Приведу пример поиска ARP записи по mac адресу:
Читать далее «Как посмотреть ARP и MAC адреса на Cisco»Архивы рубрик:Cisco
Подключение модулей SFP-RJ45 к Cisco 6500
Понадобилось пару дней назад к Cisco Catalyst 6509-E в котором стояли модули только с SFP портами подключить немного линков с RJ45.
Так как RJ45 линков мало, экономнее было использовать модули SFP-RJ45, поэтому их и заказали.
Подключил их в порты WS-X6724-SFP, при этом в логах ничего не отобразилось.
Пропишем команды чтобы Cisco не отключала порты при вставке сторонних модулей:
service unsupported-transceiver no errdisable detect cause sfp-config-mismatch no errdisable detect cause gbic-invalid
Замечу что порты WS-X6724-SFP в моём случае работают только на скорости 1Gb, поэтому линк естественно не поднимется на 100Мб или 10Мб, хоть модули Foxgate SFP-RJ45 которые у нас были и поддерживают 10/100/1000.
В подтверждение этому проверил командами:
configure t interface gigabitEthernet 1/1 speed ?
На что была возможность указать скорость порта только в 1000.
Смотрите также:
Настройка Cisco Catalyst 6509-E
Решение ошибки «IP overlaps with VlanXXX. VlanXXX: incorrect IP address assignment»
Нужно было однажды заменить L3 коммутатор HP на Cisco и после аналогичной настройки коммутатора Cisco заметил ошибку:
172.16.63.0 overlaps with Vlan111
Vlan121: incorrect IP address assignment
Как оказалось сеть Vlan111 172.16.0.0/18 заканчивалась на 172.16.63.254, так сказать пересекалась с Vlan121 172.16.63.0/24.
Коммутатор HP 5800 до этого настроили и он ничего не сообщил об этом, а Cisco отказался принимать команду.
По этому, так как IP адресов использовалось мало в сети Vlan111 172.16.0.0/18, то проблему решил уменьшением маски на 172.16.0.0/19.
После этого IP-адрес успешно прописался интерфейсу Vlan121.
Все.
Настройка DHCP relay на Cisco
На тесте возьму коммутатор Cisco Catalyst 6509-E и настрою на нем пересылку DHCP пакетов DHCP серверу.
Коммутатора настроен как L3 с назначенными IP-адресами в каждом VLAN.
Подключимся к коммутатору через консоль или telnet и перейдем в режим настройки:
enable configure t
Допустим адрес DHCP сервера 192.168.11.1 и мы хотим настроить пересылку широковещательных DHCP пакетов на него во VLAN 100, для этого выполним команды:
interface Vlan100 ip helper-address 192.168.11.1 exit
Выйдем из режима настройки и сохраним конфигурацию:
exit write
Все.
Блокировка социальных сетей на Cisco
На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.
Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».
И создадим расширенный ACL например с именем BLOCKSOCIAL:
ip access-list extended BLOCKSOCIAL deny ip any 87.240.128.0 0.0.63.255 deny ip any 93.186.224.0 0.0.7.255 deny ip any 93.186.232.0 0.0.7.255 deny ip any 95.142.192.0 0.0.15.255 deny ip any 95.213.0.0 0.0.63.255 deny ip any 185.29.130.0 0.0.0.255 deny ip any 185.32.248.0 0.0.3.255 permit ip any any exit
В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:
deny ip host 192.168.5.1 host 192.168.11.54
Строчка permit ip any any должна быть обязательно именно в конце.
Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.
/17 — 0.0.127.255
/18 — 0.0.63.255
/19 — 0.0.31.255
/20 — 0.0.15.255
/21 — 0.0.7.255
/22 — 0.0.3.255
/23 — 0.0.1.255
/24 — 0.0.0.255
Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.
Применим созданный ACL на порт смотрящий в сторону клиентов:
interface GigabitEthernet1/1 ip access-group BLOCKSOCIAL in
Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:
interface TenGigabitEthernet3/2 ip access-group BLOCKSOCIAL in
Отменить ACL интерфейсу можно так:
no ip access-group BLOCKSOCIAL in
Удалить ACL так:
no ip access-list extended BLOCKSOCIAL
Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:
ip access-list extended BLOCKSOCIAL deny ip 87.240.128.0 0.0.63.255 any deny ip 93.186.224.0 0.0.7.255 any deny ip 93.186.232.0 0.0.7.255 any deny ip 95.142.192.0 0.0.15.255 any deny ip 95.213.0.0 0.0.63.255 any deny ip 185.29.130.0 0.0.0.255 any deny ip 185.32.248.0 0.0.3.255 any deny ip host 192.168.5.1 any permit ip any any exit
Смотрите также мои статьи:
Блокировка социальных сетей используя iptables
Запрет социальных сетей на маршрутизаторах Mikrotik
Установка второго модуля управления в Cisco
На тесте использую Cisco Catalyst 6509-E с установленным модулем управления WS-SUP720-3BXL.
Имеется второй аналогичный модуль управления WS-SUP720-3BXL.
Читать далее «Установка второго модуля управления в Cisco»Настройка агрегации каналов на Cisco Catalyst 6500
Для теста настрою агрегацию на Cisco Catalyst 6509-E.
Читать далее «Настройка агрегации каналов на Cisco Catalyst 6500»Настройка Protected Ports на Cisco
На тесте выполню настройки на Cisco Catalyst WS-C3750-48TS-S.
И так, все порты настроены как access, кроме первого гигабитного uplink порта, он настроен как trunk и на него приходит интернет по клиентскому vlan с тегом.
Нам необходимо чтобы все порты на этом коммутаторе не видели друг друга и видели только первый гигабитный ulink порт.
Для этого подключимся к коммутатору и перейдем в режим конфигурации:
enable configure terminal
Затем пропишем команду switchport protected для всех access портов:
interface range fastEthernet 1/0/1-48 switchport protected interface range gigabitEthernet 1/0/2-4 switchport protected exit exit
Сохраним конфигурацию:
write
Как видно interface gigabitEthernet 1/0/1 мы не трогали.
Теперь порты на которых прописана команда switchport protected не видят другие порты на которых тоже прописана эта команда, они видят только порты где она не прописана, то есть в нашем случае первый гигабитный ulink порт, а он видит все порты с командой и без.
Информацию о портах можно посмотреть командой:
show interfaces ИНТЕРФЕЙС switchport
Посмотреть всю конфигурацию:
show running-config
Смотрите также:
Изоляция портов на коммутаторе ZyXEL MES-3528
Изоляция портов на коммутаторах Huawei
Настройка Cisco Catalyst 3750
На тесте настрою Cisco Catalyst WS-C3750-48TS-S с прошивкой 12.2(55)SE3
Читать далее «Настройка Cisco Catalyst 3750»Настройка Cisco Catalyst 2960
На тесте настрою Cisco Catalyst WS-C2960-24TT-L с прошивкой 12.2(25)FX
Читать далее «Настройка Cisco Catalyst 2960»