Поиск по этому блогу

суббота, 17 мая 2014 г.

access list sl_def_acl

Это функция безопасности добавлена, начиная с версии IOS 12.3(4)T Если случается brute force, направленная против маршрутизатора, то этот ACL применяется к vty, aux линии для предотвращения доступа, после того как было превышено разрешенное количество попыток залогинится.

Если настроенное количество попыток соединения, в указанный период времени, потерпело неудачу, то Cisco устройство не примет ни какого дополнительных соединений на «период затишья». Хосты, которым разрешен доступ по другим ACL не подпадают под это правило.

Этот ACL не виден в выводе sh run, его нельзя удалить и он автоматически появляется после использования команды login block-for 61 attempts 3 within 10

cisco#sh access-lists sl_def_acl
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log (177 matches)
    40 permit ip any any log

Более подробно Login Enhancements (Login Block)в официальном руководстве Cisco



Настройка маршрутизатора Cisco для малого офиса

Имеется в наличии маршрутизатор Cisco 3825 Version 12.4(25), необходимо настроить ее для нужд малого офиса

Задаем имя устройства
hostname cisco-office
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname cisco-office
cisco-office(config)#
Далее устанавливаем пароли на доступ к консоли
line console 0 - устанавливаем доступ к первой консольной линии
password 12345 - устанавливаем пароль 12345 на доступ к консоли
login - команда необходима, что бы перед тем как получить доступ к CLI интерфейсу устройства, пользователь вводил пароль
exec-timeout 0 0 - настройка времени не консольного или vty порта.
logging synchronous - запрещает вывод консольных сообщений, которые прерывают ввод команд в консольном режиме, это упростит чтение и ввод сообщений на устройств Cisco
cisco-office(config)#line console 0
cisco-office(config-line)#password 12345
cisco-office(config-line)#login
cisco-office(config-line)#exec-timeout 0 0
cisco-office(config-line)#logging synchronous 
cisco-office(config-line)#

Таким же образом настраивается и доступ к vty (virtual terminal line) с небольшим отличием, можно настроить доступ до 16 vty линий (0-15)
line vty 0 4 - настроили доступ для 5 vty линий login local - говорит брать логин и пароль из локальной базы
cisco-office(config)#line vty 0 4
cisco-office(config-line)#login local
cisco-office(config-line)#exec-timeout 0 0
cisco-office(config-line)#logging synchronous 
cisco-office(config-line)#

Настроим блокировку хоста при вводе неправильного пароля определенное количество раз
cisco-office(config)#login block-for 61 attempts 3 within 10
* блокировать хост на 60 секунд при неправильно вводе пароля 3 раза в течении 10 секунд

Настройка исключений из правила блокировки (исключим хост 192.168.0.98)
cisco-office(config)# access-list 10 permit 192.0.1.2
cisco-office(config)# login quiet-mode access-class 10

Логируем неудавшиеся попытки подключения
cisco-office(config)#login on-failure log

Для безопасного подключения к оборудованию настроим SSH
ip domain-name other-office.com - в качестве доменного имени можно указать любое доменное имя
crypto key generate rsa - включает SSH сервер на оборудовании и генерирует пару RSA ключей
или так crypto key generate rsa general-keys modulus 1024 (сгенерированный ключи длиной 1024 бит)
* crypto key zeroize rsa - используется для удаления ключей RSA
Аутентификацию на Cisco можно производить двумя способами: используя сервер аутентификации или использовать локальные имя пользователя и пароль.
username admin password 12345 - создает пару логин/пароль для доступа
Можно также указать максимальное количество сессий (ip ssh maxstartups 2) и максимальное время сессии при бездействии (ip ssh time-out 90)
Далее необходимо указать vty линии, на которых будит применяться SSH (вводятся в режиме конфигурирования линии)
transport input ssh - предотвращает доступ к устройству неSSH соединений (таких как telnet) и позволят доступиться до устройства только по SSH
login local - говорит, что для аутентификации брать пару логин/пароль из локальной базы
cisco-office(config)#ip domain-name other-office.com
cisco-office(config)#crypto key generate rsa
The name for the keys will be: cisco-office.other-office.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

cisco-office(config)#username admin password 12345
*??? 1 0:48:11.809:  %SSH-5-ENABLED: SSH 1.99 has been enabled 
cisco-office(config)#line vty 0 4
cisco-office(config-line)#transport input ssh
cisco-office(config-line)#login local

Еще немного настроек безопасности service password-encryption - чтобы пароли не хранились в открытом виде
enable secret - для безопасного доступа к привилегированному режиму

Настраиваем "внешний" интерфейс
cisco-office(config)#int g0/0
cisco-office(config-if)#ip address 185.*.*.13 255.255.255.0
cisco-office(config-if)#no shutdown 

Настроим "внутренний" интерфейс
cisco-office(config)#int g0/1
cisco-office(config-if)#ip address 192.168.0.254 255.255.255.0
cisco-office(config-if)#ip address 10.1.1.254 255.255.255.0 secondary

Настроим DNS
ip dns server - говорим, что наше устройство будит являться DNS сервером
ip host name1 192.168.0.254 - чтобы компьютеры из локальной сети могли использовать Cisco в качестве DNS сервера
ip name-server 8.8.8.8 - собственно адрес DNS сервера (в данном случае это DNS google)
cisco-office(config)#ip dns server
cisco-office(config)#ip host name1 192.168.0.254
cisco-office(config)#ip name-server 8.8.8.8

Настроим DHCP
ip dhcp pool OFFICE - задаем имя для DHCP пула
   network 192.168.0.0 255.255.255.0 - указываем IP адреса, которые будут раздаваться по DHCP
   dns-server 192.168.0.254 - указываем адрес DNS сервера, который будут получать клиенты
   default-router 192.168.0.254 - определяет шлюз по умолчанию для клиентов
   lease 1 1 1 - определяет время "жизни" выданного адреса 1 день 1 час 1 минута
ip dhcp excluded-address 192.168.0.210 192.168.0.253 - исключаем из выдачи диапазон адресов (к примеру IP телефоны)
ip dhcp excluded-address 192.168.0.222 - исключаем из выдачи один адрес (к примеру адрес принтера)
cisco-office(config)#ip dhcp pool OFFICE
cisco-office(dhcp-config)#network 192.168.0.0 255.255.255.0
cisco-office(dhcp-config)#dns-server 192.168.0.254
cisco-office(dhcp-config)#default-router 192.168.0.254
cisco-office(dhcp-config)#lease 1 1 1
cisco-office(dhcp-config)#exit
cisco-office(config)#ip dhcp excluded-address 192.168.0.210 192.168.0.253
cisco-office(config)#ip dhcp excluded-address 192.168.0.222

Настраиваем NAT, точнее будим настраивать один из его типов - PAT, который позволяет транслировать пул внутренних адресов, используя для этого один глобальный адрес
access-list 1 permit 192.168.0.0 0.0.0.255 - создаем стандартный ACL и нем указываем адреса, которые будут транслироваться
ip nat inside source list 1 interface GigabitEthernet0/0 overload - в качестве источника будит использоваться ACL 1 и в данном случае трансляция будит проходить через интерфейс GigabitEthernet0/0 (но можно узакать и IP адрес), параметр overload как и говорит использовать PAT и включает отображение один-к-одному
ip nat inside - определяет внутренний интерфейс
ip nat outside - определяет внешний интерфейс
cisco-office(config)#access-list 1 permit 192.168.0.0 0.0.0.255
cisco-office(config)#ip nat inside source list 1 interface GigabitEthernet0/0 overload
cisco-office(config)#int g0/1
cisco-office(config-if)#ip nat inside
cisco-office(config)#int g0/0
cisco-office(config-if)#ip nat outside

Настроим маршрут по умолчанию
cisco-office(config)#ip route 0.0.0.0 0.0.0.0 185.40.77.1

Ну и настраиваем логирование, чтобы знать, что и когда происходит на нашем устройстве
logging trap debugging - устанавливаем уровень логирования (debugging самый высокий, обычно используется warnings)
logging source-interface GigabitEthernet0/1 - указываем интерфейс, который будит отправлять наши лог сообщения
logging 192.168.0.98 - указываем адрес syslog сервера
cisco-office(config)#logging trap debugging 
cisco-office(config)#logging source-interface GigabitEthernet0/1
cisco-office(config)#logging 192.168.0.98
* в качестве syslog и tftp сервера можно использовать tftpd

Ну вот вроде бы и все, самое необходимое для маршрутизатора Cisco, используемого в небольшом офисе настроено. Данный материал не претендует на полноту изложения и раскрытия всех аспектов настройки маршрутизаторов Cisco. Оставляем комментарии и полезные фичи, которые могут быть полезны

понедельник, 12 мая 2014 г.

KX-NCP 500 SIP trunk через NAT

Пока выход в интернет происходил через маршрутизатор DIR-100 (решение от Dlink для домашних пользователей) SIP trunk работал с выключенным NAT Traversal на PBX. После того как сменили DIR-100 на Cisco 3825 звонки перестали проходить. Т.е. сигнализация проходит (номер набирается, слышится сигнал "ответ станции" и дальше тишина). Почему работало через DIR-100 с выключенным NAT Traversal - не знаю.

Немного теории:
NAT (в зависимости от его вида: static, dynamic или PAT) преобразует локальный IP адрес в глобальный IP адрес. Однако, маршрутизатор с включенным NAT не транслирует локальные IP адреса находящиеся в «внутри» SIP сообщения в глобальный IP адрес. Таким образом, адрес, который SIP сервер определил, как адрес назначения для ответа, в действительности локальный адрес PBX, а не глобальный адрес маршрутизатора. Т.е. если SIP сервер получает SIP сообщение от PBX и отправляет сообщение обратно PBX, используя адрес находящийся «внутри» SIP сообщения, пакет с информацией не достигнет PBX.

Решить эту проблему позволяет либо NAT Traversal либо использование STUN сервера. Буду использовать NAT Traversal.
Шаг1 Выбираем 1.Конфигурация, далее 1.Слот (1.1) Наводим курсор мыши на «Вирт. Слот IPCMPR» и выбрать «OUS» для отключения карты перед внесением настроек.

Шаг2 Затем выбираем пункт «Свойства системного блока» И выбираем Номер порта SIP-клиента - 5060; Обход NAT – Закерп. IP адрес; NAT-№ UDP порта для передачи (RTP)голос. данных - 16000; NAT-закрепленный глобальный IP-адрес - 1.2.3.4 (глобальный IP адрес маршрутизатора, смотрящего и в сторону SIP провайдера); Возможность STUN – выкл.

* Нажимаем "Применить" и "ОК" и включаем карту.

понедельник, 5 мая 2014 г.

Juniper EX3300 ограничение скорости на порту

Необходимо зарезать скорость на access коммутаторе Juniper EX3200, сделать это необходимо в рамках одного устройства. Я находил несколько способов настройки, но выбрал свой (может оно конечно и коряво вышло, но пока работает и клиент не жалуется).

В моем варианте сначала используется механизм shaping-rate, ограничивающий скорость передачи пакетов, установив максимальную ширину канала С уровня иерархии edit ограничим максимальную скорость в 4MB/s на 26 порту:
{master:0}[edit]
juniper@acc-5# set class-of-service interfaces ge-0/0/26 shaping-rate 4000000

Проверяем результат
{master:0}[edit]
juniper@acc-5# show class-of-service 
interfaces {
    ge-0/0/26 {
        shaping-rate 4m;
    }
}

Механизм shaping-rate дает примерно вот такой результат (использовалась программа Iperf и графическая оболочка для нее Jperf, на компах с двух сторон стояла Windows 7 64 bit)

Затем использовались механизм policer. Policerпозволяет контролировать максимальную скорость приема и передачи на интерфейсе, позволяет решить, как дальнейшим образом поступить с трафиком. Пакеты, которые соответствуют ограничению или отбрасываются, или с другим классом передачи.
{master:0}[edit]
juniper@acc-5# set firewall policer 4m if-exceeding bandwidth-limit 4m burst-size-limit 250000
{master:0}[edit]
juniper@acc-5# set firewall policer 4m then discard

policer 4m - задается имя для policer-а, будит использоваться в дальнейшем.
Проверяем результат
{master:0}[edit]
juniper@acc-5#show firewall
...................
policer 4m {
    if-exceeding {
        bandwidth-limit 4m;
        burst-size-limit 250000;
    }
    then discard;
}
.................

Используем механизм firewall filters - позволяет управлять пакетами, проходящими через устройство к сети назначения, а также принятыми и переданными пакетами на самом устройстве.
{master:0}[edit]
juniper@acc-5#set firewall family ethernet-switching filter 4m 
term limit4m then accept policer 4m

Посмотрим результат
{master:0}[edit]
juniper@acc-5#show firewall 
.............................
family ethernet-switching {
        filter shaping {
        term limit4m {
            then {
                accept;
                policer 4m;
            }
        }
    }
}

policer 4m {
    if-exceeding {
        bandwidth-limit 4m;
        burst-size-limit 250000;
    }
    then discard;
}
.......................

Осталось применить это правило к интерфейсу
{master:0}[edit interfaces ge-0/0/26]
juniper@acc-5#set unit 0 family ethernet-switching filter input 4m

Посмотрим результат
{master:0}[edit ]
juniper@acc-5#show interfaces ge-0/0/   26 
unit 0 {
    family ethernet-switching {
        filter {
            input 4m;
        }
    }
}

Механизм shaping-rate дает примерно вот такой результат (использовалась программа Iperf и графическая оболочка для нее Jperf, на компах с двух сторон стояла Windows 7 64 bit)

Получается, что shaping-rate отвечает за ограничение скорости принятых пакетов, а policer - отвечает за ограничение скорости отправленных пакетов, если смотреть со стороны клиента.

Самая сложная вещь была для меня это расчет burst-size-limit. Я так до конца и не понял, что это за механизм и для чего он нужен. Если считать по формуле, приведенной на официальном сайте, то скорость у меня не поднималась выше 300Kb/s. Как я понял, каждый ее подбирает эмпирическим путем. Я для расчета брал вот такую формулу (4000000*0,5)/8 = 250000