Содержание
Cisco
http://www.hypercomp.ru/articles/configuring-clock-and-ntp-on-cisco-router/ - Настройка NTP и времени
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/interfaces/6_x/b_Cisco_n3k_Interfaces_Configuration_Guide_602_U11/configuring_ip_tunnels.pdf - Настройка тунелей
Бэкап
copy system:running-config tftp:
Wake On Lan
Создаем ACL с ip которому разрешено «будить» компьютеры:
access-list 1 permit 192.168.10.161
Пробрасываем широковещательный трафик на внутренний интерфейс где стоят компьютеры с включенным WOL:
interface GigabitEthernet0/1.12 ip directed-broadcast 1
Для разрешения пробуждения локальных компьютеров (192.168.0.0/24) из интернета, добавляем проброс с внешней сетевой карты (GigabitEthernet0/0):
ip nat inside source static udp 192.168.0.255 7 interface GigabitEthernet0/0 7
http://shouldhavegonewithcisco.com/2009/02/04/wake-on-lan-is-actually-useful/ - проброс широковещательных пакетов WOL
Обновление
На примере новой IOS: c1900-universalk9_npe-mz.SPA.155-3.M3.bin
и старой: c1900-universalk9_npe-mz.SPA.155-3.M.bin
Закачиваем прошивку по tftp:
copy tftp: flash:
Сравниваем md5:
verify /md5 flash:c1900-universalk9_npe-mz.SPA.155-3.M3.bin
Назначаем с какой прошивки загружаться и удаляем загрузку со старой прошивки:
conf t boot system flash:c1900-universalk9_npe-mz.SPA.155-3.M3.bin no boot system flash:c1900-universalk9_npe-mz.SPA.155-3.M.bin exit write
Проверяем конфигурацию:
show run | include boot
- в результате должна быть показана только новая прошивка!
Перезагружаемся:
reload
Проверяем после перезагрузки:
sho ver | inc bin
Доступ к Cisco
Смена порта
Добавить порт 2222 для ssh (пример для line vty 0 4):
conf t ip ssh port 2222 rotary 9 line vty 0 4 rotary 9
Блокировать входящий tcp трафик на интерфейсе на порт 22 (пример для GigabitEthernet0/1.111):
conf t ip access-list extended blockports deny tcp any any eq 22 permit ip any any interface GigabitEthernet0/1.111 ip access-group blockports in
Ключи SSH
Посмотреть наличие ключей:
sh crypto key mypubkey rsa
Удалить ключ:
conf t cry key zeroize rsa [название ключа] wr
Сгенерировать ключ:
conf t crypto key generate rsa
Защита от брутфорса
Устанавливаем:
- задержку в 300 секунд, если было 3 неудачные попытки входа в течение 30 секунд
- задержку в 5 секунд между попытками входа
- записываем неудачные попытки входа в лог
- записываем удачные попытки входа в лог
! login block-for 300 attempts 3 within 30 login delay 3 login on-failure log login on-success log !
Просмотреть попытки входа:
sh login fail
Исключение из правила блокировки на примере ip адреса 192.168.10.77:
! access-list 22 permit 192.168.10.77 login quiet-mode access-class 22 !
Сессии
Таймаут
Разрывать соединения если не было активности 5 минут в нужной нам line vty:
exec-timeout 5 0
Разрывать соединения независимо от активности через 30 минут нужной нам line vty:
absolute-timeout 30
Пример:
! line vty 0 4 exec-timeout 5 0 absolute-timeout 30 login local transport input ssh !
Входящие
Просмотр входящих сессий:
show users
или
who
Завершить входящую сессию:
clear line <номер>
Исходящие
Просмотр исходящих сессий:
show sessions
или
where
Вернуться в приостановленную сессию:
resume <номер>
или
<номер>
Завершить исходящую сессию:
disconnect <номер>
Ошибки
%: Error: static entry still in use, cannot remove.
При удалении статического правила перенаправления портов, например:
no ip nat inside source static tcp 192.168.9.10 25 89.237.21.143 25 extendable
Необходимо перед удалением очистить все динамически созданные правила:
conf t clear ip nat translation *