Перейти к содержимому
Калькуляторы

Korvet_068

Пользователи
  • Публикации

    73
  • Зарегистрирован

  • Посещение

Все публикации пользователя Korvet_068


  1. Добрый день. Прошу посоветовать мне несложный биллинг для 1000-2000 абонентов. Нужно чтобы он умел: 1. Имел веб-страницу авторизации клиентов wifi, работал бы с captive-порталами на мобильных устройствах. 2. Возможность несложного изменения оформления этой страницы авторизации wifi 3. Подключение СМС-шлюза для авторизации wifi 4. Массовую генерацию пар логин-пароль для той же авторизации wifi если вариант с СМС затруднён 5. Опционально обсчёт объёма потреблённого трафика через netflow
  2. То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк? Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть.
  3. На ASA вижу вот такую строку конфига: crypto map outside_map interface outside А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк.
  4. Доброго дня. Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами. В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого. Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать?
  5. Добрый день. В логах коммутатора Cisco ругань вида: Mar 28 2019 13:57:31: %IGMP_QUERIER-4-SAME_SRC_IP_ADDR: An IGMP General Query packet with the same source IP address (192.168.1.1) is received in VLAN 10 on port Gi1/0/4 В порту gi1/0/4 включена головная станция телевидения, у неё адрес 192.168.1.11 В конфиге свитча вижу такие строки: ! interface Vlan10 ip address 192.168.1.1 255.255.255.0 ip igmp snooping querier query-interval 125 ip igmp snooping querier C2960X-bld2-lev20-20.7#sh ip igmp snooping querier vlan 10 IP address : 192.168.1.1 IGMP version : v2 Port : Gi1/0/4 Max response time : 10s Я в мультикасте ни бум-бум, как отключить ругань в логах?
  6. Схема хаб энд споук, но в аксесс-листах, описывающих трафик для шифрования есть и строки, позволяющие филиалам общаться друг с другом. Убрать их? Филиалам между собой общаться не нужно.
  7. Добрый день. Имею Cisco 7206VXR, с неё протянуто три IPSec туннеля до филиалов. В филиалах стоят ASA 5505. Иногда на 7206 подскакивает загрузка процессора до 90 процентов, видно что наиболее жрущий процесс - это шифрование. Как можно отыскать туннель, который загружен больше всего и вызывает такую нагрузку?
  8. R7206-itc-hp3 uptime is 2 hours, 20 minutes System returned to ROM by error - a SegV exception, PC 0x517680 at 10:02:21 MSK Sat Aug 19 2017 System restarted at 10:04:06 MSK Sat Aug 19 2017 System image file is "disk2:c7200p-advipservicesk9-mz.122-33.SRD8.bin" Доброго дня. Маршрутизатор Циско 7206 уходит с самопроизвольный ребут. Анализ файлов кршинфо ничего конкретного не говорит. Что сделать? Поменять софт? Смартнета нет так как железка скоро вообще будет end of support.
  9. Сегодня столкнулся с такой же проблемой, но годный модуль памяти найти не смог. У меня эта железка оснащена ISG-функционалом (режет скорость клиентских сессий). Что можно купить ему на замену, чтобы тоже циско и ISG-функционал в софте был?
  10. Доброго дня. Имею роутер Cisco 7206 и две Cisco ASA 5505. От роутера к обоим асам прокинут айписек. На асах конфиги идентичны, отличаются только адреса внешних интерфейсов. Одна аса работает хорошо, а вторая раз в сутки начинает рвать айписек. Выглядит с роутера вот так: R7206-lev3-306#sh crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 61.147.0.14 178.21.66.28 QM_IDLE 1002 ACTIVE 61.147.0.14 178.21.66.28 MM_NO_STATE 1001 ACTIVE (deleted) 61.147.0.14 178.21.66.28 MM_NO_STATE 1100 ACTIVE (deleted) 61.147.15.129 61.147.17.7 QM_IDLE 1096 ACTIVE 61.147.0.14 178.21.65.162 QM_IDLE 1098 ACTIVE Conn-id растёт раз за разом, аса инициирует установку тоннеля с роутером и раз за разом это не удаётся сделать. Через какое-то время это проходит, поработает сутки и снова карнавал. Конфиги на асах сверял, всё совпадает, только софт на асах разных версий. Что посмотреть и подебажить можно, коллеги? Помогите, прошу.
  11. Спасибо большое. Значит так, для всех моих подсетей /24 route в райпе указан как XX.XXX.0.0/19 А вот для той подсети где была проблема (xx.xxx.16.0/24) - route так и указан: xx.xxx.16.0/24 Схема была такая: чётные подсети /24 у меня анонсируются через Вымпелком, сетка xx.xxx.16.0/24 ушла в филиал, там тоже был Вымпелком, и она анонсировалась через вымпелком тоже. Потом сетку из филиала забрали, а прописана в райпе осталась как xx.xxx.16.0/24
  12. Так побито потому что несколько подсетей /24 отданы в филиалы и они не используются для раздачи адресов клиентам. Хотя сама идея такого разбиения не моя. Проблема с корейским сайтом ушла, он стал снова работать, я полагаю, что-то в корейском сегменте произошло, был массовый сбой по Корее и её сайтам у моих клиентов. С роут объектами ещё разбираюсь.. не разбираюсь в этом вообще )))
  13. Коллеги, а вот вопрос такой: я анонсирую через один аплинк сети (условно) 63.149.2.0/24 и 63.149.4.0/24 Через второй аплинк идут анонсы 63.149.3.0/24 и 63.149.5.0/24 Оба аплинка находятся в одном маршрутизаторе. Если сеть (точнее, префикс) анонсирована через какой-то аплинк, то качать трафик из интернета клиенты в этой сети будут только через этот аплинк? Или через второй аплинк тоже в эту сеть трафик пойдёт?
  14. Кстати, кто подскажет как теперь в райп заходить, у меня есть логин и пароль от учётки, а теперь на сайте надо в качестве логина почту указывать...
  15. Как это лучше проверить? Вообще я припоминаю, что вот эта назначенная ранее в филиал сеть /24 прописана в райпе как-то отдельно... Трасса рвётся где-то зарубежом, на другие сайты из этой подсети всё ходит нормально.
  16. Приветствую. Имею IPv4 сеть с маской /19 и свой номер автономной системы, сеть порублена на подсети с маской /24. Четные и нечётные подсети /24 анонсируется по BGP через два разных аплинка от двух разных провайдеров верхнего уровня. Одна из подсетей /24 ранее была отдана филиалу моей организации и отдавалась в мир с тем же номером AS через маршрутизатор этого филиала. Затем сетка вернулась назад в центральный офис в дополнение к остальным. У клиентов этой ранее выделенной в филиал подсети не ходит трассировка и пинг до одного корейского сайта. Другие подсети работают нормально. В чём может быть затык?
  17. Так, вроде сделал. На Циско контроллере используется Local EAP с профилем PEAP. Заводятся логины и пароли юзеров на контроллере, после этого на эпплах и андройдах всё работает. На винде надо перед первым подключением создать профиль беспроводной сети, указать там шифрование WPA2 Enterprise (и его же указать на контроллере для SSID), и проверку сертификатов в винде отключить. Вот видео, про которому разбирался:
  18. почитал сегодня про ЕАР, спасибо за совет. ЕАР требует установки на клиентские устройства каких-то утилит и сертификатов? Во всех примерах описано подключение виндовых машин, и для подключения машина требует установленную специальную утилиту.
  19. Имею програму CommView, она поможет? Пока с ней не разбирался толком.
  20. Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать. Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку? У Cisco подавление называется Containment, а у прочих как?
  21. Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?
  22. Переспрошу понятнее: как технически можно сделать так чтобы уволенные не могли логиниться по вайфаю? Что из области сесурити надо добавить?
  23. Добрый день. Имеем цисковский вай-фай (контроллер Cisco 5508 и lightweight точки доступа на нём). Есть корпоративный SSID, на нём WPA2-авторизация по паролю. Как можно добавить какие-то сертификаты или что-то другое для устройств сотрудников, чтобы уволенный сотрудник больше не мог пользоваться корпоративным вай-фаем? Как это делается классически?
  24. Добрый день. Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood. По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать. При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек. Как можно локализовать местонахождение вражеских точек?
  25. Добрый день. Работаю в организации, имеющей свой блок адресов. От двух провайдеров получаем два full-view BGP. Железо всё от Cisco. Не открывается сайт https://cfd.mycmc.co.uk Пробовал перерулить сайт на другого провайдера, не того чей маршрут встал в таблицу - не помогает. Что ещё посмотреть? Мог ли админ сайта забанить мои белые внешние адреса?