Ограничение количества MAC адресов на порту коммутатора Cisco

Для того чтобы ограничить количество MAC адресов ( количество подключенных узлов) на порту коммутатора Cisco необходимо использовать функцию Port Security.
Настройка очень простая, настройка производится непосредственно в режиме конфигурации интерфейса:
1. Отключение автосогласования режима порта, режим порта должен быть статически указан access или trunk (подробно можно посмотреть тут).
2. На интерфейсе включается port security с настройками по умолчанию.
3. Кастомизация port security
4. Активация автовосстановления порта после срабатывания port security.

Настроим на портe коммутатора e0/1 ограничение в 1 MAC адрес:

Switch(config-if)#switchport port-security
Command rejected: Ethernet0/1 is a dynamic port.

witch(config-if)#do sh int e0/1 swi

Name: Et0/1

Switchport: Enabled

Administrative Mode: dynamic auto

Режим порта не совместим с port security, переведем его в режим access:

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Теперь скажем ему изучать адреса автоматически:

Switch(config-if)#switchport port-security mac-address ?

  H.H.H      48 bit mac address               #указать разрешенный MAC статически

  forbidden  Configure mac address as forbidden on this interface  #запретить определенный MAC

  sticky     Configure dynamic secure addresses as sticky  #динамически изучить MAC

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security maximum 1 

Далее необходимо указать действие, в случае нарушения (shutdown - по умолчанию):

Switch(config-if)#switchport port-security violation ?

  protect   Security violation protect mode  #Новый MAC не добавляется

  restrict  Security violation restrict mode   #Новый MAC не добавляется но генерируется                                                                                      сообщение об этом(SNMP trap,syslog и растет                                                                                    счетчик  ошибок)

  shutdown  Security violation shutdown mode  #Порт переходит в состояние err-disabled и                                                                                             выключается     

Для того чтобы коммутатор мог самостоятельно попробовать восстановить порт в рабочее состояние добавим автовосстановление:
errdisable recovery cause psecure-violation
errdisable recovery interval 30

Причина psecure-violation означает что порт был заблокирован по причине нарушения политики port security.Интервал определяет время через которое коммутатор попробует восстановить порт.
Попробуем на маршрутизаторе который подключен к порту коммутатора e0/1 сменить MAC. В данный момент коммутатор изучил текущий MAC(aabb.cc00.9012) и занес его в конфигурацию:
interface Ethernet0/1
 switchport mode access
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky aabb.cc00.9012
 switchport port-security

Сменим MAC:
Router(config)#int e0/1
Router(config-if)#mac-address aabb.cc00.9013

Порт на коммутаторе блокируется:
*Dec 25 13:06:21.256: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
*Dec 25 13:06:21.258: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.9013 on port Ethernet0/1.
*Dec 25 13:06:22.262: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1, changed state to down

Через 30 секунд коммутатор пробует восстановить порт:
*Dec 25 13:06:51.258: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Et0/1

Но не может т.к. MAC  не совпадает с записанным в конфигурации.
Просмотр статуса port security на порту.

Switch#sh port-security interface e0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

У проблемы есть 3 варианта решения:

1. Вернуть обратно исходный MAC на маршрутизаторе.

2. Увеличить количество разрешенных адресов на порту коммутатора.

3. Очистить изученные адреса no switchport port-security mac-address sticky.

P.S. к портам куда подключаются IP телефоны количество разрешенных MAC адресов необходимо устанавливать не менее 2 (1 на телефон, 1 на ПК подключенный через телефон).

При подготовке использовался продукт EVE-NG, статья на xgu.ru и cisco.com. 

Настройка SSH на маршрутизаторе Cisco

Порядок настройки SSH сервера на Cisco маршрутизаторе:
1. Задать имя домена (необязательно должен существовать)
2. Сгенерировать ключ шифрования
3. Включить сервис SSH сервера
4. Создать пользователя и пароль
5. Настроить виртуальный терминал для приема входящих соединений

Топология:

Настроим SSH на маршрутизаторе B и проверим соединение  с A:
Router B
interface Ethernet0/0
 description TO A
 ip address 10.10.10.2 255.255.255.0

B(config)#ip domain-name my.cisco

B(config)#crypto key generate rsa modulus 1024

B(config)#ip ssh version 2

B(config)#username superuser privilege 15 password cisco

B(config)#line vty 0 4

B(config-line)#login local

B(config-line)#transport input ssh

Проверка:

A#ssh -l superuser 10.10.10.2

Password:cisco

B#

Тюнинг SSH:

1. Установить ограничение на количество одновременных подключений:

ip ssh maxstartups <2-128>

2. Количество попыток аутентефикации до разрыва соединения:

ip ssh authentication-retries <0-5>    #по умолчанию 3

3. Изменение порта SSH (tcp 22 по умолчанию):

ip ssh port <2000-10000>  rotary 1

line vty 0 

rotary1

4. Время ожидания ввода учетных данных при запросе на подключение:

ip ssh time-out  <1-120>  # по умолчанию 120

5. Время жизни сессии:

line vty 0 4

exec-timeout 30 0    # указано 30 минут.

5. Просмотр настроек SSH:

show ip ssh

Не забываем сохранить конфигурацию после настройки:

write 

Проброс портов на Mikrotik

Для того чтобы организовать PAT на Mikrotik, необходимо прописать правила в разделе /ip firewall nat. Рассмотрим такую схему:

У маршрутизатора два интерфейса,  внешний WAN  с адресом, например 2.2.2.2/30 и внутренний с адресом 192.168.1.254/24. Для того чтобы из сети Интернет возможно было управлять коммутатором 192.168.1.1 по веб (tcp port 80) и ssh (tcp port 22), и просматривать веб страницу (tcp port 80) на сервере 192.168.1.2 необходимо организовать PAT на внешний адрес маршрутизатора 2.2.2.2. Создадим такие преобразования:
192.168.1.1:22 ---> 2.2.2.2:30022  
192.168.1.1:80 ---> 2.2.2.2:30080   
192.168.1.2:80 ---> 2.2.2.2:30180         

Номера внешних портов можно выбирать любые понравившиеся и не определенные стандартами.   

Если настаивать проброс портов на Mikrotik через командную строку, то вышеприведенные три трансляции будут выглядить так:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to LAN Switch WEB" \
    dst-address=2.2.2.2 dst-port=30080 protocol=tcp to-addresses=\
    192.168.1.1 to-ports=80
add action=dst-nat chain=dstnat comment="Access to LAN Switch SSH" \
dst-address=2.2.2.2 dst-port=30022 protocol=tcp to-addresses=\
    192.168.1.1 to-ports=22
add action=dst-nat chain=dstnat comment="Access to Internal WEB page" \
 dst-address=2.2.2.2   dst-port=30180 protocol=tcp to-addresses=\
    192.168.1.2 to-ports=80

Комментарии рекомендуется ставить для удобства просмотра правил, в том числе через winbox:

Теперь находясь за пределами организации возможно попасть на веб страницу коммутатора набрав в адресной строке браузера адрес - 2.2.2.2:30080.

Для того чтобы подключиться по SSH к коммутатору, в Putty прописываем такие параметры подключения:

Для просмотра веб страницы находящейся на 80 порту сервера, из сети интернет, в адресную строку браузера вводим - 2.2.2.2:30180.

Объединение Serial интерфейсов на Cisco маршрутизаторе

Аналогично Ethernet интерфейсам, Serial также можно объединить в один логический. Делается это при помощи Multilink:

interface Multilink1
 description to R1
 ip address 10.0.3.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 3
 keepalive 1
 ppp quality 90
 ppp multilink
 ppp multilink group 1
!
interface Serial1/0
 no ip address
 encapsulation ppp
 ppp multilink
 ppp multilink group 1
 serial restart-delay 0
!
interface Serial1/1
 no ip address
 encapsulation ppp
 ppp multilink
 ppp multilink group 1
 serial restart-delay 0

Операции с VLAN на коммутаторе Cisco

 Рассмотрим наиболее распространенные действия с VLAN на коммутаторе - создание, удаление,выключение.
1. Создание VLAN.
Создать VLAN на коммутаторе Cisco можно 4 способами:
- через команду vlan в режиме конфигурации:

SWITCH1(config)#vlan 10
SWITCH1(config-vlan)#exit

 -через конфигурацию базы данных VLAN
SWITCH1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.


SWITCH1(vlan)#

 Здесь синтаксис отличается от cli cisco и слабо документирован. Данный режим не рекомендуется к использованию.

Пример использования:

Настройка транкового порта на коммутаторе Cisco

В прошлой статье рассказывалось о создании VLAN, двух типах портов и создания порта доступа. Сейчас рассмотри создание транкового порта который необходим когда внутри одного порта надо передавать данные нескольких VLAN. Такие порты называются тегированными, в теге передается номер VLAN к которому относится содержимое кадра. Для тегирования кадров используется стандарт 802.1Q.
 *Здесь мы используем терминологию Cisco. Определение транкового порта неодинаково для всех производителей, например говоря транк Cisco,Huawei,H3C имеют ввиду передачу тегированного трафика.В терминологии HPE/Aruba транк означает объединение физических портов в логический, а порт называют тегированным.

Транковые порты используется при соединении коммутаторов между собой, при использовании решения router on stick, подключении серверов,точек доступа и IP телефонов. С точки зрения командной строки отличается только настройка транкового порта для телефона, для первых трех типов конфигурация одинаковая.
К ранее используемой топологии  добавим второй коммутатор, и перенесем туда пользователей USER2 и USER3.

Настройка VLAN на оборудовании Cisco

 Создание VLAN по сути есть добавление виртуального коммутатора второго уровня внутри аппаратного коммутатора. VLAN это отдельный широковещательный домен, два компьютера помещенные в разные VLAN не смогут обмениваться данными без настройки шлюза по умолчанию для подсети каждого VLAN. Поэтому компьютеры подключенные в один VLAN должны иметь адреса из одной подсети, например:
10.0.0.1 255.255.255.0 и 10.0.0.100 255.255.255.0

По умолчанию, в каждом коммутаторе абсолютно любого производителя все порты находятся в VLAN 1. Если рабочие станции будут общаться только между собой то никаких дополнительных настроек на коммутаторе можно не производить(при этом на рабочих станциях внутри L2 VLAN могут быть прописаны IP из разных диапазонов, но тогда общаться смогут лишь те кто принадлежит одной подсети, например 192.168.0.0/24 и 172.16.0.0/24 - но между 192.168.0.1 и  172.16.0.1 связи не будет).

GRE over IPSec и конфуз с keepalive

Продолжая развитие туннельного соединения между компаниями А и Б (предыдущий пост здесь), защитим передаваемые данные применив шифрование. Наша топология:

Существует два термина которые часто ставят в тупик и заставляют проверять порядок формирования пакета - GRE over IPSec или IPSec over GRE. Чтобы запомнить следует читать over как внутри. Таким образом IPSec over GRE пакет выглядит так:

| New IP | | GRE | | IPSec | | Original IP | | DATA |

После применения шифрования, при перехвате трафика в транзитной сети (ISP 1 и 2)  доступны для просмотра только данные New IP и GRE. Все остальное будет показано как ESP.

Для шифрования будет использовать ipsec профиль как наиболее гибкое решение.

Рекомендую создать настройки сначала в блокноте для каждого устройства, а затем закинуть сразу на каждое устройство. 

GRE туннель между роутерами Cisco со статической маршрутизацией

Рассмотрим построение GRE туннеля точка-точка между маршрутизаторами двух компаний - COMPANY-A и COMPANY-B:

Подключаются компании к различным провайдерам, по одному провайдеру у каждого.
Адресация следующая:

	COMPANY-A	COMPANY-B
WAN IP	101.0.0.2/24	201.0.0.2/24
LAN HOST IP	10.0.0.100/24	192.168.0.100/24
TUNNEL IP	172.16.0.1/24	172.16.0.2/24

Установка локализации на Cisco Unity Connection

1. Скачать с сайта cisco.com нужный файл локализации .cop, для текущей версии CUC.
2. Зайти в CUC Serviceability остановить  Connection Conversation Manager и Connection Mixer.
3. Зайти в OS Administration - Install/Upgrade.
4. Указать Remote Filesystem, /,ip,login/password, FTP. На локальной машине запустить FTP сервер.
5. Выбрать файл, проверить md5 checksum, установить.
6. Перезагрузить сервер из OS Administration.
7. Глобально установить язык системы русский (General Configuration)
8. Перезапустить службы Connection Conversation Manager и Connection Mixer.

Cisco IOS Voice Troubleshooting: 9 Key Commands:

It's easy to get lost in unfamiliar territory when debugging a voice gateway problem. These common commands can help.

Troubleshooting Cisco IOS voice gateways present challenges that I enjoy solving, but if you’re a network engineer who doesn’t do voice engineering every day, it’s easy to feel lost in unfamiliar commands and loquacious debug outputs.

In this post, I'll share some common voice gateway commands that have helped me hone in on particular problems quickly and eased the troubleshooting process. Armed with these commands and a basic understanding of how VoIP systems work, you’ll be ready to jump in and start troubleshooting the next voice gateway issue.