Архив рубрики: Network equipment

Настройка сетевого оборудования различных производителей

Обновление Cisco WLC 2504 с версии 8.1.102.0 до 8.5.171.0

8.5.171.0 — последняя поддерживаемая данным контроллером версия оси.

Напрямую перейти с 8.1 на 8.5 нельзя, нужно сначала обновиться до 8.3, а потом до 8.5.

Путь обновления в моем случае:
8.1.102.0 -> 8.3.150.0 -> 8.5.171.0

Чтобы обновиться до версии 8.3, нужно сначала проверить, чтобы был установлен FUS 2.0 (для 8.3 в принципе подойдет и 1.9 версия, но если уж обновлять FUS, то сразу можно прыгнуть на 2.0).
FUS — Fuild Upgrade Software — специальный AES пакет, который подготавливает обновление различных system-related компонентов.

(Cisco Controller) >show sysinfo

Manufacturer’s Name………………………… Cisco Systems Inc.
Product Name………………………………. Cisco Controller
Product Version……………………………. 8.1.102.0
Bootloader Version…………………………. 1.0.20
Field Recovery Image Version………………… 7.6.101.1
Firmware Version…………………………… PIC 20.0

Если в выводе Bootloader Version меньше, чем 1.0.20, сначала обновляем FUS.
AIR-CT2500-K9-2-0-0-0-FUS.aes — это файл FUS 2.0

FUS заливается на контроллер так же, как и остальной «код»: Меню COMMANDS — Download file — а дальше уже выбираете, какой метод вам по душе.

FUS обновляется долго, порядка 30-40 минут с несколькими перезагрузками контроллера. В процессе обновления обязательно обеспечить бесперебойное питание на контроллер.

Мне FUS обновлять не пришлось.

AIR-CT2500-K9-8-3-150-0.aes — файл оси 8.3
AIR-CT2500-K9-8-5-171-0.aes — файл оси 8.5

Для заливки новой версии оси сначала пробую http метод, как самый легкий (файл 8.3 лежит то у меня на ПК, осталось залить), но попытка не удалась. Хоть возможность данного метода и заявлена в веб-интерфейсе, но он не срабатывает (по крайней мере на версии 8.1.102.0), вываливается с ошибкой:

WLC HTTP Transfer failure while storing in flash

это бага Cisco Bug: CSCuu40428.

На community.cisco.com нашелся ответ — используйте TFTP.

Через TFTP все прекрасно залилось и распаковалось. После нужно бутнуть контроллер, перезагруается он минуты 4.
Но wi-fi еще не работает, так как теперь вступают в работу точки, которые тянут с контроллера новую версию оси и обновляются.
Это тоже занимает некоторое непродолжительное время (смотря сколько у вас точек).

Перед тем, как заливать уже ось версии 8.5, нужно убедиться, что все точки подтянули себе версияю 8.3 и стали онлайн.
После этого можно проделывать аналогичную процедуру по переходу с версии 8.3 до версии 8.5.

Все работает.

Cisco: Переключение между двумя провайдерами

Краткая заметка о настройках автоматического переключения между основным и резервным провайдером. Дано:

ISP1: Gi9 299.9.9.9/24 gw:299.9.9.1
ISP2: Gi8 288.8.8.8/24 gw:288.8.8.1

LAN: 192.168.0.0/24

Настраиваем интерфейсы WAN:

interface GigabitEthernet9
description -= ISP1 =-
ip address 299.9.9.9 255.255.255.0
ip nat outside

interface GigabitEthernet8
description -= ISP2 =-
ip address 288.8.8.8 255.255.255.0
ip nat outside

Настраиваем интерфейс LAN:

interface Vlan1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside

Настраиваем acl для NAT:

ip access-list extended NAT_LAN
permit ip 192.168.0.0 0.0.0.255 any

Настраиваем route-map для NAT для двух провайдеров:

route-map NAT_ISP1 permit 10
match ip address NAT_LAN
match interface GigabitEthernet9

route-map NAT_ISP2 permit 10
match ip address NAT_LAN
match interface GigabitEthernet8

Настраиваем NAT:

ip nat inside source route-map NAT_ISP1 interface GigabitEthernet9 overload
ip nat inside source route-map NAT_ISP2 interface GigabitEthernet8 overload

Настраиваем ip sla для мониторинга доступности шлюза основного провайдера (ISP1):

ip sla 1
icmp-echo 299.9.9.1 source-ip 299.9.9.9
ip sla schedule 1 life forever start-time now

Настраиваем отслеживание состояния ip sla 1 для привязки его в дальнейшем к статическому маршруту:

track 1 ip sla 1

Прописываем 2 default route:

ip route 0.0.0.0 0.0.0.0 299.9.9.1 name DEFAULT-ISP1-MAIN track 1
ip route 0.0.0.0 0.0.0.0 288.8.8.1 10 name DEFAULT-ISP2-BACKUP

Основной маршрут по умолчанию — через ISP1 — только если шлюз ISP1 доступен. Если шлюз ISP1 недоступен (что мониторится посредством ip sla), этот маршрут по умолчанию пропадает с таблицы маршрутизации и включается резервный маршрут по умолчанию через ISP2.
Резервный маршрут по умолчанию — через ISP2 — имеет метрику 10 и включается в работу только лишь когда пропадает основной маршрут по умолчанию.
Когда основной шлюз ISP1 становится снова доступен, маршрут по умолчанию переключается обратно на него.

Dlink: Dlink DGS-1100-10/ME — базовая настройка


Дефолтные настройки Dlink DGS-1100-10/ME:

  • логин/пароль — admin/пустой пароль
  • management vlan default (vlan-id 1)
  • ip-address 10.90.90.90/8

1. Настройка Ethernet-интерфейсов

По умолчанию все порты подняты, посмотреть административное состояние (первая колонка — Enable/Disable) и текущее состояние портов:

sw01:5# sh ports
Command: show ports

Port        State/          Settings                                 Connection                          Address
                MDI       Speed/Duplex/FlowCtrl   Speed/Duplex/FlowCtrl        Learning
——      ———         ———————              ———————                   ———
1           Enabled         Auto/Disabled                      Link Down                          Enabled
Auto

10(C)   Enabled         Auto/Disabled                      Link Down                          Enabled
Auto
10(F)   Enabled         Auto/Disabled                      Link Down                          Enabled
Auto

9 и 10 порты в этом коммутаторе — комбо — можно использовать или медь (C), или оптику (F)

посмотреть описания портов (description):

sw01:5# sh ports descr
Command: show ports description

поднять порт 1:

sw01:5# config ports 1 medium_type copper state enable
Command: config ports 1 medium_type copper state enable

Success!

потушить порт 1:

sw01:5# config ports 1 medium_type copper state disable
Command: config ports 1 medium_type copper state disable

Success!

Установить description порта:

sw01:5# config ports 1 medium_type copper description CUSTOMER1
Command: config ports 1 medium_type copper description CUSTOMER1

Success!

Убрать description порта:

sw01:5# config ports 1 medium_type copper clear_description
Command: config ports 1 medium_type copper clear_description

Success!

Если медному (copper) порту, коим и является порт 1, сказать, что он оптический (fiber), он в это не поверит:

sw01:5# config ports 1 medium_type fiber description CUSTOMER1
Command: config ports 1 medium_type fiber description CUSTOMER1

Port 1 can not set with fiber medium .

Failure!

2. Настройка vlan 802.1q

Посмотреть конфигурацию вланов:

sw01:5# sh vlan
Command: show vlan

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 1-10
Untagged Ports       : 1-10

По умолчанию все порты находятся в влане с именем default с vlan-id 1

При манипуляции с вланами, оперируем именно именем влана, что не всегда удобно. Я в таком случае, чтобы не путаться, в качестве vlan-name задаю номер этого влана (vlan-name=vlan-id) — это не руководство к действию, вы можете поступать иначе; например, если у вас в другом месте есть база/табличка с указанием, какому имени влану соответствует какой vlan-id, то держать такую табличку на длинке не имеет смысла.

Создание нового влана:

sw01:5# create vlan 1258 tag 1258
Command: create vlan 1258 tag 1258

Добавление созданного влана на порты:

тегированным:

sw01:5# conf vlan 1258 add tag 8
Command: config vlan 1258 add tagged 8

Success!

нетегированным:

sw01:5# conf vlan 1258 add untag 1
Command: config vlan 1258 add untagged 1

One untag port can only belong to one VLAN.

Failure!

Сначала нужно удалить дефолтный влан с первого порта, прежде чем назначать ему новый (помним, что дефолтный влан назван как default, это имя и используем):

sw01:5# conf vlan default del 1
Command: config vlan default delete 1

Success!

sw01:5# conf vlan 1258 add untag 1
Command: config vlan 1258 add untagged 1

Success!

Посмотреть конфигурацию определенного влана по имени:

sw01:5# show vlan default
Command: show vlan default

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 2-8,10
Untagged Ports       : 2-8,10

по vlan-id:

sw01:5# show vlan vlanid 1
Command: show vlan vlanid 1

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 2-8,10
Untagged Ports       : 2-8,10

Посмотреть, какой влан/вланы сконфигурированы на определенном порту:

sw01:5# show vlan ports 8
Command: show vlan ports 8

Port 8
VLAN ID   Untagged   Tagged
——-          ———         ——
   1                     X                 —
   1258              —                  X
   1259              —                  X

3. Настройка доступа

3.1 Management интерфейс

L3-интерфейс для управления коммутатором называется System, установка/изменение ip-адреса на менеджмент-интерфейсе выглядит следующим образом:

config ipif System ipaddress 192.168.5.2/255.255.255.0 gateway 192.168.5.1

Менеджмент влан:

sw01:5# enable management vlan
Command: enable management vlan

Success!

sw01:5# config management vlanid 100
Command: config management vlanid 100

Success!

не забудьте перед этим создать сам влан и назначить на необходимые порты.

3.2 Добавление пользователя

Сначала табличка пустая, что для меня странно, ведь мы под admin’ом же как-то попадаем на коммутатор, хоть и без пароля:

sw01:5# show account
Command: show account

Username             Access Level
——————   ————

Account is empty!

Создание пользователя:

можно создать пользователя с уровнем доступа admin, operator, или user

sw01:5# create account admin <username 15>

sw01:5# create account admin admin
Command: create account admin admin

Enter a case-sensitive new password:*****
Enter the new password again for confirmation:*****
Connection closed by foreign host.

Выкинуло с коммутатора, нужно перелогиниться с уже установленным паролем.

Чтобы пароль не светился  plain-текстом в конфиге, включаем  password encryption:

sw01:5# enable password encryption
Command: enable password encryption

Success!

4. Настройка времени

Включить sntp:

sw01:5# enable sntp
Command: enable sntp

Please set server first then change state to sntp

-просит сначала задать sntp сервер, задаем и включаем sntp:

sw01:5# config sntp primary 192.168.5.1
Command: config sntp primary 192.168.5.1

Success!
sw01:5# enable sntp
Command: enable sntp

Success!

Посмотреть время:

sw01:5# show time
Command: show time

Time information
——————————————
Current Time Source           : Sntp
Current Time                  : 10 Feb 2017 11:05:12
GMT Time Zone offset          : GMT +00:00
Daylight Saving Time Status   : Disabled
Offset in Minutes             : 60
Annual From                   : 01 Jan 0:0
To                            : 01 Jan 0:0

-переход на летнее время не настроен.

Переход на летнее время обычно настраивается как указание старт_даты (последнее воскресенье марта) и стоп_даты (последнее воскресенье октября). Но на длинке никак не сказать «последнее воскресенье», разве что можно установить примерную дату, например 22-е число. Следите за форматом записи:

sw01:5# config dst annual s_date 22 s_mth 3 s_time 2
Command: config dst annual s_date 22 s_mth 3 s_time 2

Invalid day setting
sw01:5# config dst annual s_date 22 s_mth 03 s_time 2
Command: config dst annual s_date 22 s_mth 03 s_time 2

Invalid day setting

-выше в неправильном формате указано время, нужно задавать часы и минуты через двоеточие. Вот как правильно указываем старт-дату:

sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0
Command: config dst annual s_date 22 s_mth 03 s_time 2:0

Success!

-стоп-дату:

Success!
sw01:5# config dst annual e_date 22 e_mth 10 e_time 3:0
Command: config dst annual e_date 22 e_mth 10 e_time 3:0

Success!

Можно было бы задать все параметры одной командой, но у меня как-то не вышло (если писать параметры, дополняя табом):

sw01:5# config dst annual e_date 22 e_mth 10 e_time 3:0
Command: config dst annual e_date 22 e_mth 10 e_time 3:0
sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0d_time>
Command: config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0
me 3:0d_time>ig dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time <end_time>

SNMP Error Wrong Length.

Можно эту же строку напечатать в текстовом редакторе, а потом скопировать и вставить — тогда кушает:

sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0

Также необходимо указать временную зону (у нас +2):

sw01:5# config time_zone operator + hour 2 minute 0

Смотрим время еще раз:

sw01:5# show time
Command: show time

Time information
——————————————
Current Time Source           : Sntp
Current Time                  : 10 Feb 2017 13:19:12
GMT Time Zone offset          : GMT +02:00
Daylight Saving Time Status   : Annual
Offset in Minutes             : 60
Annual From                   : 22 Mar 2:0
To                            : 22 Oct 3:0

5. Hostname (строка приглашения) и banner

Настроить строку приглашения:

switch:5# config command_prompt sw01
Command: config command_prompt sw01

Success!

Баннер:

sw01:5# config greeting_message
Command: config greeting_message

Greeting Messages Editor
================================================================================
Hello world!

================================================================================
Array Up     : Cursor up                Ctrl+X       : Erase all
Array Down   : Cursor down              Ctrl+L       : Relaod original data
Array Left   : Cursor left              Ctrl+C       : Quit without save
Array Right  : Cursor right             Ctrl+W       : Save and quit
Ctrl+D       : Erase current line
Success!

Проверяем баннер, перелогиниваемся:

root@srv:/home/user1 # telnet sw01
Trying 192.168.5.2…
Connected to sw01.company.net.
Escape character is ‘^]’.

Hello world!

DGS-1100-10/ME login:

6. Другое

config sysname «sw01»
config syslocation «Kozurina,8»
config syscontact «admin@company.net»

Включить jumbo-frame (джамбо-фреймы):

enable jumbo_frame

Сохранить конфигурацию:

sw01:5# save config
Command: save config

Success!

 

Cisco ME 3400: Почему не ходит трафик между двумя портами

Кратко суть:

В цискосвитчах МЕ-серии (metro-ethernet) есть три типа портов: uni, nni и eni.

  • uni — user-network interface — для подключения конечных устройств (ПК, IP-телефоны)
  • nni — network node interface — для подключения роутеров и коммутаторов
  • eni — enhanced network interface — тоже для подключения роутеров и коммутаторов, но с дополнительными возможностями, такими, как: CDP, STP, LACP и т.д.

Так вот, по умолчанию, в 10/100-мегабитных портах установлен режим uni, а в аплинковых портах (SFP-шных 1G, например) — режим nni. И главная соль здесь вот где:

— uni порты могут передавать трафик только в nni.

Т.е. два устройства, включены в соседние 100М-порты одного коммутатора, находящиеся в одном влане не видят друг друга! и не могут обмениваться между собой информацией.

Решение проблемы:

установить два порта в режим nni (или комбинация uni+nni тоже будет работать)

switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#int Fa0/1
switch(config-if)#port-type nni

Тут также стоит заметить, что если у вас на циске образ «metro base» или «metro access», то сконфигурить в качестве nni можно только 4 порта, для «metro IP access» таких ограничений нет.

Не судите строго, возможно, для кого-то такие заковырки в настройке (типа так реализовывается секьюрность) являются очевидными, но я с Метро-эзернет свичами сталкиваюсь впервые.

Default settings

Чтобы долго не искать… Таблица дефолтных настроек для различного сетевого оборудования (будет заполняться постепенно)

Названиеdefault ip addressdefault login/passwordПримечания
Dlink DGS-1100-06/ME10.90.90.90/8admin/пустой пароль

 

Cisco: L2TP-IPSEC на Cisco 2811

http://pro-voip.com.ua cisco

L2TP создает туннель между двумя точками — в нашем случае (Remote Access VPN) клиента и сервера — но не производит шифрование. Для обеспечения шифрования данных, передаваемых в туннеле L2TP, используем IPSec.

 

 

http://pro-voip.com.ua cisco l2tp ipsec

 

 

Настройка L2TP

Алгоритм поднятия L2TP-туннеля на Cisco почти такой же, как алгоритм поднятия PPTP-туннеля, отличается только сам протокол — вместо pptp, указываем l2tp, что вполне логично.

1. vpdn
— глобально включаем vpdn:

Router(config)#vpdn enable

2. vpdn-group
— создаем и настраиваем vpdn-группу:

Router(config)#vpdn-group L2TP-IPSEC
Router(config-vpdn)#accept-dialin
Router(config-vpdn-acc-in)#protocol l2tp
Router(config-vpdn-acc-in)#virtual-template 3

3. interface virtual-template
— создаем и настраиваем шаблон виртуального интерфейса:

Router(config)#interface virtual-template 3
Router(config-if)# ip unnumbered FastEthernet0/0
Router(config-if)#peer default ip address pool L2TP-IPSEC-POOL
Router(config-if)#encapsulation ppp

4. ip local pool
— создаем пул адресов, которые будут выдаваться при поднятии туннеля:

Router(config)#ip local pool L2TP-IPSEC-POOL 50.50.50.1 50.50.50.15

5. username
— создаем пользователя:

Router(config)#aaa new-model
Router(config)#aaa authentication ppp default local
Router(config)#aaa authorization network default local
Router(config)#username vpn password strong_pass

 

Настройка IPSec

IPSec — это не протокол, а стандарт, состоящий из 3 протоколов:

  • ESP (Encapsulating Security Payload)  шифрует данные
  • AH (Authentication Header) отвечает за аутентификацию источника и проверку целостности данных
  • IKE (Internet Key Exchange protocol) используется для согласования параметров и создания защищенного туннеля

Процесс согласования параметров и создания туннеля происходит в 2 этапа — первая и вторая фаза IKE. В результате работы IKE создается 2 туннеля — ISAKMP-туннель и, собственно, защищенный туннель для передачи данных. ISAKMP-туннель после второй фазы IKE не разрывается, он служит для обновления ключей шифрования основного канала (ключи обновляются каждые N секунд, время обновления можно задать в настройках isakmp policy командой lifetime)

 

При первой фазе IKE стороны «меряются» ISAKMP-полисями, поэтому первым делом…

1. crypto isakmp policy
— создаем ISAKMP policy

ISAKMP policy используется для создания ISAKMP Tunnel при первой фазе IKE. Уже по ISAKMP туннелю стороны договариваются об SA (Security Association) основного шифрованого канала (метод шифрования, ключи). Создание второго туннеля уже для шифрования данных — это вторая фаза IKE.

Чем меньше номер policy, тем она приоритетнее. Если сторонам не удалось согласовать параметры для построения ISAKMP туннеля, используя политику, например, 10, то они переходят к согласованию, используя политику 20 и т.д.

  • номер политики — 10
  • алгоритм шифрования — 3des
  • метод аутентификации — pre-shared keys
  • задаем длину ключа — Diffie-Hellman (DH) группа 2 — 1024 bit
  • алгоритм хеширования — md5
  • время жизни ключа шифрования — 3600 сек — 1 час, после истечения lifetime ключ меняется
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 2
Router(config-isakmp)#hash md5
Router(config-isakmp)#lifetime 3600

 

2. crypto isakmp key
— создаем pre-shared key, который используется для создания ISAKMP-туннеля:

Router(config)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
Router(config)#crypto isakmp keepalive 3600

Смотрим параметры новосозданной ISAKMP-полиси:

Router#show crypto isakmp policy

Global IKE policy
Protection suite of priority 10
encryption algorithm:    Three key triple DES
hash algorithm:        Message Digest 5
authentication method:    Pre-Shared Key
Diffie-Hellman group:    #2 (1024 bit)
lifetime:        3600 seconds, no volume limit
Router#show crypto isakmp key
Keyring      Hostname/Address                            Preshared Key

default      0.0.0.0        [0.0.0.0]                    cisco

 

При второй фазе IKE для создания туннеля для шифрованых данных стороны «меряются» transform-set’ами

3. crypto ipsec transform-set
— cоздаем transform-set  — набор протоколов, которые поддерживает сторона для установления IPSEC. transform-set определяет, как будут шифроваться данные:

Router(config)#crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
Router(cfg-crypto-trans)#mode transport

Есть два режима работы IPSec:

  • туннельный (он включен по умолчанию) — шифруются данные вместе с ip-заголовками
  • транспортный — шифруются только данные

Для работы совместо с L2TP нам нужен транспортный режим, что мы и задаем в настройка transform-set’a командой mode transport

 

4. crypto dynamic-map
— создаем динамическую карту шифрования, назовем ее, например, 3DES-MD5-DYNMAP, и к ней привязываем transform-set:

Router(config)#crypto dynamic-map 3DES-MD5-DYNMAP 10
Router(config-crypto-map)#set transform-set 3DES-MD5

5. crypto-map

— создаем статическую карту шифрования, связываем динамическую карту шифрования со статической:

Router(config)#crypto map 3DES-MD5-MAP 10 ipsec-isakmp dynamic 3DES-MD5-DYNMAP

6. interface
— привязываем статическую карту шифрования к интерфейсу:

Router(config)#interface fastEthernet 0/0
Router(config-subif)#crypto map 3DES-MD5-MAP

*Jun 16 11:46:56.183: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONip

 

При подключении к L2TP/IPSec в VPN-клиенте помимо ip-адреса сервера, логина и пароля, нужно указать ключ (Shared Secret). Этот ключ мы задавали командой crypto isakmp key, в моем примере ключ cisco.

Cisco: PPTP-сервер на Cisco 2811

http://pro-voip.com.ua cisco

PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. (c) wiki

VPDN (Virtual Private Dialup Network)

Сценарий 1

Подключаемся к PPTP-серверу, получаем отдельный белый ip и с этим ip выходим в интернет.
Получается, что на каждое подключение — свой белый ip-адрес.
На стороне провайдера необходим маршрут в нашу сеть, которая выдается для PPTP.

 

 

cisco-pptp-scenario1

 

 

1. Включаем VPDN

Router(config)#vpdn enable

2. Создаем VPDN-группу

Заходим в режим конфигурации VPDN-группы:

  • разрешаем входящие «dial-in» запросы
  • указываем протокол pptp
  • определяем шаблон, который будем использовать при создании виртуального интерфейса
Router(config)#vpdn-group VPN-1
Router(config-vpdn)#accept-dialin
Router(config-vpdn-acc-in)#protocol pptp
Router(config-vpdn-acc-in)#virtual-template 1

3. Создаем virtual-template для VPDN-группы 

При подключении пользователя к PPTP-серверу создается Virtual-Access-интерфейс.  Virtual-Access-интерфейс клонируется с Virtual-Template-интерфейса (с шаблона).

Создаем шаблон virtual-template и настраиваем параметры будущего виртуального интерфейса:

  • задаем инкапсуляцию ppp
  • список адресов, назначаемых виртуальному интерфейсу выделяется динамически с пула VPN-POOL-1
  • задаем реальный интерфейс, который клонируем в виртуальный
  • отключаем keepalive
  • задаем параметры ppp — шифрование (encrypt) и перечисляем возможные методы аутентификации (authentication)
Router(config)#interface virtual-template 1
Router(config-if)#encapsulation ppp
Router(config-if)#peer default ip address pool VPN-POOL-1
Router(config-if)#ip unnumbered FastEthernet 0/0
Router(config-if)#no keepalive
Router(config-if)#ppp encrypt mppe auto
Router(config-if)#ppp authentication pap chap ms-chap ms-chap-v2

4. Создаем пул адресов VPN

Router(config)#ip local pool VPN-POOL-1 50.50.50.1 50.50.50.15

5. Создаем пользователя

  • включаем aaa new-model (если еще не включена)
  • ppp аутентификация и авторизация будет производиться с использованием локальной базы пользователей
  • добавляем пользователя
Router(config)#aaa new-model
Router(config)#aaa authentication ppp default local
Router(config)#aaa authorization network default local
Router(config)#username vpn password strong_pass

 

 

Сценарий 2

Если нет отдельной сети белых ip-адресов для VPN-пула, можно использовать сеть серых адресов + NAT

Подключаемся к PPTP-серверу, серый ip, NAT’им «серый» ip в «белый» и с «белым» ip выходим в интернет.
В итоге на все подключения — 1 «белый» ip.

 

 

cisco-pptp-scenario2

 

 

1. Включаем VPDN

Router(config)#vpdn enable

2. Создаем VPDN-группу

Router(config)#vpdn-group VPN-2
Router(config-vpdn)#accept-dialin
Router(config-vpdn-acc-in)#protocol pptp
Router(config-vpdn-acc-in)#virtual-template 2

3. Создаем virtual-template для VPDN-группы 

+ NAT

! NAT включаем на Virtual-Template -интерфейсе, а не на реальном FastEthernet0/0:

Router(config)#interface virtual-template 2
Router(config-if)#encapsulation ppp
Router(config-if)#peer default ip address pool VPN-POOL-2
Router(config-if)#ip unnumbered FastEthernet 0/0
Router(config-if)#no keepalive
Router(config-if)#ppp encrypt mppe auto
Router(config-if)#ppp authentication pap chap ms-chap ms-chap-v2

Router(config-if)#ip nat enable
Router(config-if)#ip nat inside

4. Создаем пул адресов VPN

Router(config)#ip local pool VPN-POOL-2 192.168.1.1 192.168.1.254

5. Создаем пользователя

Router(config)#aaa new-model
Router(config)#aaa authentication ppp default local
Router(config)#aaa authorization network default local
Router(config)#username vpn password strong_pass

6. Завершаем настройку NAT

+ NAT

nat inside — виртуальный интерфейс
nat outside — реальный интерфейс Fa0/1

Router(config)#interface FastEthernet0/1
Router(config-subif)#ip nat enable
Router(config-subif)#ip nat outside

C помощью стандартного access-list 1 указываем какую сеть натить и в какой интерфейс:

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface FastEthernet0/1 overload

 

 

Дополнение

Если настроить на Cisco оба вышеописаных сценария, Cisco ругнется, что у нас две VPDN-группы с одинаковой конфигурацией:

% Warning, the vpdn groups VPN-1 and VPN-2 have the same configuration

— указан один и тот же протокол — pptp

И правильно ругнется —  когда пользователь будет подключаться по PPTP, как циске выбрать, к какой группе этого пользователя прилепить — VPN-1 или VPN-2 ? Работать PPTP-сервер в таком случае будет, но будет активной только одна VPDN-группа — та, которая была создана первой, т.е. VPN-1.

Если все-таки нужно несколько групп, можно поступить следующим образом: для подключения к разным VPDN-группам нужно использовать разные ip-адреса интерфейсов cisco для pptp-сервера:

Router(config)#vpdn-group VPN-1
Router(config-vpdn)#source-ip 10.10.10.1

 

Cisco: Настройка привилегий пользователя

 

http://pro-voip.com.ua cisco

Здесь я хочу оставить заметку о том, как в Cisco добавить пользователя, который может выполнять только определенные (явно разрешенные) команды конфигурации. Словами Cisco — наделить пользователя определенными привилегиями.

 

Для начала немного о CLI Command Mode

 

CLI (Command Line Interface) Cisco имеет несколько режимов работы:

  • User EXEC — пользовательский режим; сюда мы попадаем, когда логинимся на Cisco; по дефолту имеет «1» уровень привилегий;
telnet sw-office

Username: admin
Password:

sw-office>

Дефолтный уровень привилегий пользователя можно менять — установить, например «15» — и пользователь при логине на Cisco попадает сразу в привилегированый режим.

  • Privileged EXEC — привилегированый режим; переходим в него из User EXEC режима с помощью команды enable; имеет наивысший — «15» уровень привилегий, соответственно, и полный контроль над железкой
sw-office>enable
Password:
sw-office#
  • Global configuration — режим глобальной конфигурации; переходим в него из Privileged EXEC режима с помощью команды configure terminal
sw-office#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
sw-office(config)#
  • Далее из режима глобальной конфигурации можем переходить в режим конфигурации интерфейса, линии, вланов и т.д.

Режимы работы Cisco CLI, как видим, иерархичны: для того, чтобы поднять какой-нибудь 100-мегабитный порт #17, нужно пройти цепочку Login -> (User EXEC) -> enable -> (Privileged Exec) -> configure terminal -> (Global configuration) -> interface Fa0/17 -> (Interface configuration) -> no shutdown

Т.е. для того, чтобы просто поднять порт, пользователю нужны полные права? По умолчанию, да. Для тех, кого такое положение вещей не устраивает, Cisco предусмотрела  механизм управления привилегиями пользователей через уровни привилегирования (privileges level). О них пойдет речь ниже…

 

Cisco privileges level

 

У Cisco всего есть 16 уровней привилегий — по нумерации от 0 до 15. Уровень «1» — дефолтный пользовательский, уровень «15» — высший привилегированный (полные права доступа). Почему дефолтный пользовательский не «0»? — не знаю.

В итоге у нас остается еще 14 уровней привилегий, которые можно настроить под определенные команды.

Переход между уровнями привилегий осуществляется через команду enable <номер уровня>. Просто enable попытается закинуть в самый привилегированный уровень 15:

sw-office>enable
Password:
sw-office#show privilege
Current privilege level is 15

Попасть в привилегированный режим третьего уровня:

sw-office>enable 3
Password:
sw-office#show privilege
Current privilege level is 3

Из любого уровня в уровень ниже можно попасть уже без пароля:

sw-office#show privilege
Current privilege level is 15
sw-office#enable 2
sw-office#show privilege
Current privilege level is 2

Выйти из привилегированного режима — disable:

sw-office#disable
sw-office>

 

Настройка привилегий 

 

Задача: создать уровень привилегий 3 и позволить пользователям, имеющим к нему доступ, настраивать порты (description, switchport mode, shutdown/no shutdown), смотреть running-config портов и сохранять конфигурацию.

1. Устанавливаем привилегии

Установка привилегий имеет следующий вид:

privilege <режим CLI> level <номер уровня> <разрешенная команда>

sw-office(config)#privilege exec level 3 configure terminal
sw-office(config)#privilege configure level 3 interface
sw-office(config)#privilege interface level 3 description
sw-office(config)#privilege interface level 3 shutdown
sw-office(config)#privilege interface level 3 switchport mode
sw-office(config)#privilege interface level 3 switchport access
sw-office(config)#privilege interface level 3 switchport trunk
sw-office(config)#privilege exec level 3 show running-config
sw-office(config)#privilege exec level 3 write memory

2. Даем пользователям доступ к этим привилегиям

Эту задачу можно решить несколькими способами:

— создать пароль на доступ к уровню через команду enable:

sw-office(config)#enable secret level 3 0 strongpasstolevel3

тогда доступ к привилегированному уровню 3 будут иметь пользователи, знающите пароль (и пользователи с уровнем привилегий выше (4…15).

— создать пользователя, который при логине на Cisco сразу попадает в привилегированный режим уровня 3:

sw-office(config)#username admin secret 0 strongpass
sw-office(config)#username admin privilege 3

тогда доступ к привилегированному уровню будет иметь только этот пользователь (ну и пользователи с уровнем привилегий выше (4…15).

Проверим:

Username: admin
Password:

sw-office#show privilege
Current privilege level is 3

Если это не работает, и при логине пользователь попадает все равно в Exec mode level 1, делаем следующее:

sw-office(config)#aaa authorization exec default local

 

Удаление привилегий

 

Казалось бы, следуя логике конфигурированию Cisco, чтобы удалить те или иные настройки, следует использовать слово no перед командой. И если мы делаем:

sw-office(config)#no privilege exec level 3 configure terminal

то ожидаем в конфиге эту строку больше не видеть. Но работает это не везде. Например, на WS-C3750-48TS-S Version 12.2(55)SE4 команда no работает. А на ME-3400-24FS-A Version 12.2(40r)SE1 получим вот такое:

sw-office-2(config)#no privilege exec level 3 configure terminal
...
sw-office-2#sh running-config
...
privilege exec level 15 configure terminal
privilege exec level 15 configure

Тогда нужно использовать команду сброса (reset) привилегий:

sw-office-2(config)#privilege exec reset configure

Ну вот пока что, в принципе, и все.