Настройка SSH на маршрутизаторе Cisco

Порядок настройки SSH сервера на Cisco маршрутизаторе:
1. Задать имя домена (необязательно должен существовать)
2. Сгенерировать ключ шифрования
3. Включить сервис SSH сервера
4. Создать пользователя и пароль
5. Настроить виртуальный терминал для приема входящих соединений

Топология:

Настроим SSH на маршрутизаторе B и проверим соединение  с A:
Router B
interface Ethernet0/0
 description TO A
 ip address 10.10.10.2 255.255.255.0

B(config)#ip domain-name my.cisco

B(config)#crypto key generate rsa modulus 1024

B(config)#ip ssh version 2

B(config)#username superuser privilege 15 password cisco

B(config)#line vty 0 4

B(config-line)#login local

B(config-line)#transport input ssh

Проверка:

A#ssh -l superuser 10.10.10.2

Password:cisco

B#

Тюнинг SSH:

1. Установить ограничение на количество одновременных подключений:

ip ssh maxstartups <2-128>

2. Количество попыток аутентефикации до разрыва соединения:

ip ssh authentication-retries <0-5>    #по умолчанию 3

3. Изменение порта SSH (tcp 22 по умолчанию):

ip ssh port <2000-10000>  rotary 1

line vty 0 

rotary1

4. Время ожидания ввода учетных данных при запросе на подключение:

ip ssh time-out  <1-120>  # по умолчанию 120

5. Время жизни сессии:

line vty 0 4

exec-timeout 30 0    # указано 30 минут.

5. Просмотр настроек SSH:

show ip ssh

Не забываем сохранить конфигурацию после настройки:

write 

Проброс портов на Mikrotik

Для того чтобы организовать PAT на Mikrotik, необходимо прописать правила в разделе /ip firewall nat. Рассмотрим такую схему:

У маршрутизатора два интерфейса,  внешний WAN  с адресом, например 2.2.2.2/30 и внутренний с адресом 192.168.1.254/24. Для того чтобы из сети Интернет возможно было управлять коммутатором 192.168.1.1 по веб (tcp port 80) и ssh (tcp port 22), и просматривать веб страницу (tcp port 80) на сервере 192.168.1.2 необходимо организовать PAT на внешний адрес маршрутизатора 2.2.2.2. Создадим такие преобразования:
192.168.1.1:22 ---> 2.2.2.2:30022  
192.168.1.1:80 ---> 2.2.2.2:30080   
192.168.1.2:80 ---> 2.2.2.2:30180         

Номера внешних портов можно выбирать любые понравившиеся и не определенные стандартами.   

Если настаивать проброс портов на Mikrotik через командную строку, то вышеприведенные три трансляции будут выглядить так:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to LAN Switch WEB" \
    dst-address=2.2.2.2 dst-port=30080 protocol=tcp to-addresses=\
    192.168.1.1 to-ports=80
add action=dst-nat chain=dstnat comment="Access to LAN Switch SSH" \
dst-address=2.2.2.2 dst-port=30022 protocol=tcp to-addresses=\
    192.168.1.1 to-ports=22
add action=dst-nat chain=dstnat comment="Access to Internal WEB page" \
 dst-address=2.2.2.2   dst-port=30180 protocol=tcp to-addresses=\
    192.168.1.2 to-ports=80

Комментарии рекомендуется ставить для удобства просмотра правил, в том числе через winbox:

Теперь находясь за пределами организации возможно попасть на веб страницу коммутатора набрав в адресной строке браузера адрес - 2.2.2.2:30080.

Для того чтобы подключиться по SSH к коммутатору, в Putty прописываем такие параметры подключения:

Для просмотра веб страницы находящейся на 80 порту сервера, из сети интернет, в адресную строку браузера вводим - 2.2.2.2:30180.

Объединение Serial интерфейсов на Cisco маршрутизаторе

Аналогично Ethernet интерфейсам, Serial также можно объединить в один логический. Делается это при помощи Multilink:

interface Multilink1
 description to R1
 ip address 10.0.3.1 255.255.255.0
 ip ospf network point-to-point
 ip ospf 1 area 3
 keepalive 1
 ppp quality 90
 ppp multilink
 ppp multilink group 1
!
interface Serial1/0
 no ip address
 encapsulation ppp
 ppp multilink
 ppp multilink group 1
 serial restart-delay 0
!
interface Serial1/1
 no ip address
 encapsulation ppp
 ppp multilink
 ppp multilink group 1
 serial restart-delay 0

Операции с VLAN на коммутаторе Cisco

 Рассмотрим наиболее распространенные действия с VLAN на коммутаторе - создание, удаление,выключение.
1. Создание VLAN.
Создать VLAN на коммутаторе Cisco можно 4 способами:
- через команду vlan в режиме конфигурации:

SWITCH1(config)#vlan 10
SWITCH1(config-vlan)#exit

 -через конфигурацию базы данных VLAN
SWITCH1#vlan database
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.


SWITCH1(vlan)#

 Здесь синтаксис отличается от cli cisco и слабо документирован. Данный режим не рекомендуется к использованию.

Пример использования:

Настройка транкового порта на коммутаторе Cisco

В прошлой статье рассказывалось о создании VLAN, двух типах портов и создания порта доступа. Сейчас рассмотри создание транкового порта который необходим когда внутри одного порта надо передавать данные нескольких VLAN. Такие порты называются тегированными, в теге передается номер VLAN к которому относится содержимое кадра. Для тегирования кадров используется стандарт 802.1Q.
 *Здесь мы используем терминологию Cisco. Определение транкового порта неодинаково для всех производителей, например говоря транк Cisco,Huawei,H3C имеют ввиду передачу тегированного трафика.В терминологии HPE/Aruba транк означает объединение физических портов в логический, а порт называют тегированным.

Транковые порты используется при соединении коммутаторов между собой, при использовании решения router on stick, подключении серверов,точек доступа и IP телефонов. С точки зрения командной строки отличается только настройка транкового порта для телефона, для первых трех типов конфигурация одинаковая.
К ранее используемой топологии  добавим второй коммутатор, и перенесем туда пользователей USER2 и USER3.

Настройка VLAN на оборудовании Cisco

 Создание VLAN по сути есть добавление виртуального коммутатора второго уровня внутри аппаратного коммутатора. VLAN это отдельный широковещательный домен, два компьютера помещенные в разные VLAN не смогут обмениваться данными без настройки шлюза по умолчанию для подсети каждого VLAN. Поэтому компьютеры подключенные в один VLAN должны иметь адреса из одной подсети, например:
10.0.0.1 255.255.255.0 и 10.0.0.100 255.255.255.0

По умолчанию, в каждом коммутаторе абсолютно любого производителя все порты находятся в VLAN 1. Если рабочие станции будут общаться только между собой то никаких дополнительных настроек на коммутаторе можно не производить(при этом на рабочих станциях внутри L2 VLAN могут быть прописаны IP из разных диапазонов, но тогда общаться смогут лишь те кто принадлежит одной подсети, например 192.168.0.0/24 и 172.16.0.0/24 - но между 192.168.0.1 и  172.16.0.1 связи не будет).

GRE over IPSec и конфуз с keepalive

Продолжая развитие туннельного соединения между компаниями А и Б (предыдущий пост здесь), защитим передаваемые данные применив шифрование. Наша топология:

Существует два термина которые часто ставят в тупик и заставляют проверять порядок формирования пакета - GRE over IPSec или IPSec over GRE. Чтобы запомнить следует читать over как внутри. Таким образом IPSec over GRE пакет выглядит так:

| New IP | | GRE | | IPSec | | Original IP | | DATA |

После применения шифрования, при перехвате трафика в транзитной сети (ISP 1 и 2)  доступны для просмотра только данные New IP и GRE. Все остальное будет показано как ESP.

Для шифрования будет использовать ipsec профиль как наиболее гибкое решение.

Рекомендую создать настройки сначала в блокноте для каждого устройства, а затем закинуть сразу на каждое устройство. 

GRE туннель между роутерами Cisco со статической маршрутизацией

Рассмотрим построение GRE туннеля точка-точка между маршрутизаторами двух компаний - COMPANY-A и COMPANY-B:

Подключаются компании к различным провайдерам, по одному провайдеру у каждого.
Адресация следующая:

	COMPANY-A	COMPANY-B
WAN IP	101.0.0.2/24	201.0.0.2/24
LAN HOST IP	10.0.0.100/24	192.168.0.100/24
TUNNEL IP	172.16.0.1/24	172.16.0.2/24

Установка локализации на Cisco Unity Connection

1. Скачать с сайта cisco.com нужный файл локализации .cop, для текущей версии CUC.
2. Зайти в CUC Serviceability остановить  Connection Conversation Manager и Connection Mixer.
3. Зайти в OS Administration - Install/Upgrade.
4. Указать Remote Filesystem, /,ip,login/password, FTP. На локальной машине запустить FTP сервер.
5. Выбрать файл, проверить md5 checksum, установить.
6. Перезагрузить сервер из OS Administration.
7. Глобально установить язык системы русский (General Configuration)
8. Перезапустить службы Connection Conversation Manager и Connection Mixer.

Cisco IOS Voice Troubleshooting: 9 Key Commands:

It's easy to get lost in unfamiliar territory when debugging a voice gateway problem. These common commands can help.

Troubleshooting Cisco IOS voice gateways present challenges that I enjoy solving, but if you’re a network engineer who doesn’t do voice engineering every day, it’s easy to feel lost in unfamiliar commands and loquacious debug outputs.

In this post, I'll share some common voice gateway commands that have helped me hone in on particular problems quickly and eased the troubleshooting process. Armed with these commands and a basic understanding of how VoIP systems work, you’ll be ready to jump in and start troubleshooting the next voice gateway issue.

Установка Cisco Unified Attendant Console Standard 10.x

После приобретения продукта Консоль секретаря, на почту приходит ссылка на eDelivery. По ссылке скачиваем pdf с ключом активации.
Далее необходимо скачать сам продукт.В даташите по продукту указана ссылка на скачивание. Здесь нужно создать аккаунт, цисковский не подходит.
Затем в разделе Downloads качаем нужнуюю версию клиента. Cisco Unified Attendant Console Standard - безсерверное решение, и цепляется напримую к CUCM.
Перед установкой необходимо преднастроить CUCM поскольку инсталлятор требует данные учетной записи в процессе инсалляции. На сайте cisco есть хорошая инструкция по настройке продукта: http://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/cucmac/cuacs/10_6_0/install_admin_guide/CUACS1060GUIDE02.pdf

Создается отдельная учетная запись (Application User) и группа для CUAC, к Application User привязывается устройство (телефонный аппарат). После установки, при логине в систему указывается нужный Extension.