В версии 2.6 у меня не получилось найти Сканирование.
Сделал так- Правка- Комбинации клавиш.
Ввел там сканер и назначил ему сочетание Ctrl+U
пятница, 27 февраля 2009 г.
четверг, 26 февраля 2009 г.
Особенности правил доступа в ISA.
Опыт показал, что кроме условия Действия(разрешено/запрещено), в правилах HTTP и HTTPS (об остальных не знаю), общую ограничительную роль (кода запрещено всегда выше разрешено) играет условие Откуда(компьютер). Но с точностью до наоборот.
Пример.
Правило B. Разрешает доступ по HTTP,
любому пользователю, с компьютера R.
Правило C. Разрешает доступ по HTTP,
пользователю J., с любого компьютера.
- Правило C не может быть выше B т.к. файер обнаружив ограничение (запрет) ниже (!) по компьютеру в В не разрешит зайти произвольному компьютеру из правила C!
Пример.
Правило B. Разрешает доступ по HTTP,
любому пользователю, с компьютера R.
Правило C. Разрешает доступ по HTTP,
пользователю J., с любого компьютера.
- Правило C не может быть выше B т.к. файер обнаружив ограничение (запрет) ниже (!) по компьютеру в В не разрешит зайти произвольному компьютеру из правила C!
вторник, 24 февраля 2009 г.
IOS
Ограничение доступа с внешних адресов, по определенному протоколу (на примере telnet).
- Входим в режим конфигурирования.
- Создаем список доступа. Т.к. мы хотим фильтровать трафик по протоколу, то нам нужно создать расширенный список доступа и значит его номер должен быть от 100 до 199
access-list 100 deny tcp any host 195.98.01.97 eq telnet
(Пояснения. access-list 100 deny[запретить или permit] tcp[по протоколу] any[адрес источника м.б. host] host 195.98.01.97[адрес приемника м.б. any] eq[равно. Оператор- м.б. и другие логические значения] telnet[по службе (можно по порту)]. Это правило запрещает обмен пакетами по протоколу tcp от любого источника в адрес 195.98.01.97 по порту 23(telnet)).
- access-list 100 permit ip any any (Это правило разрешает любой трафик по ip, описание которого не соответствует предыдущей строке)
- Применяем созданный список к пакетам идущим через определенный интерфейс в определенном направлении (для этого используется комманда ip access-group на нужном интерфейсе- в нашем случае dialer1)
- int d1 (приглашение получает вид [MyIT.c827(config-if)#])
- ip access-group 100 in (in - inbound packets)
Снятие ограничения доступа к конфигурированию с внешних адресов (по telnet).
- В режиме конфигурирования интерфейса Dialer1 вводим:
no ip access-group 100 in
Перенаправление вызова с внешнего порта на «серый адрес»
- Входим в режим конфигурирования.
- ip nat inside source static tcp 192.168.0.11[внутренний адрес] 3389[внутренний порт] 195.98.01.97[реальный адрес] 3389[внешний порт].
Добавление второго сетевого адреса.
- Входим в (глобальный) режим конфигурирования.
- int E0 [Входим в режим конфигурирования интерфейса Ethernet0]
- ip address 192.168.1.1 255.255.255.0 secondary [Если есть необходимость осуществлять с этого адреса доступ в Интернет, то его (в нашем случае) надо добавить в access-list 1]
- access-list 1 permit 192.168.1.0 0.0.0.255
- [Также можно создать новый access-list и прописать использование для него nat при помощи команды]
ip nat inside source list 2 interface Dialer1 overload
ДАННАЯ КОНСТРУКЦИЯ АКТУАЛЬНА ПРИ НАСТРОЙКЕ ИЛИ ИЗМЕНЕНИИ ЛЮБОГО ВНУТРЕННЕГО АДРЕСА И ВКЛЮЧЕНИИ NAT
Перезагрузка через заданный интервал времени (полезно при конфигурировании удаленного маршрутизатора, в том случае когда результат конфигурирования не однозначен и может привести к недоступности)
reload in [время]
Время вводим в формате- mm (если минуты) или hh:mm
Пропускание трафика с внешнего интерфейса на внутренний без маршрутизации- режим ip unnumbered
- Удаляем на интерфейсе Dialer1 наш внешний ip адрес
no ip address 195.98.01.97 255.255.255.248
- Разрешаем пересылку всего трафика на интерфейс Ethernet0
ip unnumbered Ethernet0
- Назначаем внешний ip адрес вторым адресом на интерфейсе Ethernet0
ip address 195.98.01.97 255.255.255.248 secondary
- Не забываем настроить маршрутизацию- все на внешний интерфейс (если он ассоциирован с логическим (dialer x) то на него)
ip route 0.0.0.0 0.0.0.0 Dialer0
Или в SDM
- Входим в режим конфигурирования.
- Создаем список доступа. Т.к. мы хотим фильтровать трафик по протоколу, то нам нужно создать расширенный список доступа и значит его номер должен быть от 100 до 199
access-list 100 deny tcp any host 195.98.01.97 eq telnet
(Пояснения. access-list 100 deny[запретить или permit] tcp[по протоколу] any[адрес источника м.б. host] host 195.98.01.97[адрес приемника м.б. any] eq[равно. Оператор- м.б. и другие логические значения] telnet[по службе (можно по порту)]. Это правило запрещает обмен пакетами по протоколу tcp от любого источника в адрес 195.98.01.97 по порту 23(telnet)).
- access-list 100 permit ip any any (Это правило разрешает любой трафик по ip, описание которого не соответствует предыдущей строке)
- Применяем созданный список к пакетам идущим через определенный интерфейс в определенном направлении (для этого используется комманда ip access-group на нужном интерфейсе- в нашем случае dialer1)
- int d1 (приглашение получает вид [MyIT.c827(config-if)#])
- ip access-group 100 in (in - inbound packets)
Снятие ограничения доступа к конфигурированию с внешних адресов (по telnet).
- В режиме конфигурирования интерфейса Dialer1 вводим:
no ip access-group 100 in
Перенаправление вызова с внешнего порта на «серый адрес»
- Входим в режим конфигурирования.
- ip nat inside source static tcp 192.168.0.11[внутренний адрес] 3389[внутренний порт] 195.98.01.97[реальный адрес] 3389[внешний порт].
Добавление второго сетевого адреса.
- Входим в (глобальный) режим конфигурирования.
- int E0 [Входим в режим конфигурирования интерфейса Ethernet0]
- ip address 192.168.1.1 255.255.255.0 secondary [Если есть необходимость осуществлять с этого адреса доступ в Интернет, то его (в нашем случае) надо добавить в access-list 1]
- access-list 1 permit 192.168.1.0 0.0.0.255
- [Также можно создать новый access-list и прописать использование для него nat при помощи команды]
ip nat inside source list 2 interface Dialer1 overload
ДАННАЯ КОНСТРУКЦИЯ АКТУАЛЬНА ПРИ НАСТРОЙКЕ ИЛИ ИЗМЕНЕНИИ ЛЮБОГО ВНУТРЕННЕГО АДРЕСА И ВКЛЮЧЕНИИ NAT
Перезагрузка через заданный интервал времени (полезно при конфигурировании удаленного маршрутизатора, в том случае когда результат конфигурирования не однозначен и может привести к недоступности)
reload in [время]
Время вводим в формате- mm (если минуты) или hh:mm
Пропускание трафика с внешнего интерфейса на внутренний без маршрутизации- режим ip unnumbered
- Удаляем на интерфейсе Dialer1 наш внешний ip адрес
no ip address 195.98.01.97 255.255.255.248
- Разрешаем пересылку всего трафика на интерфейс Ethernet0
ip unnumbered Ethernet0
- Назначаем внешний ip адрес вторым адресом на интерфейсе Ethernet0
ip address 195.98.01.97 255.255.255.248 secondary
- Не забываем настроить маршрутизацию- все на внешний интерфейс (если он ассоциирован с логическим (dialer x) то на него)
ip route 0.0.0.0 0.0.0.0 Dialer0
Или в SDM
понедельник, 23 февраля 2009 г.
Режимы настройки маршрутизаторов Cisco и некоторые комманды
Мой небогатый опыт настройки маршрутизаторов Cisco (в первую очередь голосового шлюза Cisco 827).
Сохранение/восстановление конфигурации маршрутизатора Cisco.
СОХРАНЕНИЕ
- На машине, с доступным маршрутизатору ip адресом, установить сервер tftp (к примеру с сайта www.solarwinds.com)
- В привилегированном режиме даем команду
copy running-config tftp (если хотим сохранить текущую конфигурацию (т.е. ту которую мы изменили, но не записывали командой write mem)), или
copy startup-config tftp (если хотим сохранить записанную конфигурацию)
- В ответ на запрос системы вводим ip удаленной машины на которой развернут tftp сервер
- В ответ на запрос системы вводим название файла конфигурации
ВОССТАНОВЛЕНИЕ.
- В привилегированном режиме даем команду
copy tftp startup-config (если хотим изменить записанную (конфигурацию запуска) или
copy tftp running-config (если хотим изменить текущую конфигурацию- в случе ошибки перезагрузка нам поможет!)
- В ответ на запрос системы вводим ip удаленной машины на которой развернут tftp сервер и сохранен файл конфигурации.
- В ответ на запрос системы вводим название файла источника сведений о конфигурации.
Перенаправление VoIP с внешнего интерфейса на внутренний
- Переназначаем VoIP с интерфейса Dialer1 на интерфейс Ethernet0
- Для этого удаляем три команды начинающиеся на h323-gateway с интерфейса Dialer1 [no…]
- Задаем команды голосового шлюза на интерфейс интерфейс Ethernet0
h323-gateway voip interface
h323-gateway voip id MSVClient-1 ipaddr 213.129.119.110 1718
h323-gateway voip h323-id MyIT.c827
- Т.к. внешний ip в нашем случае является вторым адресом то необходимо «объяснить» VoIP каким адресом пользоваться
h323-gateway voip bind srcaddr 195.98.01.97
Удаление команды, настроек (ЛЮБЫХ!).
[В том интерфейсе в котором обозначена эта команда] no [и команду].
Режимы настройки маршрутизаторов Cisco (через telnet).
1.1.Из сеанса telnet набираем o[внутренний] или [внешний адрес].
1.2.Вводим пароль.
1.3.При стандартных настройках мы попадаем в
ПОЛЬЗОВАТЕЛЬСКИЙ РЕЖИМ- появляется приглашение в виде имени устройства (в нашем случае [MyIT.c827>]). В этом режиме возможен только просмотр статуса маршрутизатора и справочной информации.
1.4.Вводим en [enable].
1.5.Вводим пароль.
1.6.Мы попадаем в
ПРИВИЛЕГИРОВАННЫЙ РЕЖИМ- приглашение получает вид [MyIT.c827#]. В напрямую в этом режиме можно
- просмотреть всякую муть- к примеру show run (сведения о настройках),
- записать изменения в конфигурации (командой [write mem]),
- дать комманду о перезагрузке через заданный интервал времени reload in [время]
- выгрузить/загрузить конфигурацию и др..
Но настраивать маршрутизатор можно только из подрежимов привилегированного режима- режимах конфигурирования
1.7.Вводим configure terminal [conf t].
1.8.Мы попадаем в
(глобальный) РЕЖИМ КОНФИГУРИРОВАНИЯ- приглашение получает вид [MyIT.c827(config)#]. Здесь делаем основные настройки.
1.9.Для перехода в другие режимы конфигурирования, в глобальном режиме конфигурирования вводим
1.10 interface [интерфейс- к примеру ethernet0]
1.11 line [vty]
1.12 router [rip] здесь только комманды маршрутизации
1.13.Выход из каждого режима конфигурирования
exit
1.14.Из глобального режима конфигурирования также можно применить комманду
end
1.15.Из привилегированного режима в пользовательский
disable
1.16.Завершение сеанса сразу из привилегированного режима
exit
Сохранение изменений в конфигурации.
- В привилегированном режиме вводим
write mem
P. S. 15.09.05 возникли проблемы со входом на TS со стороны удаленных складов. При исследовании стало ясно, что через 827 не проходят пакеты по 1500 байт (ping … -l 1500). Добавили в int D1 строку ip mtu 1492. Вроде ОК. Но… КАК ЭТО РАБОТАЛО РАНЬШЕ?
Если ПОСЛЕ ВНЕСЕНИЯ ИЗМЕНЕНИЙ В КОНФИГУРАЦИЮ НЕ ДОСТУПНЫ ГОЛОСОВЫЕ ФУНКЦИИ (но конфигурация исправна) то проводим З-Р.
- З-Р выглядит так: в режиме конфигурирования ввести
no gateway [затем]
gateway
Сохранение/восстановление конфигурации маршрутизатора Cisco.
СОХРАНЕНИЕ
- На машине, с доступным маршрутизатору ip адресом, установить сервер tftp (к примеру с сайта www.solarwinds.com)
- В привилегированном режиме даем команду
copy running-config tftp (если хотим сохранить текущую конфигурацию (т.е. ту которую мы изменили, но не записывали командой write mem)), или
copy startup-config tftp (если хотим сохранить записанную конфигурацию)
- В ответ на запрос системы вводим ip удаленной машины на которой развернут tftp сервер
- В ответ на запрос системы вводим название файла конфигурации
ВОССТАНОВЛЕНИЕ.
- В привилегированном режиме даем команду
copy tftp startup-config (если хотим изменить записанную (конфигурацию запуска) или
copy tftp running-config (если хотим изменить текущую конфигурацию- в случе ошибки перезагрузка нам поможет!)
- В ответ на запрос системы вводим ip удаленной машины на которой развернут tftp сервер и сохранен файл конфигурации.
- В ответ на запрос системы вводим название файла источника сведений о конфигурации.
Перенаправление VoIP с внешнего интерфейса на внутренний
- Переназначаем VoIP с интерфейса Dialer1 на интерфейс Ethernet0
- Для этого удаляем три команды начинающиеся на h323-gateway с интерфейса Dialer1 [no…]
- Задаем команды голосового шлюза на интерфейс интерфейс Ethernet0
h323-gateway voip interface
h323-gateway voip id MSVClient-1 ipaddr 213.129.119.110 1718
h323-gateway voip h323-id MyIT.c827
- Т.к. внешний ip в нашем случае является вторым адресом то необходимо «объяснить» VoIP каким адресом пользоваться
h323-gateway voip bind srcaddr 195.98.01.97
Удаление команды, настроек (ЛЮБЫХ!).
[В том интерфейсе в котором обозначена эта команда] no [и команду].
Режимы настройки маршрутизаторов Cisco (через telnet).
1.1.Из сеанса telnet набираем o[внутренний] или [внешний адрес].
1.2.Вводим пароль.
1.3.При стандартных настройках мы попадаем в
ПОЛЬЗОВАТЕЛЬСКИЙ РЕЖИМ- появляется приглашение в виде имени устройства (в нашем случае [MyIT.c827>]). В этом режиме возможен только просмотр статуса маршрутизатора и справочной информации.
1.4.Вводим en [enable].
1.5.Вводим пароль.
1.6.Мы попадаем в
ПРИВИЛЕГИРОВАННЫЙ РЕЖИМ- приглашение получает вид [MyIT.c827#]. В напрямую в этом режиме можно
- просмотреть всякую муть- к примеру show run (сведения о настройках),
- записать изменения в конфигурации (командой [write mem]),
- дать комманду о перезагрузке через заданный интервал времени reload in [время]
- выгрузить/загрузить конфигурацию и др..
Но настраивать маршрутизатор можно только из подрежимов привилегированного режима- режимах конфигурирования
1.7.Вводим configure terminal [conf t].
1.8.Мы попадаем в
(глобальный) РЕЖИМ КОНФИГУРИРОВАНИЯ- приглашение получает вид [MyIT.c827(config)#]. Здесь делаем основные настройки.
1.9.Для перехода в другие режимы конфигурирования, в глобальном режиме конфигурирования вводим
1.10 interface [интерфейс- к примеру ethernet0]
1.11 line [vty]
1.12 router [rip] здесь только комманды маршрутизации
1.13.Выход из каждого режима конфигурирования
exit
1.14.Из глобального режима конфигурирования также можно применить комманду
end
1.15.Из привилегированного режима в пользовательский
disable
1.16.Завершение сеанса сразу из привилегированного режима
exit
Сохранение изменений в конфигурации.
- В привилегированном режиме вводим
write mem
P. S. 15.09.05 возникли проблемы со входом на TS со стороны удаленных складов. При исследовании стало ясно, что через 827 не проходят пакеты по 1500 байт (ping … -l 1500). Добавили в int D1 строку ip mtu 1492. Вроде ОК. Но… КАК ЭТО РАБОТАЛО РАНЬШЕ?
Если ПОСЛЕ ВНЕСЕНИЯ ИЗМЕНЕНИЙ В КОНФИГУРАЦИЮ НЕ ДОСТУПНЫ ГОЛОСОВЫЕ ФУНКЦИИ (но конфигурация исправна) то проводим З-Р.
- З-Р выглядит так: в режиме конфигурирования ввести
no gateway [затем]
gateway
четверг, 12 февраля 2009 г.
Не bash- из жизни
Звонок (девушка, не острогго ума, но недавно купившая струйны принтер и уже пытавшаяся его самостоятельно заправить ):
"Надо настроить нам принтер (LJ 2100)"
-"А, что с ним?"
"Полосы на бумаге"
-"Так надо картридж поменять"
"Да нет, надо выровнять печатающие головки, даже я это знаю!"
"Надо настроить нам принтер (LJ 2100)"
-"А, что с ним?"
"Полосы на бумаге"
-"Так надо картридж поменять"
"Да нет, надо выровнять печатающие головки, даже я это знаю!"
вторник, 10 февраля 2009 г.
Preview commands in SDM
Когда в SDM записываешь изменения то сообщается, что "submitting X commands".
Есть возможность посмотреть какие:
Edit-> Preferences-> Preview commands before delivering to router
Есть возможность посмотреть какие:
Edit-> Preferences-> Preview commands before delivering to router
воскресенье, 8 февраля 2009 г.
Красная линия в "Загрузка ЦП", в диспетчере задач
Очень испугался, когда увидел...
Оказалось выбрано "Вывод времени ядра" в меню вид!
Оказалось выбрано "Вывод времени ядра" в меню вид!
четверг, 5 февраля 2009 г.
Cisco - Console Port Settings for Terminal Connection
Before you connect a terminal to the console port, configure the terminal to match the router console port as shown here:
9600 baud
8 data bits
no parity (четность)
1 stop bits (870 and 1800 series)*
hardware flow control (аппаратное)**
*Or 2 stop bit- dependant(зависит) on the router.
Cabling Guide for Console and AUX Ports
**Type of flow control:
- software (Xon/Xoff)
- hardware (CTS/RTS)
- none
9600 baud
8 data bits
no parity (четность)
1 stop bits (870 and 1800 series)*
hardware flow control (аппаратное)**
*Or 2 stop bit- dependant(зависит) on the router.
Cabling Guide for Console and AUX Ports
**Type of flow control:
- software (Xon/Xoff)
- hardware (CTS/RTS)
- none
Подписаться на:
Сообщения (Atom)