» Настройка Cisco оборудования

Добрый день!
Поделитесь опытом, пожалуйста, чем стоит, а чем НЕ стоит пользоваться из множества способов защиты сети: ACL, IPS, файрвол на основе зон, еще что-то. Нет времени пробовать все подряд. Мне пока понравились только reflective ACL для выхода и extended ACL+inspect rules для входа, но мжет быть я не права?
IOS c180x-adventerprisek9-mz.124-15.T.bin

seamstress
У Вас судя по прошивке обычный роутер, зачем его нагружать тем чем он не занимается изначально? Его дело МАРШРУТИЗИРОВАТЬ пакеты, а защита это задача ASA. Роутер может выпонять защиту сети в минимальном режиме( о чем кстати написано во многих манах) т.е. использование большого количество аксесс листов и проверок трафика приводит к снижению производительности. Вешайте стандартные списки доступа , для защиты самого маршрутизатора и грубой фильтрации траффика. Все остальное режте на месте получения.

Sterh84
Решительно не поддержу. При нынешних аппаратах у маршрутизаторов достаточно ресурсов для реализации задач аппаратной FW-защиты. Да и раньше они справлялись весьма успешно. Реализация брандмауера на PixOS и IOS (FW) различается изначально, но задача на IOS выполнена отнюдь не хуже; часть специалистов утверждает, что IOS firewall-вариант даж живее. Имеется ввиду механизм CBAC (Context-Based Access Control) и IDS.

seamstress
Детали настройки CBAC довольно обширно представлены в сети. Изначально там пять этапов:
- Установка журнала контроля и предупреждающие сообщения.
- Установка глобальных значений допустимого времени простоя и порогового кол-ва незавершенных соединений.
- Определение назначения портов приложениям (PAM _ port-to-application mapping).
- Определение правил проверки.
- Применение правил проверки и ACL к интерфесам.

Доброго времени суток всем.
Подскажите, может кто сталкивался с проблемой: отказывается запускаться CiscoWorks на сервере, пишет: CiscoWorks Daemon Manager service ... started and stopped ... ну и так далее,
может кто сталкивался и решил эту проблему? Буду благодарен за помощь.

А кто знает для чего применяются SDF файлы ?
Вижу их на флэшке в 2811, но как каково их назначении ?

народ убил прошивку на cisco 877-K9
теперь лампочка CD не загорается с помощью SDM попасть не могу
Можно ли с помощью терминала залить прошивку соответственно такую же что стояла ?
cisco превратилась в простую коробочку
Если можно опишите действия
я только подключил к сиське консольный кабель
гипертерминала в винде 2003 нету
можно ли тругими эмуляторами
и что там нужно писать что бы закинуть прошивку на роутер?

xapmc
можно залить и чрез консоль.
Hyper Terminal есть и в 2k3, только его доставлять нужно из компонентов. Но лучше пользоваться Putty или SecureCRT.
А вот насчёт команд можно на сайте поискать.
Xmodem Console Download Procedure Using ROMmon - это для другой модельки, но думаю должно подойти и тебе.

Удачи.

xapmc

1. Любая терминальная программа (hyperterminal, secureCRT, putty и пр.). Качни putty (www.putty.org), но небольшой и вполне юзабельный.
2. В комплекте с 877 должен был идти кабель (как правило, голубого, зеленого или черного цвета) с разъемами RJ45 с одно стороны и RS232 (COM) с другой. Соответственно, соединяешь RS232 в COM-порт своего компьютера, а RJ45 - в порт console на 877. После этого соединяетесь через putty на Serial COM1 (или COM2, какой используете) speed 9600 (остальное по умолчанию). Включаете 877 и в консоль должны будут посыпаться сообщения. Пару минут будет предприниматься попытка загрузки ios image, потом роутер перейдет в состояние rommon> или router(boot)#

Соответственно, отпишите что у вас вышло и тогда продолжим по ситуации.

Cisco 800 Series Routers Software Configuration Guide

putty есть я использовал его для телнета порт 23 и SSH порт 22
хорошо сегодня буду пробывать как ВЫ написали
на днях отпишусь
СПАСИБО ВАМ ЗА СОВЕТ!!!

выскакивает сообщение rommon 1 >
дальше пишу xmodem имя_прошивки
но ничего не проиходит
выдаёт сообщение Timeout waiting for data - aborting download...


rommon 1 > xmodem c870-advipservicesk9-mz.124-15.T5.bin
Do not start the sending program yet...

WARNING: All existing data in bootflash will be lost!
Invoke this application only for disaster recovery.
Do you wish to continue? y/n [n]: y
Ready to receive file c870-advipservicesk9-mz.124-15.T5.bin
Download Complete!

Timeout waiting for data - aborting download...
rommon 2 >

вот так выглядит



Добавлено:
ааа понял он ждёт что бы я указал путь
только в путти не понял
до установил гипертерминал
ща в данный момент закачивает
а что дальше после закачки писать
какие команды вводить дальше?

всё обновилось через гипертерминал
поставил новую прошивку advanced security
стали доступны в меню QoS и NAC
очень это обрадовало
прошивка на 9600 заливалась 7 часов
после набрал команду reset и cisco ожила
спокойно зашёл в SDM интерфейс
дальше пока не настраивал
В общем всем ещё раз ОГРОМНОЕ СПАСИБО ЗА ДЕЛЬНЫЕ СОВЕТЫ

Подскажите по поводу обновления IOS. Имеется Cisco 877 (памяти 128/28 Мб) с прошивкой c870-advipservicesk9-mz.124-6.T3.bin С циской происходят странные вещи и поэтому хочу попробовать обновить IOS. Вопрос в том стоит ли пробовать обновиться на c870-advipservicesk9-mz.124-20.T.bin при требованиях к этому IOS наличия памяти 192/36 Мб ? Или всеже лучше ставить c870-advipservicesk9-mz.124-15.T6.bin, у которой требования 128/28 Мб ?

How can i get user name pasword or some access to download file from ftp://212.48.153.19/pub/cisco
your help is greatly appreciated.

spitmun


Как я могу получить имя пользователя или пароль доступа к скачать файл из ftp://212.48.153.19/pub/cisco
Ваша помощь имеет высокую оценку.

spitmun

Всем здрассие. Есть у мя циска 2960-8tc-l, т.е. 8 fastethernet и один гигабит, вот этот самый гигабит имеет два порта - эзернет и оптический, мне надо поднять на оптическом порту транк с инкапсуляцией (switchport trunk encapsulation dot1q), но система разрешает почесу-то только allowed, native и pruning, с чем это может быть связано? как поднять транк с инкапсуляцией? можно ли обойтись без обновления ОС?
ЗЫ если я поднимаю просто влан и делаю mode access на гигабитном порту и втыкаю пачкорд (витуха), то порт поднимается, а если втыкаю оптику (переключаю при этом порт - media-type sfp) ничего не поднимается.

DmitriyK
12.4-20T не пробуйте, не поедет - должно соответствовать DRAM.

spitmun
This ftp has read-only access, but you can request the soft on this forum.

russiauser
С некоторых пор на каталистах используется только инкапсюляция dot1q, посему как только вы включили sw mo tru, соответственно, транк поднимается в dotq

есля я правильно понимя, то надо сделаьт следующее:
conf t
in gi 0/1
sw med sfp
sw mo tr

и после этого должен подняться оптический порт?.. но этого не просиходит

russiauser
Может дело в физике? sh int gi0/1 что показывает? А на другом краю что стоит?

на другом краю физически стоит 3750 на 12 оптических портов, sh int gi0/1 говорит, что коннекта нет, вот всё, что он написал:

GigabitEthernet0/1 is down, line protocol is down (notconnect)
Hardware is Gigabit Ethernet, address is 001e.14a1.b189 (bia 001e.14a1.b189)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
Encapsulation ARPA, loopback not set
Keepalive not set
Auto-duplex, Auto-speed, link type is auto, media type is 1000BaseSX SFP
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 5 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out

russiauser
Дык, могет просто по оптике прием и передача попутаны? Вообще, у коммутаторов cisco порты, настроенные по умолчанию, самостоятельно распознают trunk или access.

Может кто подскажет, чот я запутался.
Ситуация такая, необходимо сделать некий аудит в локалке, что на каком порту висит.
Поставил CNA, натравливаю её на рутер(2811), тот видится, все отлично.
Так же в локалке еще стоит стэк из свитчей(3750). Поидее CNA, должна его спокойно увидеть и распознать. Причем, в топологии у рутера действительно виден сосед (по cdp). Однако при попытки добавить стэк в комьюити, т.е. подключится к нему, долго тупит, а потом вываливается по тайм-ауту.
Я так понимаю, что CNA подключается к свитчам по 80 порту. Проверил в конфиге, там прописанно ip http server, однако в сети есть радиус и аутиндификация настроена по протоколу ааа.
SecureCRT подключается к стэку на раз-два, а вот если просто открыть эксплорер и попробовать через вэб (http или https) интерфейс подключиться к свитчам, та же ситуация. Он долго тупит, а потом отваливается по тайм-ауту.
Уже не знаю где копать, может в access-list'ах косяк, но тогда при попытки через вэб меня бы сразу отбило, типа не доступна страничка.
Может кто поможет, или подскажет другую прогу юзать ?
ping и trace летят на ура просто (((( ...

Maxio
проверьте параметры:
ip http server
ip http authentification ?
ip http timeout-policy ?
ip http access-class ?

у меня есть router cisco 2600, раньше не было опыта работы с cisco вообще, посмотрел информацию в инете, очень много, но все начинаются уже для профи почти, кто может подсказать литературу для начального освоения cisco, как подключаться, базовые комманды и т.д. буду премного благодарен.

slut

Команда: sh run | i http вывела вот что ->
ip http server
ip http authentication aaa
ip http secure-server

Причем я создал пользователя (username) поменял ip http authentication local, и попробовал так зайти через вэб (http). Та же картина.
А и вот еще фига, пробовал подключится телнетом на 80 порт, получилось о_о ... пля, может я просто иплан(
Да и вот еще что выяснилось. Я пинговать свитч могу, а со свича свой комп я не могу пинговать.

Leon1978
Чувак, советую тебе начать с чтения книжек для желающих сдавать CCNA. Например вот такие CCENT-ICND1 Exam Certification Guide и CCENT-ICND2 Exam Certification Guide. Далее, по командам тебе может помочь например вот такой мануал Cisco.Press.CCNA.Portable.Command.Guide ... вот линки:
http://www.4shared.com/file/59136999/82da0709/CCENT-ICND1_Exam_Certification_Guide.html
http://www.4shared.com/file/59136460/74463031/CCNA-ICND2_Exam_Certification_Guide.html
http://www.4shared.com/file/59136105/54bda1d3/CCNA_-_Quick_Reference_Sheets_-_Cleaned.html
http://www.4shared.com/file/59135829/72591b1b/CiscoPressCCNAPortableCommandGuide2ndEditionJul2007.html

slut
спс, за помощь патчкорд, зараза, битый оказался...

Добрый день уважаемые! Такой вопрос, есть cisco 2811 необходимо на нем обновить IOS для поддержки SLA.Прежде чем обновлять решил проверить,стоит оригинальная флешка на 64 мб, взял новую на 128 перелил на нее содержимое оригинальной флеши не меняя IOS, воткнул попробовал загрузиться все загрузилось но пропал SDM.Мысль была просто вставить другую флешку с новым IOS.Может кто сталкивался, подскажите плз.как корректно обновить IOS на этом роутере.

andry59
а в чём был смысл замены флеши???
IOS и на эту должен был влезть...

andry59
Дык, может просто переинсталлировать sdm на новую флешку?

fantome
Мысль была оставить на родной флеши базовый IOS, а на новую залить advanced IOS, со старыми файлами с родной флеши.Типа если не будет нормально работать, быстренько вернуть все взад.Но почему то SDM не заработал.

Все сделал, спасибо откликнувшимся.Есть вопрос, может кто сталкивался с cisco 2811 в плане настройки на этом роутере двух провайдеров? Вроде wan там один, может на vlan надо химичить?(установлен модуль на 4 дополнительных порта).

andry59
сталкивались, только не совсем понятно что именно вам нужно. Какими интерфейсами осуществляется привязка? Второй провайдер как страхующий? Какие скорости предоставляются? Каково должно быть распределение трафика? и пр.