Подключение к cisco linux
Часть 1. Использование GNS для обучения работе с оборудованием Cisco
Модуль 1. Развертывание сети предприятия.
Теория
Лабораторные работы: Знакомство с оборудованием Cisco
Управление конфигурацией (running-config, startup-config)
Подключение рабочих станций пользователей (Обновить mac, временно включив адаптер в Vbox, в GNS нажать Refresh VM list)
Вопросы
Какая команда в Cisco используется для поиска строк, содержащих заданный образец?
Какая клавиша выводит варианты набора команды в Cisco?
Какая клавиша дописывает ключевые слова команды в Cisco?
Модуль 2. Развертывание менеджмент станции
Теория
Лабораторные работы: Настройка Linux(Debian/Ubuntu)/FreeBSD server
FreeBSD/Debian/Ubuntu
Debian/Ubuntu
FreeBSD
Для Ubuntu 16
Добавить в репозиторий обновления.
Вопросы
Когда нужно настраивать IP адрес на layer 2 коммутаторе?
На каком интерфейсе коммутаторов Cisco настраивается IP адрес?
Часть 2. Мониторинг сетей Cisco. Задачи и инструменты
Модуль 3. Управление производительностью
Теория
Лабораторные работы
Тестирование производительности сети
Использование SNMP
Поиск OID оборудования Cisco (Google → SNMP Object Navigator → SEARCH → busy)
Создание профиля загрузки элементов сети
Сервис Zabbix (UNIX zabbix agent, router snmp, Auto registration windows active agent)
Вопросы
Назовите характеристики сети, относящиеся к производительности.
Можно ли измерить пропускную способность сети утилитой ping ?
Какой протокол и порт по умолчанию использует агент SNMP для запросов?
Какая команда SMNP используется для перебора значений внутри заданного OID’ом диапазона?
Чем значение OID ifAdminStatus отличается от ifOperStatus?
Модуль 4. Управление конфигурацией
Теория
Лабораторные работы
Вопросы
Какой протокол и порт по умолчанию использует протокол TFTP?
Какой командой Cisco IOS можно посмотреть содержимое файла конфигурации, расположенного на TFTP сервере?
Модуль 5. Управление отказами
Теория
Лабораторные работы
SYSLOG
SNMP trap
Настройка уведомлений в системах мониторинга
Сервис Zabbix Discovery switches, Template SNMP Device plus Check, Disable unreachable/restarted triggers for windows clients
Вопросы
Какой протокол и порт по умолчанию использует протокол Syslog?
Какой протокол и порт по умолчанию используется для SNMP trap?
Модуль 6. Учет трафика в сетях Cisco
Теория
Лабораторные работы
Вопросы
Какие задачи решают сенсоры, коллекторы и анализаторы в протоколе Netflow?
Пригоден ли протокол Netflow как источник данных для систем IDS/IPS?
Модуль 7. Управление безопасностью
Теория
Лабораторные работы
Вопросы
К чему в модели AAA относятся директивы username, password, login, exec, dot1x, privilege?
Для чего используется общий секрет между RADIUS сервером и сервером доступа?
Какой протокол и порт по умолчанию использует RADIUS сервер для аутентификации?
Какой протокол и порт по умолчанию использует RADIUS сервер для учета?
Может ли сервер RADIUS использоваться для управления правами доступа администраторов в Cisco CLI?
Какой трафик в стандарте 802.1X разрешен для неавторизованного клиента?
Какой протокол и порт по умолчанию использует TACACS+ сервер?
В чем преимущества и недостатки протоколов RADIUS и TACACS+ ?
Можно ли использовать порт коммутатора Cisco одновременно и для SPAN и для передачи трафика адресованного подключенной к этому порту рабочей станции?
Пригодна ли технология Cisco SPAN как источник данных для систем IDS/IPS?
Почему системы IDS затруднительно использовать для блокировки передачи вирусных файлов по сети?
Почему стало неактуально разворачивать Transparent Proxy?
Часть 3. Совместное использование Linux/FreeBSD систем с оборудованием Cisco
Модуль 8. Использование виртуальных сетей (VLAN)
Теория
Лабораторные работы
Вопросы
Модуль 9. Управление маршрутизацией
Теория
Лабораторные работы
Вопросы
Какие протоколы динамической маршрутизации Вам известны?
linux_freebsd_взаимодействие_с_сетевым_оборудованием_cisco.txt · Last modified: 2018/03/30 09:57 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
Сравнительно недавно я решил перевести домашний компьютер с Windows на Linux. То есть идея такая бродила уже некоторое время, подогреваемая новостями с фронтов борьбы с добровольно-принудительной установкой Windows 10 и размышлениями о неизбежном устаревании «семерки» следом за XP, а вот поводом взяться за дело стал выход очередного LTS-релиза Ubuntu. При этом основным мотивом такого перехода я назову простое любопытство: домашний компьютер используется в основном для развлечений, ну а знакомство с новой ОС — развлечение не хуже прочих. Причем развлечение, как мне кажется, полезное в плане расширения кругозора. Дистрибутив же от Canonical был выбран просто как наиболее популярный: считаю при первом знакомстве с системой это немаловажным подспорьем.
Довольно быстро я на собственном опыте убедился, что для котиков и кино Ubuntu вполне подходит. Но, поскольку компьютер используется еще и для удаленной работы, для отказа от Windows не хватало настроенного подключения к Cisco VPN c авторизацией по eToken.
Набор программ
Было ясно, что для подключения понадобятся по меньшей мере драйвер токена и некий VPN-клиент. В результате поисков в сети получился такой список:
- OpenConnect — VPN-клиент, «совершенно случайно» совместимый с серверами Cisco «AnyConnect»
- GnuTLS — свободная реализация протоколов TLS и SSL. Что важно, в состав этой библиотеки входит утилита p11tool для работы со смарт-картами
- SafeNet Authentication Client — набор драйверов и дополнительных утилит, обеспечивающий работу с электронными ключами eToken
Установка клиента eToken
Как резонно замечено в статье про настройку eToken в Ubuntu 12.04, ссылка на SafeNet Authentication Client почти секретная. Но в то же время на просторах интернета нашлась более свежая заметка про аналогичные танцы с бубном уже в 14.04, причем с живой ссылкой на дистрибутив где-то в бразильском филиале SafeNet. Что еще интереснее, на том же сервере есть файл с актуальной версией клиента — 9.1, которая, ура-ура, не требует устаревших библиотек. Правильный же способ получения клиента — конечно обратиться к поставщику вашего ключа.
На текущий момент пакет SafenetAuthenticationClient-9.1.7-0_amd64.deb ( или SafenetAuthenticationClient-9.1.7-0_i386.deb для 32-битных систем ) элементарно ставится двойным щелчком по нему в файловом менеджере. Но во время начала работы над этим материалом еще не была исправлена ошибка в Ubuntu Software, из-за которой не работала установка сторонних пакетов. Поэтому была написана
инструкция по скачиванию и установке клиента через консольПри успешной установке в меню Applications появляется приложение SafeNet Authentication Client Tools.
Установка и настройка GnuTLS
Первая из упомянутых статей была мне весьма полезна в целом, но за одну строчку я особенно благодарен автору. Вот она:
Дело в том, что в определенный момент я совершенно застрял, не понимая, почему токен из родного клиента виден, а через p11tool — нет. И именно отсюда я понял, где же лежит собственно драйвер. Зная путь к драйверу, ставим и настраиваем GnuTLS по инструкции.
Теперь с токеном смогут работать любые приложения, использующие GnuTLS. А мы сможем воспользоваться утилитой p11tool для выяснения URL-а нашего сертификата.
Чтение данных токена
Вывести список имеющихся в токене сертификатов можно следующей командой:
Вывод p11tool выглядит примерно так:
Object 0:
URL: pkcs11:model=eToken;manufacturer=SafeNet%2c%20Inc.;serial=99999999;token=Username;id=%XX%XX;object=%7bXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX%7d;type=cert
Type: X.509 Certificate
Label:
ID: XX:XX
Object 1:…
Сертификатов может быть несколько, а для подключения требуется один конкретный. В инструкции по p11tool от OpenConnect в такой ситуации предлагают попробовать каждый. Я же для сопоставления сертификата с его URL составил небольшой скрипт, который выводит как URL, так и текстовые данные каждого сертификата:
Здесь в цикле по URL-ам объектов p11tool --info выводит данные сертификата в своем представлении, а p11tool --export передает сертификат в формате pem-файла на вход openssl, который и выводит текстовое представление. Для передачи в OpenConnect нам нужен тот, где найдется строка Client Authentication — запоминаем его URL. Кроме того, если сервер использует самоподписанный сертификат, запоминаем еще и URL объекта с флагом CKA_CERTIFICATE_CATEGORY=CA.
Экспортируем сертификат удостоверяющего центра в файл (весь URL не обязателен — лишь бы он однозначно определял объект):
Наконец-то OpenConnect
Минимальный набор аргументов для подключения приведен в следующей команде:
Если сервер использует самоподписанный сертификат, при запуске в таком виде OpenConnect уточнит, доверяем ли мы серверу, и к тому же будет занято окно терминала. Поэтому слегка расширим команду:
С помощью cafile мы указали сертификат удостоверяющего центра — теперь не будет вопроса относительно доверия серверу. Опция background говорит сама за себя, а pid-file позволяет указать имя файла, в котором сохранится идентификатор фонового процесса. Кроме того, пароль токена может быть указан прямо в URL с помощью атрибута pin-value. Но это несколько… небезопасно.
Останавливать фоновый процесс правильно следующей командой:
Послесловие
Задача решена, и я радостно пользуюсь для удаленного доступа приложением Remmina, которое запускаю сразу при подключении к vpn, добавив в скрипт запуска OpenConnect команду:
Правда, пришлось отключить синхронизацию буфера обмена: иначе на удаленной машине он в некоторых приложениях не работает; и включить настройку «Disable tray icon»: в противном случае при каждом подключении в трей добавляется новая иконка. Опять же, переход в домашнюю директорию перед вызовом Remmina неспроста: приложение почету-то не видит путь , а задавать полный путь с именем пользователя мне кажется неправильным.
Выводов относительно применимости Linux дома делать не буду — мне пока хватает, а статья задумана именно как HowTo.
Настройка различных коммутаторов, маршрутизаторов и другого оборудования обычно производится через последовательный COM порт (RS232). Вначале нужно найти и соединить подходящим консольным кабелем компьютер и коммутатор (через COM-порт или USB переходник) компьютер. В этой статье посмотрим как производить настройку в ОС Linux.
Настройка через minicom
В первую очередь нужно найти в документации к оборудованию настройки консольного com порта. Для подключения под linux необходимо поставить программу minicom. Поставим из пакета под Debian (ubuntu):
Чтобы minicom увидел Сisco его необходимо правильно настроить запускаем с ключом:
Заходим в настройку последовательного порта (Serial port setup) и меняем значения Скорость/Четность/Биты (Bps/Par/Bits) на 9600 8N1.
Меняем последовательный порт (Serial Device) на порт, к которому подключено оборудование и настраиваем параметры управления потоком(Flow Control). В данном примере это /dev/ttyS0 — адрес порта COM1. При подключении через разъем mini-usb порт может быть таким /dev/ttyACM0.
Справку по командам можно получить нажав Ctrl+A затем Z.
В итоге получаем стандартные настройки для Cisco и HP procurve:
Сохраняем конфигурацию, как настройки по-умолчанию в главном меню minicom (Save setup as dfl), либо как конфигурацию с конкретным названием ( Save setup as..).
Для выхода из minicom необходимо нажать Ctrl+A затем Q.
Далее запускаем minicom с настройками по-умолчанию.
Либо с сохранными настройками.
А это пример настроек для свитчей 3com(hp) 4210 и 4500
Устройство /dev/ttyUSB0 обычно используется при подключении через переходник usb->com. Скорость 19200 иногда 115200 используется на свитчах 3COM (теперь уже HP) причем любую другую скорость они не понимают. Так что перед подключением нужно внимательно читать в документации какие скорости и контроль потока нужно выставлять. Однако иногда параметры подключения пишут прямо на устройстве рядом с консольным портом.
Настройки через утилиту cu
Можно подключиться к консоли командой
Главное достоинство утилитки cu что она одинаково хорошо работает под linux и под freebsd только названия устройств отличаются.
На freebsd получится так:
Единственное нужно правильно выбрать файл устройства куда подключено устройство.
При разработке приложения вы разворачиваете промежуточные версии на контуре внутри своей компании. Но у вашего заказчика может быть свой контур за VPN. Это усложняет CI CD.
Сегодня мы разберемся, как подключиться к Cisco VPN используя openconnect.
Openconnect
OpenConnect – это открытое приложение для подключения к виртуальным частным сетям с реализацией подключений точка-точка, которое изначально было написано в качестве замены проприетарного клиента Cisco AnyConnect SSL VPN.
Причиной для разработки OpenConnect послужила серия недостатков, обнаруженных в решении Cisco под Linux:
- отсутствие поддержки архитектур отличных от i386 (для платформ Linux)
- отсутствие интеграции с NetworkManager
- отсутствие грамотной поддержки форматов пакетов RPM и DEB
- невозможность работы в качестве непривилегированного пользователя
- закрытость кода и др.
По какой-то причине у меня не получилось настроить соединение через AnyConnect, зато получилось через openconnect 😄
Также вам может понадобиться vpn-slice, который есть только для openconnect. Речь о vpn-slice пойдет дальше.
Все манипуляции проводятся на CentOS 7. Для начала устанавливаем openconnect.
После этого вы уже можете подключиться к vpn
Часто в корпоративных организациях используется прокси, тогда поможет флаг -P . При этом флаг -b после успешного соединения убирает его в фон, чтобы вы могли продолжать пользоваться сервером.
Нужно будет ввести данные для входа в VPN, после чего вы успешно подключитесь. Но есть одна проблема.
Для отключения от VPN используйте эту команду:
Перезапись resolv.conf
Ваш файл /etc/resolv.conf будет перезаписан. Из-за этого мы потеряли доступ к сети и выход в интернет.
Эту проблему решает библиотека vpn-slice. Установить ее проще всего через pip3.
Вы должны установить vpn-slice как root, потому что openconnect или vpnc должны будут иметь возможность вызывать vpn-slice во время работы как root. Например для изменения /etc/hosts
После этого можно подключиться к впн, при этом указав нужные хосты.
- 21.16.41.48 – ip нужного вам сервера за vpn.
- 21.16.41.49 – второй нужный вам сервер.
Таким образом мы подключились к VPN, и получили доступ только не обходимым нам серверам.
Непрерывное подключение к Cisco AnyConnect VPN
Мне нужно было поддерживать почти непрерывное VPN-соединение с сервером с другого сервера. Сервер 1 был частью сети, которая обеспечивала защищенный доступ VPN к внешним соединениям через Cisco Anyconnect.
Для этого я использую OpenConnect для подключения к серверу и сценарий bash для непрерывной проверки соединения и, если он отключен, для повторного подключения.
Обратите внимание, что в приведенном ниже подходе пароль vpn хранится в виде открытого текста в файле sh, что представляет потенциальную угрозу безопасности. Сценарий должен быть заблокирован, чтобы пользователи без авторизации не могли просматривать его содержимое.
Следовательно, этот подход может быть подходящим только для сервера, которые строго управляются или не доступны другим пользователям.
Создадим скрипт, который:
- Подключится к VPN;
- Каждые n секунд проверяет, подключен ли он
- Подключается к VPN, если соединение прервано
В приведенном ниже примере мы создадим сценарий vpn.sh.
Не забудьте заменить переменные в строке 15 на свои.
Используйте свою команду sudo openconnect для подключения. Выше приведена команда для примера, возможно она вам не подойдет.
Давайте хотя бы заблокируем этот файл, чтобы он был доступен для чтения только root:
Запуск скрипта в фоновом режиме.
Как только вы отладите свой скрипт, вы можете запустить его как фоновый скрипт:
Остановка фонового скрипта.
Используйте ps , чтобы найти PID сценария VPN и процесса openconnect:
Решил в свободное время на работе начать повышать свой кваллификационный уровень значимости себя как специалиста в компании , но ведь как известно, что чем больше ты якобы разбираешься в возникающих проблемах, то тем слабее ты как специалист, но от этого никуда не убежать, невозможно знать все на свете очень и очень хорошо. Можно быть специалистом в одной области, но как системный администратор я себе такого позволить не могу, почему – ну кому я буду нужен если я буду только в Windows системах к примеру разбираться, получается мне дорога только в крупные компании, там то уж я выше головы не прыгну, но я не такой – я хочю и могу контролировать различные области настройки и обслуживания самостоятельно – мне это нравится. И вот теперь я решил взяться за работу с сетевой частью , а именно в моем распоряжении появилась железка CISCO ASA 5505 – для меня это многое значит. Но как начать ее пользоваться, конечно я думаю для многих это не вызываем проблем, типа взял да подключил, но когда ты к сетевому оборудованию не имел доступа, то для тебя по первой это темный лес, что я имею: у меня есть консольный провод, а на другом конце обычный сетевой разъем RJ45, но цветовая расцветка которого имеет отличия от того каким прокладывают сеть:
- Сервый
- Синий
- Зеленый
- Желтый
- Оранжевый
- Красный
- Коричневый
- Черный
По схеме из документации я вижу, как устройство нужно подключить к компьютеру
(ноутбук если его использовать должен иметь в наличии COM порт (для справки это: разъем RS232) или переходник (USB COM PORT) на него, но сейчас на 2015 год встретить такой ноутбук целая проблема)
Подключив данный COM порт к компьютеру, в настоящий момент на рабочем месте я использую ось: OpenSUSE 13.2 amd64 через консоль терминала определяю информацию по определившему оборудованию в системе:
> sudo setserial -g /dev/ttyS0
/dev/ttyS0, UART: 16550A, Port: 0x03f8, IRQ: 4
Эти данные мне понадобятся, когда я хочю воплотить такую задумку в практическую часть по рассмотрению, как на своей системе с установленной средой VirtualBOX (использую для тестов) сделать пробросс COM порта внуть гостевой оси, а именно Ubuntu 12.04.5 Server amd64, я просто хочю разобрать как работать с COM портом, кто-то скажет, зачем пробрассывать в Ubuntu если у тебя рабочая станцию OpenSUSE, просто мне OpenSUSE не нравиться, а использовать Ubuntu на рабочем месте по многим причинам пока не представляется возможным, к примеру управление кластером который используется не поддерживает самую последнюю версию, но да ладно вернуть к решению своей головоломке.
Создаю виртуальную машину (или откатываю уже существующую на любой удобный мне снапшот) и в настройках предопределяю используемый COM-порт, вот так как представленно на ниже приведенном скриншоте.
- Порт 1:
- Включить последовательный порт
- Номер порта: COM1
- Прерывание: 4 (это из вывода выше IRQ)
- Порт B/B: 0x03f8 (это также из вывода выше Port)
- Режим порта: Хост-устройство
- Путь к порту/файлу: /dev/ttyS0
Когда виртуальная машина с Ubuntu 12.04.5 Server amd64 на борту загрузиться устанавливаю пакет приложения который может работать с COM-портами:
$ sudo apt-get install minicom
Запускаю утилиту minicom:
minicom: cannot open /dev/tty8: Permission denied
Ага, нужно права суперпользователя, исправляюсь:
Нажмите Ctrl-A Z чтобы попасть в меню справочных команд
Чтобы отредактировать подключение то нажимаем O (Configure Minicom), переходим на Serial port setup для выставления параметров соединения:
Нажимаем клавишу: “A” и приводим значение Serial Device к виду определенному системой, в моем случае это: /dev/ttyS0 и нажимаем Enter
а после нажимаем клавишу “E”
- 9600 band
- 8 data bits
- no parity
- 1 stop bit
и здесь нужно нажать: CLVW
После нажимаем клавишу: F = для изменения значения на Yes
А после уже смотрю изменился статус подключения с offline на online (хотя может и не измениться – это не столь важно)
CTRL-A Z for help | 9600 8N1 | NOR | Minicom 2.7 | VT102 | Online 1:38 | ttyS0
Далее сохраняем конфиг на подключение – Save setup as
Выходим из minicom (Exit → Ctrl – A + Q → на вопрос Leave without reset? Отвечаем Yes) и подключаемся с помощью minicom и сохраненным конфигом к устройству:
$ sudo minicom -c on config-asa
после нажимаем Enter и Enter и у Вас должно появиться приглашение на ввод команд для получения/изменения информации на устройстве:
Если же у Вас не подхватился сохраненный конфигурационный файл, то когда набрали команду выше можно проделать все действия по определению параметров подключения к устройству подключенному к компьютеру через COM порт, сохранить настройки, выйти и заново набрать команду:
$ sudo minicom -c on config-asa
и подключение пройдет (видимо это глюк, но у меня так заработало), нажимаем Enter и получаем ожидающую строку ввода:
ciscoasa> show version
Cisco Adaptive Security Appliance Software Version 8.3(2)
Device Manager Version 6.3(2)
Compiled on Fri 30-Jul-10 20:17 by builders
ciscoasa up 18 mins 29 secs
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.06
0: Int: Internal-Data0/0 : address is 74a0.2f5a.e2d6, irq 11
1: Ext: Ethernet0/0 : address is 74a0.2f5a.e2ce, irq 255
2: Ext: Ethernet0/1 : address is 74a0.2f5a.e2cf, irq 255
3: Ext: Ethernet0/2 : address is 74a0.2f5a.e2d0, irq 255
4: Ext: Ethernet0/3 : address is 74a0.2f5a.e2d1, irq 255
5: Ext: Ethernet0/4 : address is 74a0.2f5a.e2d2, irq 255
6: Ext: Ethernet0/5 : address is 74a0.2f5a.e2d3, irq 255
7: Ext: Ethernet0/6 : address is 74a0.2f5a.e2d4, irq 255
8: Ext: Ethernet0/7 : address is 74a0.2f5a.e2d5, irq 255
9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
10: Int: Not used : irq 255
11: Int: Not used : irq 255
Licensed features for this platform:
Maximum Physical Interfaces : 8 perpetual
VLANs : 3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports : 0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Disabled perpetual
SSL VPN Peers : 2 perpetual
Total VPN Peers : 10 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
AnyConnect Essentials : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.
Serial Number: JMX1848Z1AK
Running Permanent Activation Key: 0x6218f56c 0xac92ad8f 0xbcd2012c 0xbbc48c80 0x4f052f9e
Configuration register is 0x1
Configuration has not been modified since last system restart.
Ура я разобрался – и это здорово. Теперь я знаю чуточку больше чем обычно. Продолжаю знакомство.
Переход в привилигированный режим
ciscoasa> enable
Если я правильно понимаю документацию, то по умолчанию пароля на доступ в данный режим из консоли нет, поэтому просто нажимаю Enter и попадаю в необходимый режим работы с устройством:
Текущий метод работы устройства:
Firewall mode: Router
Отобразить какие VLAN предопределены сейчас на устройстве:
VLAN Name Status Ports
1 inside down Et0/1, Et0/2, Et0/3, Et0/4
2 outside down Et0/0
Назначить пароль на доступ в привилигированный режим:
входим в настройку интерфейса 1:
Назначаем интерфейсу имя:
Параметр «имя интерфейса» (nameif) в дальнейшем позволяет использовать в настройках не физическое наименование интерфейса, а его имя, которое можно выбрать «говорящим» (inside, outside, dmz, partner и т.д.)
Указываем уровень безопасности:
Параметр «уровень безопасности» (security level) – это число от 0 до 100, которое позволяет сравнить 2 интерфейса и определить, кто из них более «безопасен». Параметр используется качественно, а не количественно, т.е. важно только отношение «больше-меньше». По умолчанию трафик, идущий «наружу», т.е. с интерфейса с большим уровнем безопасности на интерфейс с меньшим уровнем безопасности, пропускается, сессия запоминается и обратно пропускаются только ответы по этим сессиям. Трафик же идущий «внутрь» по умолчанию запрещен.
Назначаем адрес интерфейсу:
Previous instance shut down. Starting a new one.
Выходим из настроек данного интерфейса:
Теперь нужно настроить сопоставление аппаратного интерфейса с настроенными сетями:
Hardware is EtherSVI, BW 100 Mbps, DLY 100 usec
MAC address 74a0.2f5a.e2d6, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 lan 192.168.1.1 255.255.255.0 manual
Vlan2 outside unassigned unassigned DHCP
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 lan 192.168.1.1 255.255.255.0 manual
Vlan2 outside unassigned unassigned DHCP
Отобразить информацию по интерфейсу: (насколько я понял по читаемой книге по CISCO это информация очень полезна и позволяет узнать как работает порт, есть ли ошибки, как происходит обмен трафиком и многое другое)
Hardware is 88E6095, BW 100 Mbps, DLY 100 usec
Input flow control is unsupported, output flow control is unsupported
Available but not configured via nameif
MAC address 74a0.2f5a.e2ce, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
0 switch ingress policy drops
0 packets output, 0 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
0 rate limit drops
0 switch egress policy drops
Сопоставляем интерфейсы с только что настроенной сетью:
Работает, получается можно подключаться через проброшенный COM порт в виртуальную систему Ubuntu 12.04.5 Server amd64, точно такие шаги выше справедливы и для подключения к устройству из OpenSUSE. Теперь для меня аббревиатура подключение к консольному порту сетевого устройства не вызывает недоуменине, да и вообще оказалось что в этом нет ничего сложного, сложно только по первой, после это уже как обыденность. На этом я заканчиванию практическое повествование данной заметки. До встречи с уважением автор блога – Олло Александр (ник: ekzorchik)
One comment
Comments are closed.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще :)
Карта МКБ: 4432-7300-2472-8059
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Читайте также: