Mrežne tehnologije

Cisco

Lokalno EAP preverjanje na Cisco WLC kontrolerju

Encrypted Traffic Analyses (Cisco ETA)

Zanimiva in poučna predavanja na temo Cisco Software Defined Access

Cisco Sparkboard

Cisco Spark

Kako pregledovati promet z uporabo SPAN, RSPAN in ERSPAN tehnik?

Switch Port Analyzer (SPAN) je učinkovit način spremljanja prometa. Ta omogoča pregled prometa, ki gre na določen stikalni vmesnik. Na ta način lahko pregeldujemo vhodni in izhodni promet do končne naprave. Obstajajo triji načini spremljanja prometa na Cisco stikalih. Poznamo lokalni SPAN, oddaljeni L2 RSPAN in oddaljeni L3 ERSPAN. S spodnjimi slikami si bomo ogledali, kako delujejo.

Lokalni SPAN:

span

Lokalni SPAN omogoča pregled prometa iz enega ali več vhodnih vmesnikov na ena ali več izhodnih vmesnikov istega stikala.

Primer nastavitve stikala:

Switch# configure terminal
Switch(config)# monitor session 1 source interface G0/1
Switch(config)# monitor session 1 destination interface G0/2
Switch(config)#end

ali v novejših verzijah (12.2(33)SH in novejši)

monitor session 1 type local
source int G0/1
destination int G0/2


Oddaljeni L2 SPAN:

RSPAN


Oddaljeni L2 SPAN (L2 RSPAN) omogoča spremljane prometa, ki lahko izvira iz drugega stikala, a mora biti v istem L2 omrežju. S tem lahko centraliziramo našo napravo za spremljanje prometa. Oddaljeni L2 SPAn deluje na način, da preslika promet in izvornega vmesnika v RSPAN VLAN sejo, ki je dedicirana za spremljanje prometa in se razteza čez celoten L2 oblak. Na izhodu se ta seja enostavno preslika v izhodni port na katerem se nahaja naprava z pregledovanje prometa.

Primer oddaljeni L2 SPAN (RSPAN):
Switch1# configure terminal
Switch1(config)# vlan 100
Switch1(config-vlan)# remote-span
Switch1(config-vlan)# end
Switch1# show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------------
100

Switch2# configure terminal
Switch2(config)# vlan 100
Switch2(config-vlan)# remote-span
Switch2(config-vlan)# end
Switch2# show vlan remote-span
Remote SPAN VLANs
------------------------------------------------------------------------------
100


Switch1# configure terminal
Switch1(config)# monitor session 1 source interface G0/1 rx
Switch1(config)# monitor session 1 destination remote vlan 100 reflector-port G0/24
Switch1(config)# exit
Switch1# show monitor
Session 1
---------
Type : Remote Source Session
Source Ports :
Rx : G0/1
Reflector Port : G0/24
Dest RSPAN VLAN : 100


Switch2# configure terminal
Switch2(config)# monitor session 1 source remote vlan 100
Switch2(config)# monitor session 1 destination interface G0/1
Switch2(config)# exit


Oddaljen L3 SPAN (ERSPAN):

ERSPAN


Oddaljeni L3 SPAN (Encapsulated RSPAN) omogoča pregled prometa preko L3 oblaka in to z uporabo GRE enkapsulacije. Preko GRE tunela se pošilja promet na lokaciji, kjer se promet lahko pregleda. ERSPAN je Cisco protokol.

SW65001(config)# monitor session 1 type erspan-source
SW65001(config-mon-erspan-src)# source interface g0/1 rx
SW65001(config-mon-erspan-src)# no shutdown
SW65001(config-mon-erspan-src)# destination
SW65001(config-mon-erspan-src-dst)# erspan-id 101
SW65001(config-mon-erspan-src-dst)# ip address 192.168.1.1
SW65001(config-mon-erspan-src-dst)# origin ip address 192.168.100.1
Configuring Catalyst SW65002 to receive traffic from the source session on the SW65001

SW65002(config)# monitor session 2 type erspan-destination
SW65002(config-mon-erspan-dst)# destination interface g0/1
SW65002(config-mon-erspan-dst)# no shutdown
SW65002(config-mon-erspan-dst)# source
SW65002(config-mon-erspan-dst-src)# erspan-id 101
SW65002(config-mon-erspan-dst-src)# ip address 192.168.1.1
You can use the show monitor session command to verify the configuration:

SW65001#sh monitor session 1
Session 1
---------
Type : ERSPAN Source Session
Status : Admin Enabled
Source Ports :
RX Only : g0/1
Destination IP Address : 192.168.1.1
MTU : 1464
Destination ERSPAN ID : 101
Origin IP Address : 192.168.100.1


Več tukaj:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/span.pdf

Kako omogočiti CDP na Ubuntu operacijskem sistemu?

CDP pomeni Cisco Discovery Protocol, ki ni standardni protokoal, amapk je zaseben Cisco protokol, kar pomeni da ga več ali manj govorijo samo Cisco naprave.

CDP deluje na drugem nivoju OSI standarda. Uporaben je predvsem za sporočanje sosednji napravi kakšen tip naprave se je priključila na sosednjo napravo. Poleg tega sporoči tudi IP naslov, verzijo operacijskega sistema, itd. Uporaben je tudi pri ugotavljanju povezljivosti naprav na drugem nivoju.

CDP obvestila so poslana na multicast naslov 01:00:0c:cc:cc:cc. Obvestila se pošiljajo vsakih 60s.

Več na tem naslovu:

http://www.cisco.com/en/US/docs/ios/12_1/configfun/configuration/guide/fcd301c.html

Sedaj si bomo pogledali, kako CDP omogoči na Ubuntu operacisjkem sistemu. Podobno lahko naredite tudi na drugih linux distribucijah.

Preden začnemo, moramo dobiti CDP tools za linux. Najdete jih na tem naslovu:
http://gpl.internetconnection.net

Presnamem CDP tools programe v /tmp mapo s pomočjo naslenjega ukaza:

#wget http://gpl.internetconnection.net/files/cdp-tools.tar.gz

Zaključili so s prenosom datoteke. Ker je v tar formatu jo moramo še razpakirati. Po razpakiranju bomo dobili novo mapo “cdp-tools”. Za razpakiranj uporabite naslenji ukaz:
#tar -xvf cdp-tools.tar

Predno bomo speremenili izvorne dataoteke v datoteke, ki se lahko zaženejo, moramo še namestti nekaj dodatkov.
Prvo potrebujemo programe, ki bodo pomagali po pretvorbi izvornih datotek:
#apt-get install build-essential

Drugo moramo namestiti knjižnico, ki bo omogočala pregle in pošiljanje CDP obvestil.
#sudo apt-get install libnet1-dev libpcap0.8-dev

Sedaj imamo nameščeno vse kar potrebujemo za pretvorbo izvirnih datotek. Pretvorbo začnemo na naslednji način:
#cd cdp-tools
#make

Izpis bo izgledal podobno temu:
cc -D_BSD_SOURCE -D__BSD_SOURCE -D__FAVOR_BSD -DHAVE_NET_ETHERNET_H -DLIBNET_LIL_ENDIAN -c -o cdp-listen.o cdp-listen.c cc cdp-listen.o /usr/lib/libpcap.so -o cdp-listen cc -D_BSD_SOURCE -D__BSD_SOURCE -D__FAVOR_BSD -DHAVE_NET_ETHERNET_H -DLIBNET_LIL_ENDIAN -c -o cdp-send.o cdp-send.c cdp-send.c:70: warning: 'packed’ attribute ignored for field of type ‘unsigned char[6]' cdp-send.c:71: warning: 'packed' attribute ignored for field of type 'unsigned char[6]' cdp-send.c:74: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:75: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:77: warning: 'packed' attribute ignored for field of type 'u_int8_t' cdp-send.c:78: warning: 'packed' attribute ignored for field of type 'u_int8_t[3]' cc cdp-send.o /usr/lib/libnet.so -o cdp-send
Če je vse potekalo po načrtu imamo sedaj dve datoteki:
“cdp-send” - pošlji CDP obvestilo
“cdp-listen” - preberi poslano CDP obvestilo

Ti dve datoteki prenesemo v /usr/bin mapo s pomočjo naslednjega ukaza:
#cd cdp-tools
#sudo cp cdp-send cdp-listen /usr/bin

Za pošiljanje CDP obvestil uporabimo naslednji ukaz:
#sudo cdp-send eth0

Izpis na Cisco stikalu izgleda takole:
#sh cdp neighbour

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay

Device ID Local Intrfce Holdtme Capability Platform Port ID
web Gig 0/3 162 H i686 eth0

Če želimo imeti omogočeno pošiljanje CDP obvestil tudi ob zagonu ali ponovnem zagonu naprave moramo dodati spremembo v “rc.local” datoteko ki se nahaja v /etc mapi.

Osnovne nastavitve Cisco ASA naprave

Pogledali si bomo osnovne nastavitve Cisco ASA naprave. V tem primeru bomo delali na ASA 5505.

Screen Shot 2016-04-16 at 19.07.11

Osnovne nastavitve:
ciscoasa#conf t
ciscoasa(config)# hostname ASA
ASA(config)# domain-name asa.local
ASA(config)# clock timezone CET 1
ASA(config)# clock summer-time CET recurring last Sun Mar 2:00 last Sat Oct 2:00
ASA(config)# ntp server 193.2.4.2 prefer source Outside
ASA(config)# password encryption
ASA(config)# password admin
ASA(config)# enable password admin

Nastavitve IP naslovov na zunanjem in notranjem omrežju (glej sliko):
ASA#conf t
ASA(config)# interface Vlan1
ASA(config-if)# description ==LAN Network==
ASA(config-if)# nameif Inside
ASA(config-if)# security-level 100
ASA(config-if)# ip address 192.168.150.1 255.255.255.0

ASA(config)# interface Vlan10
ASA(config-if)# description ==WAN Network==
ASA(config-if)# nameif Outside
ASA(config-if)# security-level 0
ASA(config-if)# ip address 10.0.0.20 255.255.255.0

ASA(config)# interface ethernet0/0
ASA(config-if)# description ==WAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 10

ASA(config)# interface ethernet0/1
ASA(config-if)# description ==LAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 1

Nastavitve IP naslovov za zunanje omrežje pri uporabi PPPoE protokola:
ASA(config)# interface Vlan10
ASA(config-if)# description ==WAN Network PPPoE==
ASA(config-if)# nameif Outside
ASA(config-if)# security-level 0
ASA(config-if)# pppoe client vpdn group SP
ASA(config-if)# ip address pppoe
ASA(config)# mtu outside 1492
ASA(config)# vpdn group SP request dialout pppoe
ASA(config)# vpdn group SP localname ASA
ASA(config)# vpdn group SP ppp authentication pap
ASA(config)# vpdn username "username" password "password"

ASA(config)# interface ethernet0/0
ASA(config-if)# description ==WAN interface==
ASA(config-if)# switchport mode access
ASA(config-if)# switchport access vlan 10

Nastavitve privzete statične poti:
route Outside 0.0.0.0 0.0.0.0 10.0.0.1

Nastavitev dinamičnega transliranja IP naslovov (NAT/PAT):
ASA(config)# object-group network PAT_SOURCE
ASA(config-network-object-group)# network-object 192.168.150.0 255.255.255.0
ASA(config)# nat (any,Outside) after-auto source dynamic PAT_SOURCE interface

Nastavitev statičnega transliranja IP naslovov. V spodnjem primeru bomo naredili translacijo za spletni strežnik (port 80):
ASA(config)# object network NAT-WWW
ASA(config-network-object-group)# host 192.168.150.9
ASA(config-network-object-group)# nat (inside,outside) static interface
ASA(config)# access-list Outside_access_in permit tcp any4 object NAT-WWW eq www
ASA(config)# access-group outside_access_in in interface outside

Za testiranje delovanja statične translacije se uporabi naslednji ukaz:
ASA#packet-tracer input outside tcp 10.0.0.5 12000 10.0.0.20 80

Nastavitev oddaljenega dostopa preko SSH in HTTP protokola
Primer HTTP dostop:
ASA(config)# http server enable 443
ASA(config)# http 192.168.150.0 255.255.255.0 Inside
ASA(config)# username admin password admin
ASA(config)# aaa authentication http console local

Primer SSH dostop:
ASA(config)# crypto key generate rsa modulus 1024
ASA(config)# write memory
ASA(config)# username admin password admin
ASA(config)# aaa authentication ssh console local
ASA(config)# ssh 192.168.150.0 255.255.255.0 Inside
ASA(config)# ssh version 2

Nastavitev dostopa preko konzolnega porta:
ASA(config)# username admin password admin
ASA(config)# aaa authentication serial console local

Nastavitev lokalnega DHCP strežnika:
ASA(config)# dhcpd dns 8.8.8.8 8.8.8.4
ASA(config)# dhcpd lease 259200
ASA(config)# dhcpd domain asa.local
ASA(config)# dhcpd address 192.168.150.10-192.168.150.254 Inside
ASA(config)# dhcpd enable Inside

Več na naslednjih naslovih:
http://www.cisco.com/en/US/partner/docs/security/asa/asa91/configuration/general/asa_91_general_config.html
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080ab7ce9.shtml

Kako uporabiti SCP protokol za prenos podatkov z/na Cisco napravo?

S pomočjo Secure Copy (SCP) protokola lahko prenašamo datoteke na ali z naprav.

Prvo moramo omogočiti na strežniški strani, da dovoljuje SCP. Na cisco napravah nastavimo:
router#conf t
router(config)#ip scp server enable

S pomočjo SCP protokola lahko prenesemo konfiguracijo oddaljene naprave.
#scp admin@192.168.1.1:running-config running-config

S pomočjo SCP protokola lahko prenesemo datoteke na oddaljeno napravo.
#scp config.text admin@192.168.1.1:config.text

Kako nastaviti SSH dostop do Cisco naprav z uporabo ključev?

Najprej moramo ustvariti javni in privatni ključ. Ko smo ustvarili javni in privatni ključ, moramo dobiti podatke iz javnega ključa, katerega bomo prekopirali na Cisco napravo. To naredite na naslednji način:
Router>enable
Router#configure terminal
Router(config)#ip ssh pubkey-chain
Router(config-key)#username admin
Router(config-key-pub)#key “prilepi ključ”
Router(config-key-pub)#exit
Router(config-key)#end
Router#

Primer public ključa in kateri del morate presneti v polje “prilepi ključ”
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBztRNLSqzuIDxATAl6zAhLcsTL40XHAANd+7ljTpbgvYX5IDJjYyD4jpDW9x8Qml553k0chDNFuW2ZE0gVL+MetDatI/DrgMIVRVcU9ZJLsVGqv6SuXeQI7UpvkP7ow+HS0hTd7GDw9sJ+OjAEIIcAhlBJ+4CPIeWjs98Z5ube6Q== my-cisco-device-key

Prenesti je potrebno samo del v zelenem.
Testiramo s svojim priljubljenim ssh odjemalcem. Na linux terminalu izgleda takole:
ssh admin@192.168.1.1 -i “vaš_ključ”

Kako nastaviti SSH dostop do Cisco naprav?

Secure Shell (SSH) protokol omogoča varni dostop do oddaljenih naprav. Komunikacija med odjemalcem in strežnikom je zaščiteno tako z uporabo SSH v1 kot SSH v2. Če le lahko uporabite SSH v2, katera omogoča večjo stopnjo varovanja povezave. Več tukaj.

Najprej omogočimo lokalno avtentikacijo, kar pomeni da bo uporabljal za prijavo na napravo lokalno bazo uporabnikov.
Router>enable
Router#configure terminal
Router(config)#aaa new-model
Router(config)#aaa authentication login default local
Router(config)#aaa authorization exec default local
Router(config)#username admin secret admin

Za SSH protokol moramo definirati domensko ime v katerega router pripada.
Router(config)#ip domain-name test.local

Na napravi moramo nastavili RSA ključ.
Router(config)#crypto key generate rsa 2048

Zadnjo korak je nastavitev naprave, da sprejema samo SSH protokol za prijavo.
Router(config)#line v 0 4
Router(config-line)#transport input ssh
Router(config-line)#login local

Testiramo s svojim priljubljenim ssh odjemalcem. Na linux terminalu izgleda takole:
ssh admin@192.168.1.1

Kako nastaviti flexible netflow na Cisco napravah?

Cisco netflow je tehnologija, ki nam omogoča zajemanje prometa, ki gre skozi omrežno napravo. Ponavadi želimo zajeti promet na prehodu iz lokalnega omrežja v internet. S pomočjo netflow tehnologije lahko preverimo količino prometa, tip prometa, promet po posameznem IP naslovu, itd.

Za analaiziranje prometa potrebujemo netflow zbiralni strežnik, ki netflow podatke sprejme in jih obdela. Primer prostega programa je
nTop.

Netflow naprave za zajemanje podatkov potrebujejo strojni del, ki je vgrajan v samo napravo. Zajemanje podatkov lahko delamo tud programsko, a bo naprava zelo procesorsko obremenjena in ne bo omogočala zajem velikega števila podatkov. Zato imajo vse Cisco naprave, ki podpirajo netflow to rešeno strojno in ne programsko.

Če želimo imeti točne podatke, moramo netflwo vključiti na vseh delujočih vmesnikih.

Flexible netflow je nadgradnja klasičnega netflow-a. S flexible neflow-om lahko zajemamo samo promet, ki nas zanima, po naših kriterijih in to za IPv4 in IPv6 pakete. Za vsakega lahko definiramo svoje kriterije.

Pri fleixible netflow-u je potrebno vedeti tri zadeve:

Record - To je zapisek Netflow v9 predloge. To predlogo preiodično zajamemo in pošljemo zbiralnemu strežniku. Imamo dva različna kriterija (match in collect). Match je nujen zapisek in če vseh match stavkov seja ne izpolnjuje, je ne bomo poslali proti zbriatelju. Z collect pa povemo kakšen format predloge bomo poslali zbirnemu strežniku.

Primer za IPv4 promet
flow record ipv4_record
match ipv4 source address
match ipv4 destination address
match ipv4 protocol
match transport source-port
match transport destination-port
collect interface input
collect interface output
collect counter packets
collect counter bytes
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp source-port
collect transport tcp destination-port
collect ipv4 tos
collect transport tcp flags
collect routing source as
collect routing destination as
collect ipv4 source mask
collect ipv4 destination mask
collect flow direction

Primer za IPv6 promet
flow record ipv6_record
match ipv6 source address
match ipv6 destination address
match ipv6 protocol
match flow direction
match transport source-port
match transport destination-port
collect interface input
collect interface output
collect counter packets
collect counter bytes
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect transport tcp source-port
collect transport tcp destination-port
collect ipv6 tos
collect transport tcp flags
collect routing source as
collect routing destination as
collect ipv6 source mask
collect ipv6 destination mask

Exporter - je opis zbiralnega strežnika, ki bo zbiral poslane zapiske. V tem primeru ne povemo kaj bomo pošiljali, samo kam bomo poslali. Tu definiramo tudi, kako pogosto bomo poslali informacije.

Primer:
flow exporter my_flow_collector
destination 10.1.1.10
source loopback0
transport udp 2055
export-protocol netflow-v9
template data timeout 60

Monitors - Sedaj moramo povedati kakšno vsebino bomo pošiljali zbiratelju. To naredimo v dveh delih. En del je vsebi na in drug del je na katerem vmesniku.

Primer vsebine IPv4:

flow monitor main_monitor
record ipv4_record
exporter my_flow_collector
cache timeout active 30

Primer vsebine IPv6:
flow monitor main_monitor_v6
record ipv6_record
exporter my_flow_collector
cache timeout active 30

Primer pripetja na vmesnik:
interface InternalNetwork/0
ip flow monitor main_monitor input
ipv6 flow monitor main_monitor_v6 input
exit
interface InternalNetwork/1
ip flow monitor main_monitor input
ipv6 flow monitor main_monitor_v6 input


Več informacij o neflow tehnologiji na naslednjem naslovu - http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/01xo/configuration/guide/config/fnf.pdf

Kako omogočiti avtomatsko arhiviranje nastavitev na Cisco usmerjevalniku ali stikalu?

Vsak upravljalec omrežja si želi shranjevati varnostne kopije nastavitev naprav. Z naslednjimi nastavitvami pripravite Cisco omrežne naprave, da na določen čas ali ob ukazu “write memory” shranijo nastavitve tako v NVRAM kot na določeno lokacijo v omrežju (FTP, TFTP, SCP). V primeru bomo shranjevali nastavitve na oddaljen TFTP strežnik.

archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
path tftp://IP_Naslov/ImeDatoteke
write-memory
time-period 1440

S pomočjo “write memory” ukaza lahko sprožimo shranjevanje. Po shranjevanju preverimo na TFTP strežniku, če se je nastavitvena datoteka prepisala na TFTP strežnik.

Kako nastaviti Cisco brezžično točko z več SSID-ji (samostoječo)?

Primer postavitve in nastavitve Cisco samostoječe brezzične točke z več SSID-ji.

Screen Shot 2016-04-14 at 08.41.52

  • Nastavitev stikala oz. porta na katerem je brezžična točka priklopljena. V primeru se predvideva, da je usmerjanje urejeno, da se podeljujejo IP naslovi preko DHCP strežnika in da so vse ostale nastavitve že na stikalu

L2_1> en
L2_1# conf t
L2_1(config)# vlan 10
L2_1(config)# vlan 30

L2_1(config)# int g0/24
L2_1(config-if)# description ==Trunk to AP==
L2_1(config-if)# switchport mode trunk
L2_1(config-if)# swicthport trunk encapsulation dot1q


  • Nastavitev SSDI-jev in mapiranje le teh na prave VLAN-e. V primeru bomo uporabljali dva SSID-ja (WPA in WPA2)
AP> en
AP# conf t
AP(config)# dot11 vlan-name WPA vlan 10
AP(config)# dot11 vlan-name WPA2 vlan 30

AP(config)# dot11 ssid WPA
AP(config-ssid)# vlan 10
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-managmnet wpa
AP(config-ssid)# mbssid guest-mode
AP(config-ssid)# wpa-psk asci “password”

AP(config)# dot11 ssid WPA2
AP(config-ssid)# vlan 30
AP(config-ssid)# authentication open
AP(config-ssid)# authentication key-managmnet wpa version 2
AP(config-ssid)# mbssid guest-mode
AP(config-ssid)# wpa-psk asci “password”

  • Nastavitev ekripcije na vsak posamezni SSID, ki so razporejeni v prave VLANe.
AP> en
AP# conf t
AP(config)# int dot11Radio 0
AP(config-if)# Mbssid
AP(config-if)# ssid WPA
AP(config-if)# ssid WPA2
AP(config-if)# encryption vlan 10 mode chiper tkip
AP(config-if)# encryption vlan 30 mode chipre aes-ccm


  • Nastavitev subinterface za radijski del in ethernet
AP> en
AP# conf t
AP(config)# int dot11Radio 0.10
AP(config-if)# encapsulation dot1q 10
AP(config-if)# bridge group 10

AP(config-if)# int dot11Radio 0.30
AP(config-if)# encapsulation dot1q 30
AP(config-if)# bridge group 30

AP(config-if)# int gigabitEthernet 0.10
AP(config-if)# encapsulation dot1q 10
AP(config-if)# bridge group 10

AP(config-if)# int gigabitEthernet 0.30
AP(config-if)# encapsulation dot1q 30
AP(config-if)# bridge group 30

AP(config-if)# bridge irb

Kako nastaviti PAT translacijo?

Screen Shot 2016-04-19 at 15.38.48

Konfiguracija IOS usmerjevalnika
interface GigabitEthernet0/0
description >>INTERNET<<
ip address 192.168.100.1 255.255.255.252
ip nat outside

interface GigabitEthernet0/1
description >>LAN<<
ip address 10.0.11.1 255.255.255.0
ip nat inside

ip route 0.0.0.0 0.0.0.0 192.168.100.2

ip nat inside source list NAT interface GigabitEthernet0/0 overload

ip access-list extended NAT
permit ip 10.0.11.0 0.0.0.255 any

#Statično mapiranje WEB strežnika
ip nat inside source static tcp 10.0.11.2 80 192.168.100.1 80

Več informacij na naslednjem naslovu:
http://www.cisco.com/en/US/tech/tk175/tk15/technologies_configuration_example09186a0080093e51.shtml

Kako nastaviti LAN to LAN ipsec povezo med lokacijama?

Screen Shot 2016-04-19 at 15.34.32

Konfiguracija levega IOS usmerjevalnika
crypto isakmp policy 1
encr aes
authentication pre-share
group 16
crypto isakmp key cisco123 address 192.168.100.2

crypto ipsec transform-set SVTI esp-aes esp-sha-hmac

crypto map IPSEC 1 ipsec-isakmp
set peer 192.168.100.2
set transform-set SVTI
match address LAN-to-LAN

interface Loopback0
ip address 10.0.11.1 255.255.255.0

interface GigabitEthernet0/0
ip address 192.168.100.1 255.255.255.252
crypto map IPSEC

ip route 10.0.12.0 255.255.255.0 192.168.100.2

ip access-list extended LAN-to-LAN
permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255

Konfiguracija desnega IOS usmerjevalnika
crypto isakmp policy 1
encr aes
authentication pre-share
group 16
crypto isakmp key cisco123 address 192.168.100.1

crypto ipsec transform-set SVTI esp-aes esp-sha-hmac

crypto map IPSEC 1 ipsec-isakmp
set peer 192.168.100.1
set transform-set SVTI
match address LAN-to-LAN

interface Loopback0
ip address 10.0.12.1 255.255.255.0

interface GigabitEthernet0/0
ip address 192.168.100.2 255.255.255.252
crypto map IPSEC

ip route 10.0.11.0 255.255.255.0 192.168.100.1

ip access-list extended LAN-to-LAN
permit ip 10.0.12.0 0.0.0.255 10.0.11.0 0.0.0.255

Delovanje preverimo z naslednjimi ukazi:
1. Preverimo nastavitve ipsec tunela:
zgornji#sh crypto map
Crypto Map "IPSEC" 1 ipsec-isakmp
Peer = 192.168.100.2
Extended IP access list LAN-to-LAN
access-list LAN-to-LAN permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255
access-list LAN-to-LAN permit ip any any
Current peer: 192.168.100.2
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
SVTI: { esp-aes esp-sha-hmac } ,
}
Interfaces using crypto map IPSEC:
GigabitEthernet0/0

2. Preverimo če kriptiramo promet na tunelu:
zgornji#sh crypto session
Crypto session current status

Interface: GigabitEthernet0/0
Session status: UP-ACTIVE
Peer: 192.168.100.2 port 500
IKE SA: local 192.168.100.1/500 remote 192.168.100.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.0.11.0/255.255.255.0 10.0.12.0/255.255.255.0
Active SAs: 2, origin: crypto map

3. Preverimo če deluje promet med dvema lokacijama:
zgornji#ping 10.0.12.1 so l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.12.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.11.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

zgornji#sh access-lists
Extended IP access list LAN-to-LAN
10 permit ip 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 (35 matches)

Več informacij na naslednji strani:
http://www.cisco.com/en/US/products/ps9422/products_configuration_example09186a0080ba1d0a.shtml

Kako nastaviti WPA (TKIP) in WPA2 (AES) na Cisco samostoječi brezžični napravi?

Osnovne nastavitve Cisco brezžične naprave:
AP>en
AP#conf t
AP(config)#int bvi1
AP(config-if)#ip address DHCP


Primer nastavitve WPA z uporabo TKIP enkripcije:
AP>en
AP#conf t
AP(config)#dot11 ssid test
AP(config-ssid)auth open
AP(config-ssid)auth key-man wpa
AP(config-ssid)wpa-psk ascii test
AP(config-ssid)#exit

AP(config)#int dot11 0/0
AP(config-if)#description 5Ghz
AP(config-if)#ssid test
AP(config-if)#encryption mode ciphers TKIP
AP(config-if)#no shut

AP(config)#int dot11 0/1
AP(config-if)#description 2.4Ghz
AP(config-if)#ssid test
AP(config-if)#encryption mode ciphers TKIP
AP(config-if)#no shut
AP(config-if)#end


Primer nastavitve WPA z uporabo AES enkripcije:
AP>en
AP#conf t
AP(config)#dot11 ssid test1
AP(config-ssid)auth open
AP(config-ssid)auth key-man wpa version 2
AP(config-ssid)wpa-psk ascii test1
AP(config-ssid)#exit

AP(config)#int dot11 0/0
AP(config-if)#description 5Ghz
AP(config-if)#ssid test1
AP(config-if)#encryption mode ciphers AES
AP(config-if)#no shut

AP(config)#int dot11 0/1
AP(config-if)#description 2.4Ghz
AP(config-if)#ssid test1
AP(config-if)#encryption mode ciphers AES
AP(config-if)#no shut
AP(config-if)#end

Uporabni SNMP oid številke za različne naprave

Cisco
Standalone AP
Wireless associations on 2.4GHz radio:.1.3.6.1.4.1.9.9.273.1.1.2.1.1.1
Wireless associations on 5 Ghz radio: .1.3.6.1.4.1.9.9.273.1.1.2.1.1.2

Catalyst switches
Current temperature:.1.3.6.1.4.1.9.9.13.1.3.1.3.1004
Temperature threshold:.1.3.6.1.4.1.9.9.13.1.3.1.4.1004

Uptime
Uptime on cisco devices: .1.3.6.1.6.3.10.2.1.3.0

IOS Firewall (CBAC)
Active firewall sessions: .1.3.6.1.4.1.9.9.491.1.1.1.6.0
Half-open firewall sessions: .1.3.6.1.4.1.9.9.491.1.1.1.5.0

VPN (IPsec, SSL, Anyconect ..)
IPSEC VPN count - .1.3.6.1.4.1.9.9.171.1.3.1.1.0
SSL VPN count (Anyconnect) - .1.3.6.1.4.1.9.9.392.1.3.35.0
WEBVPN count - .1.3.6.1.4.1.9.9.392.1.3.38.0

Samsung printer
Black toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.4
Yellow toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.1
Cyan toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.3
Magenta toner in percent: .1.3.6.1.2.1.43.11.1.1.9.1.2
Total printed pages: .1.3.6.1.2.1.43.10.2.1.4.1.1

Iomega NAS
NAS temperature: 1.3.6.1.4.1.1139.10.6.2.1.3.1
NAS FAN speed: .1.3.6.1.4.1.1139.10.6.1.1.3.1

Kako obnoviti geslo na Cisco 3650 in 3850 stikalih?

Cisco je spremenil način obnovitve gesel na Cisco Catalyst stikalih serije 3650 in 3850. Postopek je podpoben kot na usmerjevalnikih, kjer moramo spremeniti register.

Postopek poteka po teh koraki.
1. Prvo je potrebno spraviti stikalo v "recovery mode". Stikalo prižgemo in ob tem držimo MODE gumb. Držimo ga toliko časa dokler se LED lučka ne obarva zeleno (ne sme utripati).

2. Potrebno je omogočiti vpogled v FLASH disk. Vpišemo nalednje
switch: flash_init

3. Vpišemo naslednji ukaz, ki prepreči stikalu zagon nastavitev.
switch: SWITCH_IGNORE_STARTUP_CFG=1

4. Vpišemo naslednji ukaz, da zaženemo stikalo.
switch: boot flash:packages.conf

5. Ko se stikalo zažene, odidemo v enable mode in naložimo konfiguracijo, spremenimo geslo in posnamemo spremembe in ponoven zagon stikala.
switch>enable
switch#copy startup running
switch#conf term
switch#(config)#enable secret "password"
switch(config)#exit
switch#write memory
switch#reload


6. Ponovno zaženemo stikalo v "recovery mode" in spremenimo nastavitev nazaj na prvotno in ponovno zaženemo stikalo.
switch: SWITCH_IGNORE_STARTUP_CFG=0

Več tu:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3650/software/release/3se/system_management/configuration_guide/b_sm_3se_3650_cg.pdf