Switched Port Analyzer (SPAN)

Перенаправление трафика с порта g0/1  на порт g0/2

Убедимся, что сессия 1 удалена
Switch(config)# no monitor session 1

Настраиваем source и destination interface
Switch(config)# monitor session 1 source interface gigabitethernet0/1
Switch(config)# monitor session 1 destination interface gigabitethernet0/2 encapsulation replicate
Switch(config)# end
 
Перенаправление  трафика на порт Fa3/4, который приходит в vlan20 и уходит в vlan 30

Switch(config)# monitor session 1 source vlan 20 rx
Switch(config)# monitor session 1 source vlan 30 tx
Switch(config)# monitor session 1 destination interface FastEthernet 3/4

Switch#show monitor session 1

STP BPDU Guard, Root Guard, Storm Control Security

Switch(config)#spanning-tree portfast default
включает portfast на всех access портах ( действует далеко не всегда так как прописано, применять осторожно, а лучше ручками везде прописывать на каждый интерфейс )

Switch(config)#spanning-tree portfast bpduguard default
включает BPDUguard где включен portfast (аналогично предыдущему лучше ручками каждый)


Switch# show spanning-tree summary
Switch# show spanning-tree summary totals
----------------------------------------------------------------------------

Switch(config-if)# spanning-tree guard root
разница между BPDU Guard и Guard root в том, что BPDU Guard  намертво прекращает обмен BPDU'шками  на порту, а Root Guard разрешает обмен BPDU пакетами до тех пор, пока устройство на том конце не пытается стать root bridge

Switch# show spanning-tree inconsistentports
-----------------------------------------------------------

Switch(config-if)#storm-control broadcast level 75.6
Switch(config-if)#storm-control multicast pps level 2k 1k
Switch(config-if)#storm-control action shutdown (or trap)

Switch# show storm-control
------------------------------------------------------------------------------

Debug ACL

R1#show access-lists TESTLIST
 
Extended IP access list TESTLIST
    10 permit tcp any any


R1#debug ip packet
применять осторожно

Time-based ACLs

Config:

R1(config)# time-range bill-access-time
R1(config-time-range)# periodic weekdays 11:00 to 12:00
R1(config-time-range)# periodic weekdays 15:00 to 16:00
R1(config-time-range)# exit

R1(config)# access-list 107 permit ip 192.168.1.0 0.0.0.255 any time-range
bill-access-time

R1(config)# access-list 107 deny ip any any
R1(config)# interface fa 0/1
R1(config-if)# ip access-group 107 in
R1(config-if)# exit

Reflexive ACLs

Configuration reflexive:

1)
R1(config)# ip access-list extended inout_ACL
R1(config-ext-nacl)# permit tcp any any eq 80 reflect webreflexACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect dnsreflexACL timeout 10

2)
R1(config)# ip access-list extended outin_ACL
R1(config-ext-nacl)# evaluate webreflexACL
R1(config-ext-nacl)# evaluate dnsreflexACL
R1(config-ext-nacl)# deny ip any any

3)
R1(config)# interface fa0/0
R1(config-if)# ip access-group inout_ACL out
R1(config-if)# ip access-group outin_ACL in
 
В чём соль:
1) разрешаем доступ по 80(http) и 53(dns) портам доступ изнутри наружу и присваиваем имена для пункта 2
2) подсказываем, что нужно пропускать внутрь соединения, иницированных нашими acl's
3) накладываем правила на интерфейс

AAA configuration servers (конфигурация серверов) tacacs+ и radius

R1(config)#aaa new-model
 
R1(config)#tacacs-server host 192.168.0.101 single-connection
R1(config)#tacacs-server key tacacspasswordacceess
 
R1(config)#radius-server host 192.168.0.100
R1(config)#radius-server key radiuspasswordaccess
 
R1(config)#aaa authentication login default group tacacs+ group radius local-case


Commentary:
Авторизация будет происходить последовательно вначале по tacacs+, если он недоступен, то по radius, если radius недоступен, то локально.

   

AAA в концептах

Итак попробуем разложить ааа по полочкам в эпизодах:

Episode 1a
R1(config)#enable secret cisco
R1(config)#username admin secret admin
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
R1(config)#aaa authentication login test1group enable
 
R1(config)#line vty 0 4
R1(config-line)#login authentication default

PC>telnet 192.168.0.1
Trying 192.168.0.1 ...Open


User Access Verification

Username: admin
Password:
R1>


Commentary:
R1(config)#aaa authentication login default local
Команда присваивает листу "default" -- вид авторизации "local"
в нашем случае:
R1(config)#username admin secret admin 
Что мы и видим при попытке законнектиться с PC -- он просит логин и пароль.


Episode 1b
R1(config)#enable secret cisco
R1(config)#username admin secret admin
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
R1(config)#aaa authentication login test1group enable
 
R1(config)#line vty 0 4
R1(config-line)#login authentication test1group

PC>telnet 192.168.0.1
Trying 192.168.0.1 ...Open


User Access Verification

Password: 
R1>

Commentary:
R1(config)#aaa authentication login test1group enable
Команда присваивает листу "test1group" -- вид авторизации "enable"
в нашем случае:
R1(config)#enable secret cisco
Что мы и видим при попытке законнектиться с PC -- он просит уже не логин и пароль юзера, а только пароль аналогичный режиму enable.

AAA

Настройка AAA на CISCO 

Статья для информации. Честно стырено отсюда
http://www.wellit.ru/reference/20.html

NTP

Задаём на мастере:

Конфигурируем время:
R1#clock set 12:00:00 DEC 14 2008
R1#
*Dec 14 12:00:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 00:21:05 UTC Fri Mar 1 2002 to 12:00:00 UTC Sun Dec 14 2008, configured from console by console.

R1#show clock
12:03:42.875 UTC Sun Dec 14 2008

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

R1(config)#ntp master 1
Устанавливаем аутентификацию на обновления:
R1(config)#ntp authenticate
R1(config)#ntp authentication-key 1 md5 cisco 123
R1(config)#ntp trusted-key 1
R1(config)#exit


Задаём на клиентах:

R2(config)#ntp server <ip сервера>
Устанавливаем аутентификацию на обновления:
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 cisco 123
R2(config)#ntp trusted-key 1
R2(config)#exit

Cisco logging to remote host (to CCP)

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Куда логируем:
R1(config)#logging host 192.168.0.10

До какого уровня сообщений будем логировать: (ставь 7)
R1(config)#logging trap 7

В куда слать логи:

R1(config)#logging source-interface fa 0/0


Включаем логирование:
R1(config)#logging on


Тестируем:
R1(config)#int fa 0/1
R1(config-if)#no sh
R1(config-if)#
*Mar  1 00:03:51.939: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar  1 00:03:52.939: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
*Mar  1 00:03:52.947: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.0.10 started - CLI initiated

----------------------------------------------------------------------
Если честно, зачем вот этот весь огород, чтобы только логи получить, я так и не понял. И даже выполнив это всё -- логов в CCP вы не увидите.
Если вы хотите получить логи для CCP, достаточно сделать так:

1) Это команда добавлена в ходе исследования, без неё логов в CCP не будет. Поскольку CCP, как я понял, щупает и работает с буфером роутера, а без этой команды в буфер логи не кладутся:
R1(config)#logging buffered 7

2) Включаем логирование:
R1(config)#logging on

И все логи, уже, замечательно видны в CCP.