значит что плата готова к использованию .

Читать далее

Опубликовано в рубрике Cisco

Cisco 7600 IOS update

В данной статье будет рассмотрена процедура обновления IOS на Cisco 76XX серии , в силу того что какие то баги (в данной статье баги рассматриваться не будут) необходимо обновить IOS — что собственно и будет рекомендовать Cisco support при обращении , приступаем :

Что необходимо знать , в силу того что Cisco 7600 и Nexus имеею по 2 процессорных платы (которые работыю и резервируют друг друга) и при выходе из строя одной платы практический с минимальными для сервиса

последствиями включится в работу вторая плата , каждая плата независема (имеет свою flash , процессор и т.д) — каждая из плат может работать независемо . Поэтому надо понимать что если вы запишите конфигурацию на flash только одной платы SUPERVISOR (процессораня плата) при перезагрузке , ваш маршрутизатор можно загрузится с совсем другой платы и с совсем другим конфигом .

Читать далее

Опубликовано в рубрике Cisco

Tacacs to Cisco and Juniper

Сама эта идея очень хоровая , когда у вас удаленных устройств более 10  уже становиться сложно их админить , в частности речь идет о ААА  , что б облегчить и автоматизировать процесс аутентификации пользователей и предназначен tacacs .

При работе связки Tacacs and Juniper есть одна особенность  для того что б пользователь аутертифицировался — этот пользователь (верней его UID с таким же именем должен быть в системе , без пароля и т.д  , главное что б был UID) , иначе вы получите след. ошибку :

 

Apr  3 11:44:46  jswd1 login[24444]: LOGIN_PAM_USER_UNKNOWN: Attempt to authenticate unknown user adminr
Apr  3 11:44:46  jswd1 login[24444]: User 'remote' authenticated successfully but no local login-id configured.
Apr  3 11:44:46  jswd1 login[24444]: LOGIN_FAILED: Login failed for user adminr from host 10.99.4.30

Читать далее

Тонкости работы с Nexus OS

При работе с этим оборудованием необходимо понимать что это Cisco , но при этом это не cisco IOS . Cisco Nexus OS это совершенно другой продукт , это как говорится совершенно другой уровень  . И о многих удобных вещах  я попробую рассказать :

Если вы увидете в NX-OS  :

  ip route 0.0.0.0/0 10.100.32.1   ip route 0.0.0.0/0 10.100.40.1

Это означает что при выборе маршрута будет по битно , выбираться  с начало один маршрут для четных пакетов , и для не четных пакетов второй маршрут . К примеру если взять Cisco 7200 — она бы просто затерла один маршрут и сделал другой .

Если к примеру вы создали vlan и не создали для него имени , то вы его при выводе комманды sh run можете и не увидеть .

Опубликовано в рубрике Cisco