Korvet_068
-
Публикации
73 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Korvet_068
-
-
То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк?
Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть.
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
На ASA вижу вот такую строку конфига:
crypto map outside_map interface outside
А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк.
-
Доброго дня.
Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами.
В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого.
Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать?
-
Добрый день. В логах коммутатора Cisco ругань вида:
Mar 28 2019 13:57:31: %IGMP_QUERIER-4-SAME_SRC_IP_ADDR: An IGMP General Query packet with the same source IP address (192.168.1.1) is received in VLAN 10 on port Gi1/0/4
В порту gi1/0/4 включена головная станция телевидения, у неё адрес 192.168.1.11
В конфиге свитча вижу такие строки:
!
interface Vlan10
ip address 192.168.1.1 255.255.255.0ip igmp snooping querier query-interval 125
ip igmp snooping querierC2960X-bld2-lev20-20.7#sh ip igmp snooping querier vlan 10
IP address : 192.168.1.1
IGMP version : v2
Port : Gi1/0/4
Max response time : 10sЯ в мультикасте ни бум-бум, как отключить ругань в логах?
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
13 часов назад, RN3DCX сказал:Кто-то стучится к вам в гости.
Какая схема Site to Site ? Hub to Spoke ?
Схема хаб энд споук, но в аксесс-листах, описывающих трафик для шифрования есть и строки, позволяющие филиалам общаться друг с другом.
Убрать их?
Филиалам между собой общаться не нужно.
-
Добрый день.
Имею Cisco 7206VXR, с неё протянуто три IPSec туннеля до филиалов.
В филиалах стоят ASA 5505.
Иногда на 7206 подскакивает загрузка процессора до 90 процентов, видно что наиболее жрущий процесс - это шифрование.
Как можно отыскать туннель, который загружен больше всего и вызывает такую нагрузку?
-
R7206-itc-hp3 uptime is 2 hours, 20 minutes
System returned to ROM by error - a SegV exception, PC 0x517680 at 10:02:21 MSK Sat Aug 19 2017
System restarted at 10:04:06 MSK Sat Aug 19 2017
System image file is "disk2:c7200p-advipservicesk9-mz.122-33.SRD8.bin"
Доброго дня.
Маршрутизатор Циско 7206 уходит с самопроизвольный ребут.
Анализ файлов кршинфо ничего конкретного не говорит.
Что сделать? Поменять софт?
Смартнета нет так как железка скоро вообще будет end of support.
-
Сегодня столкнулся с такой же проблемой, но годный модуль памяти найти не смог.
У меня эта железка оснащена ISG-функционалом (режет скорость клиентских сессий).
Что можно купить ему на замену, чтобы тоже циско и ISG-функционал в софте был?
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
Доброго дня.
Имею роутер Cisco 7206 и две Cisco ASA 5505. От роутера к обоим асам прокинут айписек.
На асах конфиги идентичны, отличаются только адреса внешних интерфейсов. Одна аса работает хорошо, а вторая раз в сутки начинает рвать айписек. Выглядит с роутера вот так:
R7206-lev3-306#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
61.147.0.14 178.21.66.28 QM_IDLE 1002 ACTIVE
61.147.0.14 178.21.66.28 MM_NO_STATE 1001 ACTIVE (deleted)
61.147.0.14 178.21.66.28 MM_NO_STATE 1100 ACTIVE (deleted)
61.147.15.129 61.147.17.7 QM_IDLE 1096 ACTIVE
61.147.0.14 178.21.65.162 QM_IDLE 1098 ACTIVE
Conn-id растёт раз за разом, аса инициирует установку тоннеля с роутером и раз за разом это не удаётся сделать. Через какое-то время это проходит, поработает сутки и снова карнавал.
Конфиги на асах сверял, всё совпадает, только софт на асах разных версий.
Что посмотреть и подебажить можно, коллеги?
Помогите, прошу.
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
Спасибо большое.
Значит так, для всех моих подсетей /24 route в райпе указан как XX.XXX.0.0/19
А вот для той подсети где была проблема (xx.xxx.16.0/24) - route так и указан: xx.xxx.16.0/24
Схема была такая: чётные подсети /24 у меня анонсируются через Вымпелком, сетка xx.xxx.16.0/24 ушла в филиал, там тоже был Вымпелком, и она анонсировалась через вымпелком тоже. Потом сетку из филиала забрали, а прописана в райпе осталась как xx.xxx.16.0/24
-
Так побито потому что несколько подсетей /24 отданы в филиалы и они не используются для раздачи адресов клиентам.
Хотя сама идея такого разбиения не моя.
Проблема с корейским сайтом ушла, он стал снова работать, я полагаю, что-то в корейском сегменте произошло, был массовый сбой по Корее и её сайтам у моих клиентов.
С роут объектами ещё разбираюсь.. не разбираюсь в этом вообще )))
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
Коллеги, а вот вопрос такой:
я анонсирую через один аплинк сети (условно) 63.149.2.0/24 и 63.149.4.0/24
Через второй аплинк идут анонсы 63.149.3.0/24 и 63.149.5.0/24
Оба аплинка находятся в одном маршрутизаторе.
Если сеть (точнее, префикс) анонсирована через какой-то аплинк, то качать трафик из интернета клиенты в этой сети будут только через этот аплинк? Или через второй аплинк тоже в эту сеть трафик пойдёт?
-
Кстати, кто подскажет как теперь в райп заходить, у меня есть логин и пароль от учётки, а теперь на сайте надо в качестве логина почту указывать...
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
роутобьекты соответствуют реальности ?
Как это лучше проверить?
Вообще я припоминаю, что вот эта назначенная ранее в филиал сеть /24 прописана в райпе как-то отдельно...
Где трасса обрывается - в сети вашего провайдера или чуть не доходит до корейского сайта?
Трассы на другие сайты в мир ходят нормально?
Трасса рвётся где-то зарубежом, на другие сайты из этой подсети всё ходит нормально.
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
Приветствую.
Имею IPv4 сеть с маской /19 и свой номер автономной системы, сеть порублена на подсети с маской /24.
Четные и нечётные подсети /24 анонсируется по BGP через два разных аплинка от двух разных провайдеров верхнего уровня.
Одна из подсетей /24 ранее была отдана филиалу моей организации и отдавалась в мир с тем же номером AS через маршрутизатор этого филиала. Затем сетка вернулась назад в центральный офис в дополнение к остальным.
У клиентов этой ранее выделенной в филиал подсети не ходит трассировка и пинг до одного корейского сайта. Другие подсети работают нормально.
В чём может быть затык?
-
Так, вроде сделал.
На Циско контроллере используется Local EAP с профилем PEAP.
Заводятся логины и пароли юзеров на контроллере, после этого на эпплах и андройдах всё работает.
На винде надо перед первым подключением создать профиль беспроводной сети, указать там шифрование WPA2 Enterprise (и его же указать на контроллере для SSID), и проверку сертификатов в винде отключить.
Вот видео, про которому разбирался:
-
почитал сегодня про ЕАР, спасибо за совет.
ЕАР требует установки на клиентские устройства каких-то утилит и сертификатов?
Во всех примерах описано подключение виндовых машин, и для подключения машина требует установленную специальную утилиту.
-
Имею програму CommView, она поможет? Пока с ней не разбирался толком.
-
Опубликовано · Изменено пользователем Korvet_068 · Жалоба на ответ
Нет, я представитель владельца здания, никто не может душить мою служебную сеть. Любителя контейнмента надо найти и обругать.
Кстати вопрос: другие вендоры кроме Циски тоже умеют делать на своём вай-фае подавлялку?
У Cisco подавление называется Containment, а у прочих как?
-
Да, логи есть. Но смущает что точки не фиксируют ssid атакующей точки. Ну определю я мак атакующего, как его искать по зданию потом?
-
Переспрошу понятнее: как технически можно сделать так чтобы уволенные не могли логиниться по вайфаю? Что из области сесурити надо добавить?
-
Добрый день.
Имеем цисковский вай-фай (контроллер Cisco 5508 и lightweight точки доступа на нём). Есть корпоративный SSID, на нём WPA2-авторизация по паролю.
Как можно добавить какие-то сертификаты или что-то другое для устройств сотрудников, чтобы уволенный сотрудник больше не мог пользоваться корпоративным вай-фаем? Как это делается классически?
-
Добрый день.
Работаю в большом офисном центре, у многих клиентов стоит свой вай-фай в офисах. Мой контроллер Циско 5508 стал ругаться на то что какие-то точки доступа атакуют мои точки атаками вида Disassociation flood и Deauthentication flood.
По другому это называется режим containment, то есть кто-то давит мои точки, не давая клиентам моих точек работать.
При этом в большинстве случаев я не вижу мак-адресов атакующих точек в списке обнаруженных Rougue-точек, словно они не вещают никаких SSID, а специально установлены для атаки моих точек.
Как можно локализовать местонахождение вражеских точек?
-
Добрый день.
Работаю в организации, имеющей свой блок адресов. От двух провайдеров получаем два full-view BGP. Железо всё от Cisco.
Не открывается сайт https://cfd.mycmc.co.uk
Пробовал перерулить сайт на другого провайдера, не того чей маршрут встал в таблицу - не помогает.
Что ещё посмотреть?
Мог ли админ сайта забанить мои белые внешние адреса?
Посоветуйте биллинг с wifi порталом авторизации для небольшого провайдера (2000 абонентов)
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Добрый день.
Прошу посоветовать мне несложный биллинг для 1000-2000 абонентов. Нужно чтобы он умел:
1. Имел веб-страницу авторизации клиентов wifi, работал бы с captive-порталами на мобильных устройствах.
2. Возможность несложного изменения оформления этой страницы авторизации wifi
3. Подключение СМС-шлюза для авторизации wifi
4. Массовую генерацию пар логин-пароль для той же авторизации wifi если вариант с СМС затруднён
5. Опционально обсчёт объёма потреблённого трафика через netflow