routing_s_ciscomaster.ru.gif switching_s_ciscomaster.ru.gif voip_s_ciscomaster.ru.gif raznoe_s_ciscomaster.ru.gif notes_s_ciscomaster.ru.gif

CISCO - GRE + IPSec - Mikrotik

Сегодня рассмотрим пример рабочей конфигурации соединения роутера CISCO с роутером Mikrotik через GRE туннель с IPSec шифрованием в транспортном режиме.

В общем виде схема подключения у нас будет следующая:

mikrotik_ipsec_01_3.jpg

Исходные данные:
Роутер 1: cisco 2821
Роутер 2: mikrotik 1100X2H ver

Предполагаем, что интернет на роутерах уже есть и настроен.

Маршрутизация звонков в CUCM в зависимости от Calling Number

marshrutizaciya_zvonkov_v_cucm_v_zavisimosti_ot_calling_number_01_ciscomaster.ru.jpg
В своём традиционном подходе в CUCM маршрутизация происходит исходя из анализа Called Number.
При этом CoS (Class Of Service) для телефонов задаётся через использование CSS + Partition.

Подключение CUCM и Asterisk

Данное руководство поможет корректно подключить CUCM и Asterisk.

CUCM: Создание SIP Security Profile

По умолчанию CUCM использует TCP в качестве транспорта для SIP.
Чаще при работе с Asterisk предпочитают использовать UDP.
Чтобы поменять это поведение мы создадим SIP Security Profile.

System > Security profile > SIP Trunk Security Profile
podklyuchenie_cucm_i_asterisk_01_ciscomaster.ru.jpg

trunk between cisco and dlink

Иногда встречаются ситуации, в которых по каким-либо причинам, требуется соединить транком оборудование cisco и не cisco, например Dlink DES-1210-28P.

DES-1210-28P - имеет 24 PoE порта, но т.к. коммутатор очень простой - то он WEB-management.

Схема подключения

dlink_trunk.jpg

cisco

Безопасность. Начало 11. Securing Management Plane IOS

Под термином Management Plane понимается всё что относится к управлению устройством:

  • Настройка маршрутизатора есть непосредственная работа с Management Plane.
  • Логи устройства - logging, SNMP

Изначально новое устройство мы начинаем настраивать используя com -кабель (Blue Rollover Cable). По сути это самый безопасный способ настройки.
Но для удобства администратора необходим удалённый доступ на устройство, в связи с чем необходимо уделить особое внимание, чтобы никакой злоумышленник не смог воспользоваться этим удалённым доступом.

Настройка Syslog server

Устройства Cisco имеют широкие возможности логирования (logging).
Практически любое событие можно запротоколировать с на нужным уровне подробностей.
Подробнее по настройке логирования см. Настройка логирования

Хранить логи устройство может в своей оперативной памяти либо на Fleash и понятно, что много тут не сохранишь, а оперативная память при перезагрузке ещё и затирается.
Особенно это касается аварийных случаев, когда на устройство заглянуть возможности нет или нет времени, и оно в панике ребутается с потерей всех логов.

Полезное в RTMT

RTMT - это Realtime Monitoring Tool.
Включает в себя огромное количество счетчиков, выделим из них те, которые чаще всего нужны на практике.

Стандартная настройка коммутатора Best Practice

Общие рекомендации

  • Выберите для Native VLAN нигде неиспользуемую VLAN. Её не должны использовать и Access-ные порты.
  • Избегайте использования VLAN 1, т.к. это дефолтная VLAN.
  • Настраивайте "в лоб" аксесные и транковые порты, и избегайте использования протокола Dynamic Trunking Protocol [DTP].
  • Ограничивайте количество MAC-адресов на порту.
  • Контролируйте STP, не давая манипулировать структурой дерева STP.
  • Выключайте CDP на портах наружу.

Перевод CUCM 8.6 из Unrestricted в Restricted без переустановок и миграций

Как известно Cisco выпускает две версии CUCM: полная, она же Restricted и экспортная Unrestricted, без возможности использования SRTP (https://supportforums.cisco.com/sites/default/files/legacy/0/2/2/61220-C...).

Этот гайд был сделан на CUCM версии 8.6.2-20000-2 Unrestricted, в пределах 8.х, думаю, разницы большой не будет, на 9.Х и выше не тестировал.

Что нам потребуется:

ASA и Etherchannel

Для подключения к коммутатору используем Etherchannel со следующей конфигурацией:
ASA

interface GigabitEthernet0/0 channel-group 1 mode on ! interface GigabitEthernet0/1 channel-group 1 mode on ! interface Port-channel1 port-channel load-balance src-mac no shu ! interface Port-channel1.182 description LAN vlan 182 nameif inside security-level 100 ip address 192.168.252.18 255.255.255.252

WS-C3560X-48

Cisco L2TP Client

Подключение к ISP по L2TP.
l2tp_maps.jpg

В нашем случае ISP - beeline
router - cisco 2821
LAN - Gi0/0

Для подключения к ISP будем использовать порт L2 switch HWIC-4ESW.

WAN - Fa0/1/3

Так как ISP подключаем через L2-switch, нам необходимо настроить VLAN, присвоить IP и включить нужные порты в этот VLAN.

Router и Proxy

Очень часто возникает ситуация, когда в одной сети находится router и Proxy. Например вот так

router_proxy_1.jpg

На роутере настроен NAT и поднят VPN, через который доступны другие сети (сети филиалов). В качестве прокси может выступать TMG, Kerio и т.д.

Возникает вопрос, как и на чем делать маршрутизацию в данном случае.

Существует несколько вариантов:

Процедура замена Flash и увеличения памяти на cisco 2821

Штатно, на данном роутере cisco 2821 идет 64mb flash и 256mb RAM. Судя по Cisco Feature Navigator – для современного IOS ресурсов мало. Поэтому необходимо увеличить RAM и заменить FLASH.

Лицензии Security и ISR2

Как известно, на новых маршрутизаторах ISR Generation 2 теперь необходимо отдельно приобретать лицензии, а в нашей стране лицензию Security приобрести очень сложно.

Взамен предлагается приобретать продукцию RVPN к работе которой существует целый ряд вопросов.
RVPN не совместима с "родным" шифрованием 18xx, 28xx, 38xx; RVPN не позволяет поднять DMVPN Phase 2; Настройки RVPN также требуют использование NAT и других костылей.

UCCX и конференция Meet-Me с паролем

Пожалуй у каждого, кто имел дело со стандартной конференцией Meet-Me возникал вопрос: а можно ли сделать подключение к этой конференции через пароль?
Действительно, Meet-Me - чрезвычайно удобный вид конференций, позволяющий собрать до 32 участников, и при этом не нужно вручную обзванивать и присоединять каждого участника. Мы просто создаём виртуальную комнату Meet-Me, и далее все участники сами присоединяются к конференции путём набора номера этой конференции.

Мониторинг IOS Conference Bridge

Conference Bridge используется для проведения конференций и осуществляет микширование голосовых потоков всех участников конференции в единый поток.

show sccp ccm group

Команда отображает текущие настройки ccm group:

Мониторинг шлюзов MGCP (MGCP monitoring)

MGCP

  • show mgcp - определяет общее состояние MGCP.
    Полезное:
    - Определение Admin State и Oper State.
    - Определение MGCP call-agent
    voip01-tmn-igf1#show mgcp MGCP Admin State ACTIVE, Oper State ACTIVE - Cause Code NONE MGCP call-agent: 10.19.65.11 2427 Initial protocol service is MGCP 0.1
  • show ccm-manager - определяет статус подключения MGCP и CUCM.
    Полезное:
    - MGCP Domain Name
    - Primary CUCM

Cisco ASA 8.4.2 с нуля. Часть 3. ASA и ASDM

В предыдущей части мы сделали все настройки, необходимые для подключения к ASA по telnet, ssh, а также по ASDM.
В данной статье мы подробнее ознакомимся с работой через интерфейс ASDM.
Здесь мы настроим внешний интерфейс, DHCP для внутренних пользователей, а также сделаем настройку простого NAT-а.

В данной статье мы будем придерживаться следующей схемы:
cisco_asa_8.4.2_s_nulya._chast_3._asa_i_asdm_01_ciscomaster.ru.jpg

Cisco ASA 8.4.2 с нуля. Часть 2. Начало

В данной части мы рассмотрим работу в ROMMON.
Работа С ROMMON это скорее работа, связанная с аварийной ситуацией.
Типичные аварийные случаи - это испорченный или по ошибке удалённый образ OS, или когда попросту забыли пароль.

Если мы хотим смоделировать данную ситуацию - удалим файл OS, а также обнулим конфигурацию:

Cisco ASA 8.4.2 с нуля. Часть 1. Подготовка стенда GNS3.

Любой продукт хорошо изучить возможно только имея практику. С этим нам поможет стенд на основе GNS3.

В роли хостовой машины будем использовать Windows XP 32 bit. При этом машинка эта реальная, не виртуальная.
Автору так и не удалось подключить стенд к внешним сетям при использовании виртуальной машины в качестве хостовой.
Заходим сюда:
http://www.gns3.net/
Забираем дистрибутив GNS3 GNS3 v0.8.7 all-in-one
Запускаем установку GNS3-0.8.7-all-in-one.exe

Страницы

Подписка на ciscomaster.ru RSS