Cisco Configuration Mode Exclusive

По умолчанию любой, у кого есть доступ к вашему маршрутизатору или коммутатору, сможет вносить изменения в конфигурацию одновременно с вами. Возможно, что один администратор сети подключен к консоли, другой — с помощью telnet, а третий сетевой администратор подключен через SSH. Они могут вносить изменения в конфигурацию одновременно.

Было бы неплохо предотвратить это, когда один сетевой администратор вносит изменения, другой не должен ничего менять. В Cisco IOS есть функция «Configuration Lock», которая позволяет нам это делать. Проще говоря, когда один пользователь вводит команду configure terminal, другим не разрешается делать то же самое. Когда первый пользователь покидает режим конфигурации, кто-то другой сможет получить доступ к режиму конфигурации. Звучит хорошо?

Читать далее →

Обновление ROM Monitor в устройствах Cisco

Прошивка ROM Monitor (так же называемая программой bootstrap) запускается при включении или перезагрузке маршрутизатора. Прошивка помогает инициализировать аппаратное обеспечение процессора и загружать программное обеспечение Cisco IOS. Вы можете использовать ROM Monitor (сокращённо rommon) для выполнения определенных задач настройки, таких как восстановление потерянного пароля или загрузка программного обеспечения через консольный порт. Если на маршрутизаторе нет образа программного обеспечения Cisco IOS, маршрутизатор(коммутатор) запускает ROM Monitor.

Для чего может потребоваться обновление ROM Monitor? Вы можете столкнуться со следующими проблемами. Например на вашей древней но вполне работоспособной Cisco 2800/3800 Series или 7200 Series пришлось поменять Compact Flash. Сейчас уже сложно найти такие карты на 256 или 512Мб и поэтому вы покупаете карточку на 4 или 8Гб. Но вот незадача, устройство отказывается распознавать карту памяти. Или наоборот, речь идёт о современном устройстве, в котором вы решили перейти, например, с IOS XE 3.8 на 3.16. В обоих случаях поможет обновление ROM Monitor.

Читать далее →

Изменить порт sshd в Debian 9.8

Попросили меня тут помочь в настройке «горячо любимого» мной Debian. Ну что же, не отказывать же брату-IT-шнику…
На борту имеем:
root@debian:~# cat /etc/debian_version
9.8

Первым делом я иду в /etc/ssh/sshd_config и меняю Port 22 на Port 122. Командую service sshd restart — и радуюсь жизни. Несколько раз проверяю, что на порт 122 всё соединяется, делаю apt-get update && apt-get upgrade && reboot и получаю
Aleksandrs-iMac:~ around$ ssh -p 122 root@IP_ADDR
ssh: connect to host IP_ADDR port 122: Connection refused

Читать далее →

Смена типа аутентификации в Zabbix с LDAP на локальную

Ситуация: Вы поставили zabbix и как всякий админ здорового человека тут же прикрутили его к AD. Одним прекрасным утром Вы приходите, а DC недоступен. И прекрасный мониторинг превращается в тыкву. Я наступил на грабли, когда упал один из контроллеров домена, который уже не использовался, но работал «по инерции». Восстанавливать его никто не стал, а zabbix ходил за пользователями именно на него.
Кстати, в самом низу будет хинт, как вообще избежать ситуации с телодвижениями по поводу недоступности домена.

Читать далее →

Проверка доступности NTP-сервера в Windows

Иногда нужно проверить, всё ли в порядке с NTP-сервером и доступен ли он с хоста сети. А ntp -q под рукой нет.
Для этого нагуглилась замечательная тула от Galleon — NTP-сервер Checker
Инструмент доступен для скачивания по ссылке — http://ru.galsys.co.uk/categories/download-form.html (поля формы можно не заполнять, а сразу нажимать в Download)
Работа и настройка с программой сводится к указанию имени или IP адреса NTP сервера и нажатия на кнопку Test.

Аутентификация на оборудовании на основе Radius + AD

Для удобства организации доступа к сетевым устройствам удобно использовать централизованную схему аутентификации на основе протокола Radius или tacacs+ (DIAMETER не рассматриваем в принципе, я не видел устройств с его поддержкой для наших целей).
Поскольку tacacs+ поддерживается не таким большим количеством оборудования (например, его нет в Mikrotik, я НЕГОДУЮ!), то будем авторизовываться через radius.
Radius — сетевой протокол, предназначенный для обеспечения централизованной аутентификации, авторизации и учёта (Authentication, Authorization, and Accounting, AAA) пользователей, подключающихся к различным сетевым службам, FreeRADIUS — RADIUS сервер с открытым исходным кодом.
Рассмотрим настройку сервера FreeRADIUS для работы с доменом Active Directory, для организации доступа к сети на основании учетных записей доменных пользователей. FreeRADIUS устанавливается на сервер под CentOS 6.10, файрвол и selinux отключены.

Читать далее →

ipv6 ready