Подключение модулей SFP-RJ45 к Cisco 6500

Понадобилось пару дней назад к Cisco Catalyst 6509-E в котором стояли модули только с SFP портами подключить немного линков с RJ45.

Так как RJ45 линков мало, экономнее было использовать модули SFP-RJ45, поэтому их и заказали.
Подключил их в порты WS-X6724-SFP, при этом в логах ничего не отобразилось.

Пропишем команды чтобы Cisco не отключала порты при вставке сторонних модулей:

service unsupported-transceiver
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause gbic-invalid

Замечу что порты WS-X6724-SFP в моём случае работают только на скорости 1Gb, поэтому линк естественно не поднимется на 100Мб или 10Мб, хоть модули Foxgate SFP-RJ45 которые у нас были и поддерживают 10/100/1000.

В подтверждение этому проверил командами:

configure t
interface gigabitEthernet 1/1
speed ?

На что была возможность указать скорость порта только в 1000.

Смотрите также:
Настройка Cisco Catalyst 6509-E

Решение ошибки «IP overlaps with VlanXXX. VlanXXX: incorrect IP address assignment»

Нужно было однажды заменить L3 коммутатор HP на Cisco и после аналогичной настройки коммутатора Cisco заметил ошибку:

172.16.63.0 overlaps with Vlan111
Vlan121: incorrect IP address assignment

Как оказалось сеть Vlan111 172.16.0.0/18 заканчивалась на 172.16.63.254, так сказать пересекалась с Vlan121 172.16.63.0/24.

Коммутатор HP 5800 до этого настроили и он ничего не сообщил об этом, а Cisco отказался принимать команду.

По этому, так как IP адресов использовалось мало в сети Vlan111 172.16.0.0/18, то проблему решил уменьшением маски на 172.16.0.0/19.

После этого IP-адрес успешно прописался интерфейсу Vlan121.

Все.

Настройка DHCP relay на Cisco

На тесте возьму коммутатор Cisco Catalyst 6509-E и настрою на нем пересылку DHCP пакетов DHCP серверу.
Коммутатора настроен как L3 с назначенными IP-адресами в каждом VLAN.

Подключимся к коммутатору через консоль или telnet и перейдем в режим настройки:

enable
configure t

Допустим адрес DHCP сервера 192.168.11.1 и мы хотим настроить пересылку широковещательных DHCP пакетов на него во VLAN 100, для этого выполним команды:

interface Vlan100
ip helper-address 192.168.11.1
exit

Выйдем из режима настройки и сохраним конфигурацию:

exit
write

Все.

Блокировка социальных сетей на Cisco

На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.

Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».

И создадим расширенный ACL например с именем BLOCKSOCIAL:

ip access-list extended BLOCKSOCIAL
deny ip any 87.240.128.0 0.0.63.255
deny ip any 93.186.224.0 0.0.7.255
deny ip any 93.186.232.0 0.0.7.255
deny ip any 95.142.192.0 0.0.15.255
deny ip any 95.213.0.0 0.0.63.255
deny ip any 185.29.130.0 0.0.0.255
deny ip any 185.32.248.0 0.0.3.255
permit ip any any
exit

В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:

deny ip host 192.168.5.1 host 192.168.11.54

Строчка permit ip any any должна быть обязательно именно в конце.

Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.
/17 — 0.0.127.255
/18 — 0.0.63.255
/19 — 0.0.31.255
/20 — 0.0.15.255
/21 — 0.0.7.255
/22 — 0.0.3.255
/23 — 0.0.1.255
/24 — 0.0.0.255

Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.

Применим созданный ACL на порт смотрящий в сторону клиентов:

interface GigabitEthernet1/1
ip access-group BLOCKSOCIAL in

Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:

interface TenGigabitEthernet3/2
ip access-group BLOCKSOCIAL in

Отменить ACL интерфейсу можно так:

no ip access-group BLOCKSOCIAL in

Удалить ACL так:

no ip access-list extended BLOCKSOCIAL

Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:

ip access-list extended BLOCKSOCIAL
deny ip 87.240.128.0 0.0.63.255 any
deny ip 93.186.224.0 0.0.7.255 any
deny ip 93.186.232.0 0.0.7.255 any
deny ip 95.142.192.0 0.0.15.255 any
deny ip 95.213.0.0 0.0.63.255 any
deny ip 185.29.130.0 0.0.0.255 any
deny ip 185.32.248.0 0.0.3.255 any
deny ip host 192.168.5.1 any
permit ip any any
exit

Смотрите также мои статьи:
Блокировка социальных сетей используя iptables
Запрет социальных сетей на маршрутизаторах Mikrotik

Установка второго модуля управления в Cisco

На тесте использую Cisco Catalyst 6509-E с установленным модулем управления WS-SUP720-3BXL.

Имеется второй аналогичный модуль управления WS-SUP720-3BXL.

Читать далее «Установка второго модуля управления в Cisco»

Настройка Protected Ports на Cisco

На тесте выполню настройки на Cisco Catalyst WS-C3750-48TS-S.

И так, все порты настроены как access, кроме первого гигабитного uplink порта, он настроен как trunk и на него приходит интернет по клиентскому vlan с тегом.
Нам необходимо чтобы все порты на этом коммутаторе не видели друг друга и видели только первый гигабитный ulink порт.

Для этого подключимся к коммутатору и перейдем в режим конфигурации:

enable
configure terminal

Затем пропишем команду switchport protected для всех access портов:

interface range fastEthernet 1/0/1-48
switchport protected
interface range gigabitEthernet 1/0/2-4
switchport protected
exit
exit

Сохраним конфигурацию:

write

Как видно interface gigabitEthernet 1/0/1 мы не трогали.
Теперь порты на которых прописана команда switchport protected не видят другие порты на которых тоже прописана эта команда, они видят только порты где она не прописана, то есть в нашем случае первый гигабитный ulink порт, а он видит все порты с командой и без.

Информацию о портах можно посмотреть командой:

show interfaces ИНТЕРФЕЙС switchport

Посмотреть всю конфигурацию:

show running-config

Смотрите также:
Изоляция портов на коммутаторе ZyXEL MES-3528
Изоляция портов на коммутаторах Huawei

Просмотр температуры Cisco Catalyst 6500

На тесте буду использовать Cisco Catalyst 6509-E.
Чтобы посмотреть температуру датчиков, подключимся через консоль или telnet например и выполним команду:

Читать далее «Просмотр температуры Cisco Catalyst 6500»