Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Открыть новую тему     Написать ответ в эту тему

Paranoik_13



Крестоносец
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настройка Cisco оборудования


 
Уже обсуждалось на форуме
Общие
Access list для Router (cisco)
Cisco Catalyst 2950: как правильно обновить  
IOS?

Закачка IOS через tftp-сервер
Switch
Cisco 2950
Catalyst 3548 Series XL
Router
Как поднять NAT на Cisco 2600
Как настроить VPN на CISCO 2611
Cisco 1701 и PPPoE
Настройка Cisco 877 мостом
PIX / ASA
Настройка Cisco PIX Firewall / ASA
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
Aironet
Cisco Aironet
 
Cisco IPS/IDS
Cisco IDS Sensor (NM-CIDS)
 
Поиск OS
Cisco IOS
 
Cisco Security Software
Cisco Security Software
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
http://anticisco.ru - молодой портал по цискам
 
 

Всего записей: 1451 | Зарегистр. 17-08-2001 | Отправлено: 10:39 27-06-2002 | Исправлено: Komandor, 10:44 31-10-2022
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
:rofl:
Спасибо за пример, но он не ответил на мой вопрос((( Так сказать внесудебный порядок не обнародован...
К тому же суд в США, а что насчет России?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 22:55 03-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Цитата:
Так сказать внесудебный порядок не обнародован...  
Ну почему же? Ссылка

Цитата:
К тому же суд в США, а что насчет России?
Ну, мы же вроде как вступаем в ВТО. Ну а потом, даже если допустить, что этими железками можно будет торговать в России, в законопослушные страны  с ними уже не сунешься. Да и в России могут возникнуть проблемы, если циска обидится. Вон мелкософту же удаются нападки по поводу нелицензионного софта.  
 
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 00:21 04-01-2012
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Ок, спасибо - а что тогда по поводу этого вопроса в симуляторах? GNS3, NetSim и др... (о PacketTracer понятное дело молчим) Как у них этот вопрос решён?

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 01:12 04-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
Цитата:
Ок, спасибо - а что тогда по поводу этого вопроса в симуляторах?  
Ну, по поводу GNS3/Dynagen/Dynamips/NetSim тут как раз все понятно. Они же не включают IOS в свой дистрибутив, а только дают список совместимых IOS, типа, мы подразумеваем, что у вас имеется легально приобретенный софт, который вы можете использовать. Да и положению Циски на рынке применение всех этих эмуляторов/симуляторов  никак не угрожает, скорее наоборот. Потренируется человек "на кошечках", глядишь, купит настоящую железку.  
Предлагаю на сим завершить, поскольку вопрос, конечно, интересный, но с данной темой связан мало.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:43 04-01-2012
yukkko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста, как в циске сделать так, что бы у нее не было открытых портов со стороны WAN интерфейса?
Я так понимаю у меня открыто 2 порта на всех интерфейсах:
#show control-plane host open-ports
Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN

Всего записей: 82 | Зарегистр. 22-07-2008 | Отправлено: 18:27 05-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yukkko Важно не то, что порты открыты, а то, что они не закрыты акцесс-листами.
Все закрывать нельзя, иначе циска вообще потеряет смысл. А ведь она для чего-то нужна.
Но уж телнет закрыть надо обязательно.
Пример:

Код:
interface GigabitEthernet0/0
 ip address 21.21.21.14 255.255.255.0
 ip access-group 100 in
.......
access-list 100 permit ip 21.21.21.0 0.0.0.255 ;разрешить доступ из своей сети
access-list 100 permit tcp any any eq 22 ; разрешить доступ по SSH
access-list 100 permit udp any eq domain any ; разрешить ДНС  
access-list 100 permit udp any any eq domain ; -"-
access-list 100 permit tcp any any gt 1024 established ;разрешить установленные  соединения
access-list 100 permit tcp any 21.21.21.100 eq   www ; разрешить доступ к местному веб-серверу
access-list 100 permit icmp any any echo  
access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any source-quench  
access-list 100 permit icmp any any unreachable  
access-list 100 permit icmp any any time-exceeded  
access-list 100 deny   ip any any ; запретить все остальное.

А вообще то это искусство, читай толстые цискины мануалы.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 19:35 05-01-2012
yukkko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary большое спасибо за хороший пример ACL. В дефолтных конфигах циски такого не прочитаешь=)
Думал, что можно, по аналогии с UNIXом снять сервисы с прослушки внешних портов. Нет открытых сокетов - незачем и фаервол настраивать. Не тратится процессорное время на анализ левых пакетов. Зачем мне, закрытый фаерволом, DHCPd на WAN порте роутера? Странно.

Всего записей: 82 | Зарегистр. 22-07-2008 | Отправлено: 21:09 05-01-2012 | Исправлено: yukkko, 11:06 06-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yukkko
Цитата:
Нет открытых сокетов - незачем и фаервол настраивать
 Ты забываешь, что циска - это не комп, а роутер. И она переправляет пакеты извне в свою сеть, и наоборот.  Допустим, на циске в помине нет порта 1443 (MSSQL Server), но он, скажем, есть на 21.21.21.100, и если этот порт не закрыть ACL, он будет доступен снаружи со всеми вытекающими последствиями.
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 22:03 05-01-2012
yukkko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Ты забываешь, что циска - это не комп, а роутер. И она переправляет пакеты извне в свою сеть, и наоборот.

Забыл уточнить, что этот раутер - дэфолт гейтвей для сети и на нем работает NAT. Правильно ли я понимаю, что NAT надежно защищает внутреннюю сеть от внешних атак? И если мне не нужны никакие сервисы со стороны WAN, то я могу заблокировать открытые порты ACL (или можно заблокировать все, кроме NAT выхода и esteblished?)

Всего записей: 82 | Зарегистр. 22-07-2008 | Отправлено: 11:26 06-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yukkko
Цитата:
Правильно ли я понимаю, что NAT надежно защищает внутреннюю сеть от внешних атак?
 Ну, в принципе можно считать и так. Если циска служит исключительно как НАТ для локалки и имеется всего один внешний айпи, нужно только прикрыть доступ по телнету на циску через этот айпи. Можно это сделать через акцесс-листы, а можно просто отключить телнет как сервис, оставив только SSH.
Для более полного понимания секурности НАТ, полезно почитать это: Ссылка
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 12:20 06-01-2012
yukkko

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Для более полного понимания секурности НАТ, полезно почитать это: Ссылка

Интересная идея по поводу нескольких NATов (сам вряд ли бы додумался - стереотип использовать веши только по прямому назначению). Но в статье нет анализа - на сколько сложно пройти за NAT снаружи, встроившись в TCP сессию, или каким то другим методом.
По настройке ACL топчусь по малу=)
Сейчас так:
NAT ACL:
Standard IP access list 7
    10 permit 10.10.10.0, wildcard bits 0.0.0.255
 
Inbound ACL from LAN side:           ; не смог включить, потому, что перестает работать DHCP
Extended IP access list 100
    10 deny tcp any any eq smtp
    20 permit ip 10.10.10.0 0.0.0.255 any
    30 permit tcp any any gt 1023 established
 
Inbound ACL from WAN side:            
Extended IP access list 101
    10 deny tcp any any eq telnet
    20 deny tcp any any eq 67
    30 deny ip 192.168.0.0 0.0.255.255 any
    40 deny ip 10.0.0.0 0.255.255.255 any
    50 deny ip 172.16.0.0 0.15.255.255 any
    60 permit ip any any
; это работает, но NMAP из интернета показывает 9 открытых UDP портов выше 1024..

Всего записей: 82 | Зарегистр. 22-07-2008 | Отправлено: 18:25 12-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yukkko

Цитата:
30 permit tcp any any gt 1023 established  
Это совершенно лишнее.

Цитата:
но NMAP из интернета показывает 9 открытых UDP портов выше 1024

Ну а как иначе? Хосты изнутри отправляют UDP пакеты, хотя бы ДНС запросы, соответственно их порты транслируются на внешний интерфейс.
Кстати, посмотреть, кто что открывает, можно командой  
show ip nat tran

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 01:19 13-01-2012
AndreySergeevich



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну а как иначе? Хосты изнутри отправляют UDP пакеты, хотя бы ДНС запросы, соответственно их порты транслируются на внешний интерфейс.  
Кстати, посмотреть, кто что открывает, можно командой  
show ip nat tran

 
 
Можно предположить, что сканер должен был показать,что они закрыты. Ведь порт тестируется на открытость попытокой на него соедниться. С какого фига маршрутизатор на конкретном порту будет слать с него пакетик на какой-то левый IP, он ведь ожидает на этом порту пакет только с того IP адреса, который в NAT translation table.  
 
 
интересно, как он проверяет это. Выходит, что циска ему отвечает, а зачем спрашивается?

Всего записей: 178 | Зарегистр. 21-02-2007 | Отправлено: 02:01 13-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AndreySergeevich
Цитата:
Ведь порт тестируется на открытость попытокой на него соедниться.
Это в случае TCP. Для UDP такого понятия не существует, ибо это изначально по своему дизайну "connectionless protocol", без установления соединения и гарантированной доставки..

Цитата:
 он ведь ожидает на этом порту пакет только с того IP адреса, который в NAT translation table.  

Отнюдь нет. Если UDP порт открыт, то он будет принимать пакеты с любых айпи. Что циска потом будет с ними делать, другой вопрос.

Цитата:
интересно, как он проверяет это. Выходит, что циска ему отвечает, а зачем спрашивается?
По дизайну протокола UDP, если в пакете адрес порта, на котором никто не слушает, устройство должно отправить в ответ  ICMP пакет type 3  Port unreachable. Это и происходит.
В принципе, можно в настройках интерфейса указать no ip unreachables, тогда этих ответов циска отправлять не будет.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 10:48 13-01-2012 | Исправлено: vlary, 11:09 13-01-2012
A1EF



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Всего записей: 22 | Зарегистр. 09-12-2010 | Отправлено: 23:16 15-01-2012 | Исправлено: A1EF, 22:35 23-01-2012
rakis

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день
 
В наличии несколько Cisco 5500 серии с прошивкой 8.2(х).
В центре 5510, в удаленных офисах 5505.
Возникла необходимость пробрасывать порт с outside интерфейса в один из удаленных офисов, через IPSec туннель.
на первый взгляд все просто:
static (outside,outside) tcp 1.1.1.1 2222 192.168.0.2 2222 netmask 255.255.255.255
access-list outside extended permit tcp any host 1.1.1.1 eq 2222
same-security-traffic permit intra-interface
проверяю - не работает... неожиданно.
перенастраиваю NAT
static (outside,outside) 1.1.1.1 192.168.0.2 netmask 255.255.255.255
результат тот же... печально
 
Вопрос только один: куда копать дальше?
 
P.S. packet-tracer input outside tcp 2.2.2.2 10000 1.1.1.1 2222 detailed
в итоге отдает  
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
Т.е. с точки зрения ASA все хорошо, вот только не работает...

Всего записей: 379 | Зарегистр. 17-01-2006 | Отправлено: 03:29 18-01-2012 | Исправлено: rakis, 03:29 18-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rakis Тебе несколько не сюда.
Настройка Cisco PIX Firewall / ASA


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 11:15 18-01-2012
lim



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день!
Есть коммутатор 4507R с залитым cat4000-i5s-mz.122-25.EWA9.bin
При включенном logging buffered 65536 debugging не происходит запись в буфер изменений состояния интерфейсов. При включенном terminal monitor в терминал тоже не выдаются данные сообщения. Даже не представляю куда копать... У кого есть соображения по этому поводу?

Всего записей: 97 | Зарегистр. 13-01-2003 | Отправлено: 12:16 20-01-2012
skliz

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди нужна помощь по cisco 4402 Wireless LAN Controller. не получаеться обновить.

Всего записей: 122 | Зарегистр. 19-01-2006 | Отправлено: 12:58 20-01-2012
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lim
Цитата:
 У кого есть соображения по этому поводу?
Настрой где-либо syslog сервер, и пусть железяка складывает все логи на него.
 
 
Добавлено:
skliz
Цитата:
не получаеться обновить.
Сочувствуем. Судя по твоему умению излагать суть проблемы, такое действительно возможно.  
 


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 14:43 20-01-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco оборудования


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru