Настройка HTTP на Cisco

Подключимся к коммутатору Cisco и перейдем в режим повышенных привилегий:

enable

Перейдем в режим конфигурирования:

configure terminal

Включим HTTP:

ip http server
ip http authentication local

При необходимости отключить HTTP и HTTPS можно так:

no ip http server
no ip http secure-server

Добавим пользователя если его нет:

username NAME privilege 15 secret PASSWORD

Если необходимо разрешить доступ к HTTP только определенным IP, то посмотрим какие правила есть на коммутаторе:

exit
show access-list
show ip access-lists
configure terminal

Если необходимого правила нет, то создадим:

access-list 10 permit 192.168.1.22
access-list 10 permit 192.168.3.10

Смотрите мою статью — Ограничение доступа к управлению Cisco Catalyst 6500

Применим правило к HTTP:

ip http access-class 10

Отменить можно так:

no ip http access-class 10

Если необходимо указать максимальное количество попыток подключений:

ip admission max-login-attempts 5
show ip admission configuration

Выйдем их режима конфигурирования и сохраним конфигурацию:

exit
write

Смотрите также:
Настройка Cisco устройств

Использование сторонних SFP модулей в коммутаторах Cisco

Допустим мы подключили в первый порт SFP модуль от стороннего производителя, посмотрим о нем информацию:

show idprom int GigabitEthernet 1/1

В моем случае на Cisco Catalyst 6509-E, очень на много портов со сторонними SFP модулями через некоторое время сами отключались и в логах писалась информация что модуль не поддерживается.

Перейдем в режим конфигурирования:

enable
config t

И сделаем чтобы не отключались интерфейсы при включении сторонних SFP модулей, введя следующие команды:

service unsupported-transceiver
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid

После этого все работало хорошо.

Смотрите также:
Настройка Cisco Catalyst 6509-E

Настройка NetFlow на Cisco

Допустим у нас запущен коллектор как я писал в этой статье — Установка и использование flow-tools

Теперь подключимся к Cisco коммутатору, для теста я подключусь к Cisco Catalyst 6509-E.
Перейдем в режим конфигурирования:

enable
configure terminal

Включим NetFlow:

mls netflow

Укажем параметры NetFlow, адрес коллектора, порт и версию:

mls flow ip interface-full
mls nde sender version 5
ip flow-export version 5
ip flow-export destination 192.168.1.25 555
ip flow-cache timeout active 1

Допустим нужно собирать статистику с интерфейса vlan 995:

interface vlan 995
ip route-cache flow
exit

Готово, статистика должна отправляться на коллектор (через интерфейса vlan который находится ближе к коллектору (если их несколько), а не с которого собирается статистика, соответственно на коллекторе нужно правильно указать IP).

Чтобы отменить выполним команды:

interface vlan 995
no ip route-cache flow
exit

Пример просмотра времени старения записей:

show mls netflow aging
show mls netflow table-contention detailed

Можно также установить время старения MLS (по умолчанию 300 секунд), в диапазоне 32 — 4092 секунд:

show mls netflow aging
mls aging normal 300
mls aging {fast [threshold {1-128} | time {1-128}] | long 64-1920 | normal 32-4092}

Просмотр установленной маски:

show mls netflow flowmask

Просмотр собранной статистики:

show mls netflow ip nowrap

Как посмотреть ARP и MAC адреса на Cisco

Приведу пример поиска ARP записи по mac адресу:

show arp | include 10fe.ed58.0555

Просмотр ARP по IP, MAC, VLAN:

sh ip arp 192.168.1.22
sh ip arp 01ac:bc11:1100
sh ip arp vlan 100

Просмотр таблицы mac адресов находящихся в указанном VLAN:

show mac address-table vlan 100

Поиск mac адреса в таблице:

show mac-address-table address 20cf.30bd.d1fe

Просмотр дубликатов mac-адресов:

sh mac-address-table duplicate only

Посмотреть диапазон mac адресов самих модулей в устройстве:

show module

Если понадобится удалить MAC или IP из таблиц, то:

clear ip arp 192.168.1.5
clear mac-address-table dynamic address 6872.5104.aaaa

Подключение модулей SFP-RJ45 к Cisco 6500

Понадобилось пару дней назад к Cisco Catalyst 6509-E в котором стояли модули только с SFP портами подключить немного линков с RJ45.

Так как RJ45 линков мало, экономнее было использовать модули SFP-RJ45, поэтому их и заказали.
Подключил их в порты WS-X6724-SFP, при этом в логах ничего не отобразилось.

Пропишем команды чтобы Cisco не отключала порты при вставке сторонних модулей:

service unsupported-transceiver
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid

Замечу что порты WS-X6724-SFP в моём случае работают только на скорости 1Gb, поэтому линк естественно не поднимется на 100Мб или 10Мб, хоть модули Foxgate SFP-RJ45 которые у нас были и поддерживают 10/100/1000.

В подтверждение этому проверил командами:

configure t
interface gigabitEthernet 1/1
speed ?

На что была возможность указать скорость порта только в 1000.

Смотрите также:
Настройка Cisco Catalyst 6509-E

Решение ошибки «IP overlaps with VlanXXX. VlanXXX: incorrect IP address assignment»

Нужно было однажды заменить L3 коммутатор HP на Cisco и после аналогичной настройки коммутатора Cisco заметил ошибку:

172.16.63.0 overlaps with Vlan111
Vlan121: incorrect IP address assignment

Как оказалось сеть Vlan111 172.16.0.0/18 заканчивалась на 172.16.63.254, так сказать пересекалась с Vlan121 172.16.63.0/24.

Коммутатор HP 5800 до этого настроили и он ничего не сообщил об этом, а Cisco отказался принимать команду.

По этому, так как IP адресов использовалось мало в сети Vlan111 172.16.0.0/18, то проблему решил уменьшением маски на 172.16.0.0/19.

После этого IP-адрес успешно прописался интерфейсу Vlan121.

Все.

Настройка DHCP relay на Cisco

На тесте возьму коммутатор Cisco Catalyst 6509-E и настрою на нем пересылку DHCP пакетов DHCP серверу.
Коммутатора настроен как L3 с назначенными IP-адресами в каждом VLAN.

Подключимся к коммутатору через консоль или telnet и перейдем в режим настройки:

enable
configure t

Допустим адрес DHCP сервера 192.168.11.1 и мы хотим настроить пересылку широковещательных DHCP пакетов на него во VLAN 100, для этого выполним команды:

interface Vlan100
ip helper-address 192.168.11.1
exit

Выйдем из режима настройки и сохраним конфигурацию:

exit
write

Все.

Блокировка социальных сетей на Cisco

На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.

Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте http://bgp.he.net/AS47541#_prefixes

И создадим расширенный ACL например с именем BLOCKSOCIAL:

ip access-list extended BLOCKSOCIAL
deny ip any 87.240.128.0 0.0.63.255
deny ip any 93.186.224.0 0.0.7.255
deny ip any 93.186.232.0 0.0.7.255
deny ip any 95.142.192.0 0.0.15.255
deny ip any 95.213.0.0 0.0.63.255
deny ip any 185.29.130.0 0.0.0.255
deny ip any 185.32.248.0 0.0.3.255
permit ip any any
exit

В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:

deny ip host 192.168.5.1 host 192.168.11.54

Строчка permit ip any any должна быть обязательно именно в конце.

Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.

Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.

Применим созданный ACL на порт смотрящий в сторону клиентов:

interface GigabitEthernet1/1
ip access-group BLOCKSOCIAL in

Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:

interface TenGigabitEthernet3/2
ip access-group BLOCKSOCIAL in

Отменить ACL интерфейсу можно так:

no ip access-group BLOCKSOCIAL in

Удалить ACL так:

no ip access-list extended BLOCKSOCIAL

Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:

ip access-list extended BLOCKSOCIAL
deny ip 87.240.128.0 0.0.63.255 any
deny ip 93.186.224.0 0.0.7.255 any
deny ip 93.186.232.0 0.0.7.255 any
deny ip 95.142.192.0 0.0.15.255 any
deny ip 95.213.0.0 0.0.63.255 any
deny ip 185.29.130.0 0.0.0.255 any
deny ip 185.32.248.0 0.0.3.255 any
deny ip host 192.168.5.1 any
permit ip any any
exit

Установка второго модуля управления в Cisco

На тесте использую Cisco Catalyst 6509-E с установленным модулем управления WS-SUP720-3BXL.

Имеется второй аналогичный модуль управления WS-SUP720-3BXL.

Устанавливать второй модуль можно не выключая Cisco на горячую, что я собственно и сделал.

Командой show log можно увидеть подробную информацию о процессе установки, на подобии:

%OIR-SP-6-INSCARD: Card inserted in slot 5, interfaces are now online

Информацию о установленных модулях и их статусе можно увидеть введя команды:

show module
show inventory

После установки, модуль успешно запустился, а конфигурация автоматически синхронизировалась с активного.

Смотрите краткое видео:

Настройка агрегации каналов на Cisco Catalyst 6500

Для теста настрою агрегацию на Cisco Catalyst 6509-E.

Допустим я настроил первый порт как мне нужно, прописал нужные VLAN, теперь последней командой добавим порт в канал агрегации:

interface GigabitEthernet1/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 111,144-190
switchport mode trunk
channel-group 1 mode on

Второй порт должен быть настроен аналогично и тоже последней командой добавим его в канал агрегации:

interface GigabitEthernet1/8
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 111,144-190
switchport mode trunk
channel-group 1 mode on

После команд выше автоматически создался выключенный интерфейс Port-channel1, командой description добавим примечание и включим его:

interface Port-channel1
description GPON OLT link aggregation
no shutdown

Настройка агрегации портов завершена, к ним можно подключаться.

Смотри также:
Настройка агрегации каналов на Huawei SmartAX MA5600