这里的意图是创build一个访问列表,允许具有来自两个不同/ 24子网的IP的任何设备(让它们为192.168.1.0和192.168.2.0)通过SSH连接到ISR,同时拒绝任何其他IP。 所以我创build了以下标准访问列表。 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 然后,当连接到192.168.1.0子网时,我试图通过腻子SSH进入ISR,并得到一个错误,说明连接被拒绝。 当下面的行被删除时,我能够通过SSH进入ISR而没有问题。 (我已经在ISR上完成SSHconfiguration,使用大的RSA密钥,并使用SSH 2.0) line vty 0 4 access-class 1 in line vty 5 15 access-class 1 in 我不能为了我的生活找出为什么这个简单的访问列表阻止stream量,当它不应该? 我是Cisco IOS的新手,所以可能是我错过了一些小细节。 以下是vty行和ACL的当前configuration: ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 ! ! ! ! ! control-plane ! ! line […]
在Cisco IOS上,我正在考虑将SNMP v1 / 2转移到v3,这意味着将用户/密码凭据分开,而不是仅仅是社区string。 是否有可能从TACACS或RADIUS服务器提取这些用户凭据并进行身份validation? 还是我坚持静态添加到每个交换机和路由器的configuration?
有很多关于在ASA设备上设置AnyConnect的教程,以及less数几个注意到IOS 12.4(15)和后来支持AnyConnect的链接 ,但我似乎找不到有关如何在IOS上设置AnyConnect的任何好文档; 大多数教程假设您只需要IOS上的无客户端VPN 。 我发现的最好的是思科网站上的这个文档 ,但在实践中它并不适合我 – 见下文。 这全是在Cisco 881W上: router#show version | include Version Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(20)T1, RELEASE SOFTWARE (fc3) ROM: System Bootstrap, Version 12.4(15r)XZ2, RELEASE SOFTWARE (fc1) 旧的SSL VPN客户端似乎安装得很好: router#show webvpn install status svc SSLVPN Package SSL-VPN-Client version installed: CISCO STC win2k+ 1.0.0 1,1,4,176 Thu 08/16/2007 12:37:00.43 […]
如果我有两个接口,一个从EIGRP获得networking,另一个是与VPN隧道的互联网连接。 如果VPN隧道的匹配地址和EIGRP路由存在相同的networking,哪个路由优先?
我试图允许访问同一build筑物内一个单独局域网上的打印机。 我只能控制其中一个networking…我不想使用其他路由器的尝试失败, 请看这里 。 我现在有一个运行IOS 12.2(eBay特别)的Cisco 2611joinnetworking。 我无法路由,因为我无法控制远程networking上的设置我只能添加一个IP地址在路由器上的一个接口的forms – 所以我留下来做一个静态的NAT。 我们的networking:10.0.0.0/24我们的路由器接口e0 / 0 10.0.0.200他们的networking:192.168.2.0/24他们的路由器接口e0 / 1 192.168.2.200他们的打印机192.168.2.50 所以我想做一个从10.0.0.200到192.168.2.50的静态NAT 我的节目运行configuration Fibrotech(config)#do sh ru Building configuration… Current configuration : 573 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Fibrotech ! ip subnet-zero ! interface Ethernet0/0 ip address 10.0.0.200 […]
我想validation只有两个命令的思科IOS ACL Extendend。 他们是: access-list 101 deny any 192.168.0.0/23 any access-list 101 permit udp 192.168.1.1 any 对于这个我使用的语法检查可用的互联网位于http://techie.devnull.cz/aclcheck 但是,当我执行软件检查,它给了我一个错误,在第1行说“目的地规格?”。 我已经阅读了许多在互联网上的ACL语法指南,但我根本不明白,我只是找不到这个错误。 目的地是在any关键字中指定的。 这些命令是否有错误? 或者,也许更可靠的方法来validation思科IOS命令? 问候 编辑:新的命令是 access-list 101 deny ip 192.168.0.0/23 any access-list 101 permit udp host 192.168.1.1 any 同样的错误。 请注意,我保留了/ 23表示法,查看意见。 会尝试与你们的build议,但如果这是正确的标志,这将打破我的翻译工作嘿嘿
我为小型企业购买了871W的ISR,并且想知道在为这种types的路由器设置安全性时最好的做法是什么。 目前我有一个静态IP分配给它,并可以从外面SSH进入它。 这安全吗? 如果不是,我应该设置VPN从外部访问它? 有没有一个VPN的方法(或链接),我可以学习如何设置它。 我也在考虑从外面阻止icmp。 如果我设置VPN,这甚至是必要的? 任何帮助是极大的赞赏。
我的Cisco 881W路由器中有2个SSID设置。 我们的内部ssid从正确的DHCP池(wpool)拉,而我们的客户SSID不从正确的池(gpool) 这里是路由器configuration ! ! 上次configuration更改在08:13:57 PCTime周二2010年8月10日通过pipe理员 ! 版本15.0 没有服务垫 服务tcp-keepalives-in 服务tcp-keepalives-out 服务时间戳debuggingdate时间毫秒本地时间显示时区 服务时间戳记date时间毫秒本地时间显示时区 服务密码encryption 服务序列号 ! 主机名路由器 ! 引导启动标志物 引导结束标志 ! 安全authentication失败率3日志 安全密码最小长度6 logging缓冲51200 日志控制台关键 启用秘密5#通过# ! 没有一个新的模式 内存大小iomem 10 时钟时区PCTime -5 时钟夏令时间date2003年4月6日2:00 2003年10月26日2:00 ! crypto pki trustpoint TP-self-signed-1169761916 招生自签名 主题名称cn = IOS-Self-Signed-Certificate-1169761916 撤销检查没有 rsakeypair TP-self-signed-1169761916 ! ! encryptionpki证书链TP-self-signed-1169761916 证书自签01 nvram:IOS-Self-Sig#1.cer 没有IP源路由 ! […]
我正在尝试使用思科NAT在两个内部networking之间创build一个DMZtypes的环境。 下面的configuration工作允许两个“NAT外部”接口通过10.0.0.50和172.26.100.50隐藏NAT IP地址访问服务器内的dmz'NAT'。 但是,服务器(192.168.1.2)在访问其他两个设备时没有被识别。 我需要这个双向nat为了隐藏'nat里面'networking。 例如,10.0.0.2能够ping / telnet到10.0.0.50,并访问192.168.1.2设备并被成功转换。 但是,当192.168.1.2 telnet到10.0.0.2时,stream量显示为原始IP地址,而不是所需的10.0.0.50地址。 ! interface GigabitEthernet0/0 description insidetrusted ip address 172.26.100.10 255.255.255.0 ip nat outside ! interface GigabitEthernet0/1 description dmz ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface GigabitEthernet0/2 description outside ip address 10.0.0.1 255.255.255.0 ip nat outside ! ! ip nat inside source static 192.168.1.2 10.0.0.50 […]
相关: Cisco IOS ACL:不允许传入连接,因为它们来自端口80 我知道我们可以使用TCP established关键字..但是,我们可以做什么的UDP(短缺replace桥或BVI与NAT)? 回答 我发现什么“UDP没有连接”的意思。 DNS使用UDP例如.. named (DNS服务器)在端口53上消失 nslookup (DNS客户端)开始监听某个随机端口,并将数据包发送到服务器的端口53,并logging该数据包中的源端口。 如果需要, nslookup将重试3次。 此外,数据包太小,不必担心他们错误的顺序。 如果nslookup收到来自服务器IP和端口的端口上的响应,则停止监听。 如果服务器试图发送两个响应(例如对重试的响应和响应),那么服务器不会在意是否因为客户端有重试的任务而做出任何响应。 事实上,除非通过服务器获取ICMP 3/3数据包,否则不会知道失败。 这与TCP连接closures或超时错误不同。 DNS允许从客户端轻松重试以及小数据包..所以UDP是一个很好的select,因为它更有效率。 在UDP中你会看到 nslookup发送请求 named发送答案 在TCP中,你会看到 nslookup的机器发送SYN named的机器发送SYN-ACK nslookup的机器发送ACK和请求 named的机器发送响应 这比一个微小的DNS数据包所需要的要多得多